PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [IT] - wieder ein neuer Parasit



WarEagle
18-08-2003, 19:41
Hi Leute,

irgendwie schaffen wir es in der Firma immer wieder vorn dabei zu sein, wenns um Viren & Würmer
(liegt sicher nur daran das ein Großteil unserer IT Outgesourced ist :p )

Soda nun zum Schädling (hat noch keinen Name, weil McAffe (NAI)& Co noch nix davon wußten) ...viel weiß ich auch no net drüber ... aber das bissl will ich euch mal mitteilen.

Den einzigen Schande den er bis jetzt verursacht hat, ist das er wild umsich Pingt&Broadcastet und sich im Netzwerk verbreitet... was die Netzwerk Performance in den Keller drückt. Und er Tritt trotz installiertem RPC-Patch auf.

er legt im Verzeichnis %windir%\system32\wins die datei dllhost.exe ab (auch eine svchost.exe, von der wissen wir allerdings noch nicht was sie macht).
Die beiden Dateien liegen auch als Standard-Windows-Dateien im SYSTEM32-Verzeichnis - also net verwechseln ;)

Das "Ding" trägt sich dann als "WINS Client" - Service ein bzw. als "RpcPatch" .
Wenn ihr das Service stoppt, hört auch der Trafic auf (der übrigens recht zufällig bzw. clever verteilt Auftritt.)

da ich nix genaues weiß würd ich vorschlagen die Datei %windir%\system32\wins\dllhost.exe umzubenennen (zB. Delme.vir) und eine Text-Datei zu erstellen die dllhost.txt heißt, und die dann in dllhost.exe umbenennen.

Ich hoff es gibt bald ein Update für die Virenscanner, einstweilen hat das ganz gut gefruchtet....

WarEagle
18-08-2003, 19:45
ah, das Kind hat einen Namen (http://vil.nai.com/vil/content/v_100559.htm)

Birki
19-08-2003, 09:20
... wieso is mir des mitm 2.4.xxx kernel wurscht :p

lg
birki

HAL9000
19-08-2003, 09:29
Original geschrieben von Birki
... wieso is mir des mitm 2.4.xxx kernel wurscht :p ...
die linux-würmer werden schon noch kommen, keine sorge. auch
dort gibt es genug löcher... - nur noch nicht so viele, die danach
suchen... ;)

ein zuversichtlicher
HAL9000

Birki
19-08-2003, 09:33
Original geschrieben von HAL9000

ein zuversichtlicher
HAL9000
hi!
teile deine zuversicht - aber auf der anderen seite gibt das dann hinreichend beschaeftigungstherapie fuer alte systemprogrammierer, oder :D
lg
birki

WarEagle
19-08-2003, 16:20
linux-kisten werden net "gewurmt" die werden gehackt ... des hat mehr Stil :D

criz
19-08-2003, 16:35
der (http://vil.nai.com/vil/content/v_100561.htm) Wurm scheint sich auch rasend zu verbreiten, hab in den letzten 2 Stunden mind. 20 infizierte mails erhalten...

Christoph
19-08-2003, 16:40
Original geschrieben von criz
der (http://vil.nai.com/vil/content/v_100561.htm) Wurm scheint sich auch rasend zu verbreiten, hab in den letzten 2 Stunden mind. 20 infizierte mails erhalten... der hat vor kurzem dem Mailserver von unserer FH befallen gehabt. Da sind dann täglich 10 automatisch generierte infizierte Emails gekommen.
Und der fähige Sysadmin hat eine WOche gebraucht und das zu checken (aber immerhin, beim letzten Mal hat's fast 1,5 Monate gedauert :D ).

Christoph
19-08-2003, 17:36
Haha, die WU hat ihn sich scheinbar auch schon eingefangen :D

WarEagle
19-08-2003, 19:19
na i bin ja mal gespannt auf morgen Früh ... hehe .. naja eher :(
weil die Arbeit ham dann erst wieder wir :mad:

Warum müßen User auf PIF-Files klicken?
Warum können EDV-Dienstleister Mailserver & Firewalls net gscheit konfigurieren?
Warum bin i net Maurer worn?

Bernd67
19-08-2003, 19:23
Original geschrieben von WarEagle
Warum müßen User auf PIF-Files klicken?
Warum können EDV-Dienstleister Mailserver & Firewalls net

das tun sie vielleicht gar nicht, da ihr Internet Explärrer noch nicht gepatcht ist (fehlerhafte MIME Header führen zu sofortiger Ausführung.......usw.).

