Gerade 'flatterte' mir die Info herein, dass Symantec eine weitere Zotob-Variante ausgemacht hat.

Zitat:

W32.Zotob.J@mm is a mass-mailing worm that opens a back door and exploits the Microsoft Windows Plug and Play Buffer Overflow Vulnerability (BID 14513) on TCP port 445. When executed, the worm creates the following mutex so that only one copy of the worm runs at one time: B-O-T-Z-O-R Then, the worm copies itself as the following file: %System%\fuck.exe Next, the worm creates the following registry entries so that it runs every time Windows starts: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"WINDOWS FUCK BY CLASIC" = "fuck.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\" WINDOWS FUCK BY CLASIC" = "fuck.exe" The worm also modifies the following registry subkey to disable the Windows Firewall: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4" Next, the worm attempts to open a back door by connecting to an IRC server on the irc.unixirc.net domain and joining the channel #ccpower. This back door allows the remote attacker to perform the following actions on the compromised computer: Download and execute a file Steal system information Scan for vulnerable computers Transfer files through FTP ...

Es folgt die übliche Auflistung, der möglichen Mailtexte, -anhänge, ect. pp.

Das an sich wäre mir noch keine Erwähnung hier wert, aber über einen Satz in der Symantec-Meldung bin ich dann doch gestolpert:

Zitat:

Due to the ability of the remote user to perform so many different actions on the computer, including installation of applications, it is highly recommended that compromised computers be completely reinstalled.

Zu 'gut' deutsch: Aufgrund der Schadroutine wird eine komplette Neuinstallation dringend empfohlen!

Ist dies jetzt ein Eingeständnis eines 'führenden AV-Herstellers', dass (s)ein AV kein Allheilmittel ist, oder findet generell ein Umdenken statt?

Auf jeden Fall bin ich gespannt, ob sich dieser Satz in der endgültigen Meldung [1] wiederfinden wird...

[1] zur Zeit noch nicht erreichbar...

Hi DerBilk,

ich bin positiv überrascht, daß ausgerechnet Symantec zu diesem Schluß bzw. Erkenntnis -Kompromittiertes System -> Neuaufsetzen = Sicherheit- kommt.

In der öffentlichen 'removal instructions' kommt der Satz leider nicht vor, wie ich gerade sehe.

Mann soll die Hoffnung einfach nicht aufgeben...

Zitat:

Original von Cidre In der öffentlichen 'removal instructions' kommt der Satz leider nicht vor, wie ich gerade sehe.

Jau, ich habe es auch gerade gelesen, bzw. nicht gelesen...

Zitat:

Original von cronos Daran glaubst du doch selbst nicht.

Mein Glaube ist dabei nicht so entscheidend.
Aber es überracht mich schon, so einen Hinweis überhaupt zu finden. Ich zumindest habe dies so deutlich zum ersten Mal gelesen.

Es handelt sich zwar um ein Dokument aus dem 'nichtöffentlichen Teil', aber auch um kein Geheimpapier...
Von daher frage ich mich schon, wieso die soetwas schreiben.

Zitat:

oder findet generell ein Umdenken statt?

Früher oder später werden sie um das Umdenken nicht drumrum kommen. Es macht sich ja auf Dauer auch nicht gut für's Produkt, wenn eine "Säuberung" versprochen wird und anschließend das System instabil rumeiert.

Stimmt auch wieder.

Also edit:
und anschließend das System immer noch instabil rumeiert.

Zitat:

Aber das entsprechend andere Sachen nachgeladen worden sind, wird dabei ganz einfach nicht beachtet.

Das verwundert nicht weiter. Bei diesen ganzen Removal-Tools wie Stinger etc. wird das ja auch schon seit langem tapfer ignoriert.

@DerBilk
Da juckt es mir auch noch auf deiner Seite in den Fingern.

Zitat:

Sie beschreiben ja nur, wie man den entsprechenden Backdoor entfernt.

Gerade deswegen stolperte ich ja über den in der Eröffnung genannten Satz.
_______

Ich will und werde bestimmt keinen 'Glaubenskrieg' anfangen. Aber eine Verurteilung wie 'rumgeeiere' ist mir zu pauschal.
Mag das in der Consumer-Version vielleicht noch stimmen, welche ich letztmalig in der Version 2000 oder 2001 gesehen habe, in der Corporate bzw. Enterprise Edition kann ich dies so nicht bestätigen. Ohne ausschweifend auf 'unsere' Sicherheitsmechanismen eingehen zu wollen, kann ich ein 'rumgeeiere' in einer ~3.500 Client-Umgebung nicht erkennen.

Zitat:

Original von MobyDuck@DerBilk Da juckt es mir auch noch auf deiner Seite in den Fingern.

Nennen wir es Orientierung am Markt.
Aber ich habe es ja immerhin schon abgeschwächt/eingeschränkt...

Zitat:

Original von DerBilk [Ohne ausschweifend auf 'unsere' Sicherheitsmechanismen eingehen zu wollen

Schade, wäre interessant gewesen.
Wobei ich mir nicht vorstellen kann, daß Du Dich auf Virenscanner verläßt.

In den Firmen, in denen ich bisher war, war das leider häufiger der Fall. Jetzt bin ich gerade in einer, wo das nicht der Fall ist:

Wird eine Viren-Schwemme (auch Mailwürmer) festgestellt, werden alle Mails von außen in Quarantäne gestopft - prophylaktisch. Klar, ist unbequem, aber ein Befall wäre noch unangehmer.
Die Anwender werden von der IT scharf gewarnt, keine unbekannten Anhänge zu öffnen - und das regelmäßig
Die IT kann feststellen, wer diese Warnungen ignoriert. So kann ggf. ein LART eingeleitet werden.

Scheint ganz gut zu funktionieren. AV-Programme sind auch im Einsatz, aber die vorigen Maßnahmen sind auch schon recht wirksam...

Zitat:

kann ich ein 'rumgeeiere' in einer ~3.500 Client-Umgebung nicht erkennen.

Da darf der Endanwender auch nicht beliebig mit dem Kram rumspielen. Sinnvolle Voreinstellungen und gut ist. [1]

MfG
Vimes

[1] Wobei dem Endanwender mit einer großen Keule beigebracht gehört, daß auf AV-Programme kein VERLASS ist und man deswegen nicht jeden Schei... öffnen darf.

Nun denn, werde ich mal ein paar Stichpunkte nennen, ohne Anspruch auf Vollständigkeit...

Client-Update über SUS (WSUS)Server
(sofern es sich nicht um die alten NT4-Überbleibsel handelt)

Der 'normale' Benutzer hat auch nur Benutzerrechte

Zugriffsregelung (wer darf sich an welchem Rechner überhaupt anmelden) über OUs im ActiveDirectory

Mailverkehr:
- Malwarescan am Gateway und ExchangeServer mit unterschiedlichen Produkten
- grundsätzliche Quarantänisierung von ausführbahren Dateien (auch Intern!)
- zentrale Spamerkennung und Filterung bzw. Markierung

Internet:
Contentfilterung

Wobei das natürlich nicht alles in meinen 'Kompetenzbereich' fällt. Nur um Missverständnisse vorzubeugen.

Ich habe sicher noch x genauso wichtige Punkte vergessen... Aber es ruft das Bett.

Zitat:

Due to the ability of the remote user to perform so many different actions on the computer, including installation of applications, it is highly recommended that compromised computers be completely reinstalled.

Es ist soweit, sie haben es zugegeben.