Autor Thema: Ganz bös erwischt  (Gelesen 4298 mal)

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Ganz bös erwischt
« am: 14.05.09 - 16:52:59 »
Bei uns grassiert die "Computergrippe". Klingt lustig, hält uns aber seit 2 Tagen derbe auf Trab.
Angefangen hat es mit einer 1sass.exe, die irgendwie ins System gekommen ist. Die hat sich dann hübsch verbreitet und die AV Lösung ( Panda ) hat nicht einmal Alarm geschlagen. Hier wurde dann offenbar Tür und Tor für einen Trojaner geöffnet, der nun das hartnäckigste Botnet installiert hat, das ich je gesehen habe.
Momentan sieht es so aus, daß kein AV hersteller in der Lage ist, hgier zu helfen. Panda kann die Infektion erkennen und beseitigen; im gleichem Moment installiert sich der Scheiss wieder neu. Durch Myriarden von ARP requests kommt kein Client mehr an irgend einen Server.
...
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline DAU-in

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.129
  • Geschlecht: Weiblich
  • - unterwegs -
Re: Ganz bös erwischt
« Antwort #1 am: 14.05.09 - 17:31:06 »
also derzeit nicht Kurzarbeit 0?
mühsam ernährt sich das Eichhörnchen

aktuelle Tätigkeit: Feldschubse

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #2 am: 14.05.09 - 17:34:16 »
Für uns nicht; die Mitarbeiter schon.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Ralf_M_Petter

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.879
  • Geschlecht: Männlich
  • Jeder ist seines eigenen Glückes Schmied
    • Ralf's Blog
Re: Ganz bös erwischt
« Antwort #3 am: 15.05.09 - 08:04:30 »
Mein Beileid!

Das einzige was da hilft Netzwerk disconnecten und mit LInux Livecd den Rechner booten und Virus entfernen. Bei sehr vielen Rechnern eventuell eine automatisierte Livecd erstellen, die die schadhaften Dateien ersetzt.

Grüße

Ralf
Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #4 am: 15.05.09 - 08:22:11 »
Hier die neuesten Info's
Zitat
This worm dops a copy of itself as c:\WINDOWS\system\1sass.exe and installs a rootkit in c:\WINDOWS\system32\drivers\sysdrv32.sys. The rootkit is installed as a service sysdrv32.
Then, the worm adds in the registry:

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system\1sass.exe"

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system\1sass.exe"

Sieht zwar nach dem alten 1sass aus, ist er aber wohl nicht.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Re: Ganz bös erwischt
« Antwort #5 am: 15.05.09 - 08:29:16 »
Und habt ihr schon aufgeräumt gebracht oder seid ihr noch am kämpfen?
Würde hier bei unserem tollen Symantec auch passieren - geh ich jede Wette ein ;)
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #6 am: 15.05.09 - 08:39:11 »
Zitat
Und habt ihr schon aufgeräumt gebracht oder seid ihr noch am kämpfen?
Was Panda uns geschickt hat, ist frisch aus dem Labor. Wir testen momentan noch.
Lt. Panda ist das Ding wirklich neu und recht hartnäckig.
Kollege sagte gerade, daß der Fix offenbar nicht 100% funktioniert.
Wird ein langer Tag ...
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #7 am: 15.05.09 - 17:41:50 »
wir kämpfen weiter ... Panda hat noch keine Lösung gefunden. Ich habe mit ESET NOD 32 getestet und bekommen das Problem in den Griff. Aber eine komplett neue AV Lösung auszurollen ...
Wird ein langes Wochenende.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #8 am: 15.05.09 - 18:22:03 »
Wird ein langes Wochenende.

Aber sicherlich hast Du keine Sehnsucht nach Kurzarbeit, oder?  :)

Bernhard

Offline Axel

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.658
  • Geschlecht: Männlich
  • It's not a bug, it's Notes
Re: Ganz bös erwischt
« Antwort #9 am: 15.05.09 - 22:18:25 »
Wird ein langes Wochenende.

Mein Wochenende wird genauso lange. Wir machen an einem Standort eine Domänen-Umstellung. 

Axel
Ohne Computer wären wir noch lange nicht hinterm Mond!

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #10 am: 16.05.09 - 05:46:00 »
Zitat
Wir machen an einem Standort eine Domänen-Umstellung.
Wenigstens was Produktives.