Ich hab mich aber auch schon mal "verklickt" :eek:

Bei Spams sind immer Mail-Relays (d.h. Rechner, die unfreiwillig dazu werden) im Spiel (warum wohl :rolleyes: )

WarEagle
19-08-2003, 21:39
Original geschrieben von Bernd67
das tun sie vielleicht gar nicht, da ihr Internet Explärrer noch nicht gepatcht ist

schon klar, schon klar ... das sich würmer auch ander verbreiten, nur wenn der User meint "du i hab da a mail geöffnet" oder du die PIF-Datei im (Mail)Temp-Verz. findest is wohl klar was passiert is ;) ... was mi nur stuzig macht, das des Softwareentwickler sind :D

Birki
20-08-2003, 08:39
Original geschrieben von WarEagle

Warum müßen User auf PIF-Files klicken?
Warum können EDV-Dienstleister Mailserver & Firewalls net gscheit konfigurieren?
Warum bin i net Maurer worn?
... wieso muessen programmierer APIs einbauen, die so offen wie ein zerbrochener haeusldeckel sind?
... weil die meisten dort vollkoffer sind ?!
... letzteres habe ich mich schon oefter gefragt - aber nach drei wochen wohnungsrenovieren geh i eh wieder gern in die hackn ...
lg
birki

SirDogder
20-08-2003, 10:21
Der Wurm tobt si aus. Auch im Hotmail hab ich grad 20 Mails glöscht. De dürfatn gar nicht einekommen, aber der Operator schlaft wohl. Oder gibts noch keine Antiviren?

NoWin
20-08-2003, 10:30
Bei mir arbeitet der NAV auch laufend, aber sollns nur kommen die Würmer, ich bereite mich gerade aufs Nachtfischen vor :D

SirDogder
20-08-2003, 10:43
Original geschrieben von NoWin
Nacktfischen vor :D

????

:D

WarEagle
20-08-2003, 13:54
Original geschrieben von NoWin
Nacktfischen


? :D
i glaub du meinst da einen andern Wurm :p

NoWin
20-08-2003, 14:14
Leitln, wos hobts ihr fürn Monitor :confused: :D - und dann noch meine Posts beim Zititeren verändern :eek: :s: :s: :D

SirDogder
20-08-2003, 14:32
Verändern, wer???

(unschuldig dreinschau)

:D

WarEagle
20-08-2003, 14:59
*ToteFliegeWegwisch* ... ahhh NacHtfischen :D

woodpecker
20-08-2003, 16:19
Da hilft einfach nur eines (wie zb. bei uns in der Firma im Einsatz)-
man schalte einfach zw. der Firewall und dem Mailserver einen Mailscanner welcher 1. alle Mailattachments auf viren prüft und 2.
jeglichen "verwerflichen" und gefährlichen Code gar nicht erst durchlässt.

leider schreien die user dann weil sie ihre geliebten screensaver etc nimmer vermailen können.
aber wurscht - helfen tuts - wir hatten seit dem loveletter (da hatten wir noch nichts) keine einzige infektion mehr.
und das will ja was heissen

wobei ich gerne zugebe dass wir auch nicht M$ Exchange / Outlook verwenden sondern Lotus Domino / Notes

greets
Roli

WarEagle
22-08-2003, 11:23
sowas in der Art haben wir ... bertreut aber unser Exterener EDV-Dienstleister ... leider scheint das Groupshield aber nur dann dann aktuell zu sein, wenn "killer-vieren" im Anmarsch sind ... den Sobig.f hats brav abgehalten wie ich heut bemerken mußte.
Das Prob is da eher die Firewall ... aber über etwas zu schimpfen was man nicht selber Administriert, is immer leicht ;)

Wolferl
22-08-2003, 20:02
Der Sobig-F hat uns kalt erwischt, trotz Notes Umgebung. Symantec war leider erst einen Tag später in der Lage das Update einzuspielen und einige DAU's haben halt die Pif Datei geöffnet. Somit waren ein paar Tausend Rechner kurzfristig hinüber und das Netz ausgebremst. Noch dazu sind unsere Rechner so konfiguriert, daß sie sich beim Massenversand von Mails selber abdrehen, das hat vor weiterer Verbreitung sicher geholfen. Mit einem selbstgeschriebenen Programm wurde der lästige Parasit aber dann doch aus dem Netz befördert.. Bei allen Leuten die im Urlaub sind, haben wir über Netz die betroffenen Mails rausgepickt und gekübelt. Der Aufwand war sagenhaft, da wir zu Beginn nicht sicher waren, ob Rechner nicht doch weitermachen und die Abschaltsequenz umgangen wird. Sch****Woche. :k: