Das Notes Forum
Sonstiges => Offtopic => Thema gestartet von: eknori am 14.05.09 - 16:52:59
-
Bei uns grassiert die "Computergrippe". Klingt lustig, hält uns aber seit 2 Tagen derbe auf Trab.
Angefangen hat es mit einer 1sass.exe, die irgendwie ins System gekommen ist. Die hat sich dann hübsch verbreitet und die AV Lösung ( Panda ) hat nicht einmal Alarm geschlagen. Hier wurde dann offenbar Tür und Tor für einen Trojaner geöffnet, der nun das hartnäckigste Botnet installiert hat, das ich je gesehen habe.
Momentan sieht es so aus, daß kein AV hersteller in der Lage ist, hgier zu helfen. Panda kann die Infektion erkennen und beseitigen; im gleichem Moment installiert sich der Scheiss wieder neu. Durch Myriarden von ARP requests kommt kein Client mehr an irgend einen Server.
...
-
also derzeit nicht Kurzarbeit 0?
-
Für uns nicht; die Mitarbeiter schon.
-
Mein Beileid!
Das einzige was da hilft Netzwerk disconnecten und mit LInux Livecd den Rechner booten und Virus entfernen. Bei sehr vielen Rechnern eventuell eine automatisierte Livecd erstellen, die die schadhaften Dateien ersetzt.
Grüße
Ralf
-
Hier die neuesten Info's
This worm dops a copy of itself as c:\WINDOWS\system\1sass.exe and installs a rootkit in c:\WINDOWS\system32\drivers\sysdrv32.sys. The rootkit is installed as a service sysdrv32.
Then, the worm adds in the registry:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system\1sass.exe"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system\1sass.exe"
Sieht zwar nach dem alten 1sass aus, ist er aber wohl nicht.
-
Und habt ihr schon aufgeräumt gebracht oder seid ihr noch am kämpfen?
Würde hier bei unserem tollen Symantec auch passieren - geh ich jede Wette ein ;)
-
Und habt ihr schon aufgeräumt gebracht oder seid ihr noch am kämpfen?
Was Panda uns geschickt hat, ist frisch aus dem Labor. Wir testen momentan noch.
Lt. Panda ist das Ding wirklich neu und recht hartnäckig.
Kollege sagte gerade, daß der Fix offenbar nicht 100% funktioniert.
Wird ein langer Tag ...
-
wir kämpfen weiter ... Panda hat noch keine Lösung gefunden. Ich habe mit ESET NOD 32 getestet und bekommen das Problem in den Griff. Aber eine komplett neue AV Lösung auszurollen ...
Wird ein langes Wochenende.
-
Wird ein langes Wochenende.
Aber sicherlich hast Du keine Sehnsucht nach Kurzarbeit, oder? :)
Bernhard
-
Wird ein langes Wochenende.
Mein Wochenende wird genauso lange. Wir machen an einem Standort eine Domänen-Umstellung.
Axel
-
Wir machen an einem Standort eine Domänen-Umstellung.
Wenigstens was Produktives.
So wie es sich nach der Nacht darstellt, wird das eigentliche Rootkit nicht erkannt.
Deshalb schlägt auch der PANDA eigene Rootkit Remover keinen Alarm und findet nichts. Auch MS$ "Tool zur Beseitigung schadhafter Software" schweigt sich aus; hat aber vorgeschlagen, Windows zu entfernen ( kleiner Scherz, gna gna ... )
Sophos erkennt das Rootkit auch nicht ...
ESET hat es auch nicht gesehen; zumindest wehrt deren Scanner aber weitere Atacken ab.
-
Schuss in den Ofen. Wir rennen jetzt erneut, von rechner zu Rechner und können noch nicht einmal sehen, ob die Installation OK ist.
WARUM PACKE ICH IMMER IN DIE SCHEISSE ??
Ich habe echt langsam die Schnauze gestrichen voll. Da verkaufen Unternehmen Lösungen, die "enterprise" tauglich sind, mit denen man aber nur Scherereien hat.
Wenn mir irgendwann in echt mal ein Pandabärchen über den Weg läuft, dem reisse ich den Arsch auf und den Kopf ab!!!
-
Hi Ulrich,
wie siehts mit dem Stinger von NAI aus? Der hat mir mal geholfen, allerdings home und nicht enterprise...
Patrick
-
Im Googleranking der Suche nach "1sass.exe" hat es dieser Thread schon auf Platz 6 geschafft. Was Ulrich und Kollegen natürlich auch nicht hilft.
Bernhard
-
Eine blutige Schlacht ist gewonnen; der Krieg noch lange nicht.
Patchen bis der Arzt kommt, manuelle Aktualisierungen der lokalen Virenscanner, Stinger und ein paar andere Tools aus den Sysinternals; viel Kaffee, Pizza, Gyros ...
Blöde Sprüche der User, die trotz Kurzarbeit unbedingt arbeiten mussten.
Der Traffic im Netz konnte von 99% auf 35 % gesent werden. PANDA hat es immer noch nicht geschafft ein verfahren zum Ausrotten des Virus zu bauen; lediglich die Aktivitäten des Unholds konnten eingeschränkt werden. Traurig und ein echtes Armutszeugnis für ein Unternehmen, das sich mit dem Thema hauptberuflich beschäftigt.
Morgen sind noch ein paar letzte Arbeitsstationen dran, die noch rumspuken. Dann sollte erst einmal wieder Ruhe einkehren. Ein flaues Gefühl wird bleiben. ...
-
Wir haben den Wurm gefunden; zumindest sieht er lt. einer Mitarbeiterin so aus wie auf dem Foto. Sie hat ihn auf ihrem PC gefangfen und uns per Hauspost zugeschickt ... :D
-
Galgenhumor? ;)
-
PANDA war bisher noch nicht in der Lage, ein Mittel gegen diesen Unhold zur Verfügung zu stellen.
Es wird lediglich die Aktivität eingedämmt. Vorhanden ist der Wurm immer noch.
Traurig.
Heute kam dann noch ein anderer Effekt hinzu. Wir setzen auch eine PANDA Gatedefender Performa ein. Seit gestern kann niemand mehr auf sein Webmail zugreifen, weil ALLES, was vom Domino kommt als "malicious" angesehen wird.
Auch bestimmte Webseiten ( planetlotus.org) kann ich nicht mehr ansurfen.
Gaaannz toll ...