So wie es sich nach der Nacht darstellt, wird das eigentliche Rootkit nicht erkannt.
Deshalb schlägt auch der PANDA eigene Rootkit Remover keinen Alarm und findet nichts. Auch MS$ "Tool zur Beseitigung schadhafter Software" schweigt sich aus; hat aber vorgeschlagen, Windows zu entfernen ( kleiner Scherz, gna gna ... )
Sophos erkennt das Rootkit auch nicht ...
ESET hat es auch nicht gesehen; zumindest wehrt deren Scanner aber weitere Atacken ab.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #11 am: 16.05.09 - 15:52:40 »
Schuss in den Ofen. Wir rennen jetzt erneut, von rechner zu Rechner und können noch nicht einmal sehen, ob die Installation OK ist.
WARUM PACKE ICH IMMER IN DIE SCHEISSE ??
Ich habe echt langsam die Schnauze gestrichen voll. Da verkaufen Unternehmen Lösungen, die "enterprise" tauglich sind, mit denen man aber nur Scherereien hat.
Wenn mir irgendwann in echt mal ein Pandabärchen über den Weg läuft, dem reisse ich den Arsch auf und den Kopf ab!!!
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline pd

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 709
  • Geschlecht: Männlich
  • HammHamm :-)
Re: Ganz bös erwischt
« Antwort #12 am: 17.05.09 - 10:35:45 »
Hi Ulrich,

wie siehts mit dem Stinger von NAI aus? Der hat mir mal geholfen, allerdings home und nicht enterprise...

Patrick
<antik>Patrick  Gold Platin u.s.w. member:) nur in Sachen Fragenstellen, Infrastruktur und Offtopic ;-) Domino R6 6.5.6 FP2 Server - Notes 6 (6.5.5) Clients</antik>
<aktuell> Abschied aus IT-Welt, User (Kein Serverzugriff, aber Mitglied der Admingruppe ;-) R8.5 </aktuell>

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #13 am: 17.05.09 - 11:24:28 »
Im Googleranking der Suche nach "1sass.exe" hat es dieser Thread schon auf Platz 6 geschafft. Was Ulrich und Kollegen natürlich auch nicht hilft.

Bernhard

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #14 am: 18.05.09 - 19:54:36 »
Eine blutige Schlacht ist gewonnen; der Krieg noch lange nicht.
Patchen bis der Arzt kommt, manuelle Aktualisierungen der lokalen Virenscanner, Stinger und ein paar andere Tools aus den Sysinternals; viel Kaffee, Pizza, Gyros ...
Blöde Sprüche der User, die trotz Kurzarbeit unbedingt arbeiten mussten.
Der Traffic im Netz konnte von 99% auf 35 % gesent werden. PANDA hat es immer noch nicht geschafft ein verfahren zum Ausrotten des Virus zu bauen; lediglich die Aktivitäten des Unholds konnten eingeschränkt werden. Traurig und ein echtes Armutszeugnis für ein Unternehmen, das sich mit dem Thema hauptberuflich beschäftigt.
Morgen sind noch ein paar letzte Arbeitsstationen dran, die noch rumspuken. Dann sollte erst einmal wieder Ruhe einkehren. Ein flaues Gefühl wird bleiben. ...
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #15 am: 19.05.09 - 13:06:51 »
Wir haben den Wurm gefunden; zumindest sieht er lt. einer Mitarbeiterin so aus wie auf dem Foto. Sie hat ihn auf ihrem PC gefangfen und uns per Hauspost zugeschickt ...  :D
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Ganz bös erwischt
« Antwort #16 am: 19.05.09 - 13:08:57 »
Galgenhumor? ;)
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Ganz bös erwischt
« Antwort #17 am: 29.05.09 - 06:52:58 »
PANDA war bisher noch nicht in der Lage, ein Mittel gegen diesen Unhold zur Verfügung zu stellen.
Es wird lediglich die Aktivität eingedämmt. Vorhanden ist der Wurm immer noch.
Traurig.

Heute kam dann noch ein anderer Effekt hinzu. Wir setzen auch eine PANDA Gatedefender Performa ein. Seit gestern kann niemand mehr auf sein Webmail zugreifen, weil ALLES, was vom Domino kommt als "malicious" angesehen wird.
Auch bestimmte Webseiten ( planetlotus.org) kann ich nicht mehr ansurfen.

Gaaannz toll ...
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz