Infizierte Kiste - welcher Virus?

18/12/2008 - 16:29 von Ralph A. Schmid, dk5ras | Report spam
Moin,

ich habe hier mit einem infizierten Rechner zu tun, der vom Netz
getrennt wurde und morgen eh plattgemacht wird. Leider haben wir keine
Ahnung, was da überhaupt aktiv geworden ist, clamwin und das
etrust-Ding finden nix, HD ausbauen und extern scannen ist ungünstig
wegen RAID, allzuviel Aufwand wollen wir auch gar nicht betreiben.

Was vorliegt, ist ein ethereal-dump, worin man sieht, daß das Teil
fleißig mit .ru kommuniziert, irgendwelchen Java-Code von dort zu
bekommen scheint. Beim scan ist eine Datei als "locked" aufgefallen,
die in windows\temp lag, in einem perflib-data-Ordner, und deren
Dateinamen aus nur drei Ziffern bestand. Mit winhex geöffnet (direkt
auf dem Datentràger, am FS vorbei), Java-Code drin gesehen, also mit
0x00 gefüllt, und nach dem Neustart war sie verschwunden, dafür an
selber Stelle eine neue Datei mit anderem Namen aus drei Ziffern, und
die rege Kommunikation mit Russland, um vermutlich neuen Javamist zu
laden. Das Teil hat sich wohl gedacht, "jetzt hat mir so'n Arsch meine
schöne Liste genullt, also weg damit, muß ich mir wohl eine Neue laden
*grmbl*" :-)

Kann man daraus schließen, was das war? Ist immer unangenehm, wenn man
nicht weiß, was überhaupt vorgegangen ist...

Was kann man z.B. automatisiert an traffic-Analyse betreiben, um sowas
evtl. frühzeitig gemeldet zu bekommen? Da solche Probleme überhand
nehmen und eine Gefàhrdung darstellen, müssen wir da definitiv
handeln...zwei getrennte Netze und doppelte Rechnerausstattung am
Platz sind doch etwas teuer :(


-ras


Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
http://www.bclog.de/
 

Lesen sie die antworten

#1 Harald Wenninger
18/12/2008 - 17:36 | Warnen spam
* Ralph A. Schmid, dk5ras tat kund und zu wissen:

ich habe hier mit einem infizierten Rechner zu tun, der vom Netz
getrennt wurde und morgen eh plattgemacht wird. Leider haben wir keine
Ahnung, was da überhaupt aktiv geworden ist, clamwin und das
etrust-Ding finden nix, HD ausbauen und extern scannen ist ungünstig
wegen RAID, allzuviel Aufwand wollen wir auch gar nicht betreiben.



Schon mit Linux-Live-CD gebootet und damit gescannt? Dann braucht man
nix am Rechner rumschrauben.

Gruß,
Harald

Ähnliche fragen