Hallo Leutz,
habe mir auf dem Server einen fürchterlichen Backdoor eingefangen. Name lautet backdoor.win32.servu-based.gen
Zu diesem Plagegeist gibt es kaum Informationen. Daher möchte ich einiges nachholen und hoffe gleichzeitig, dass irgendjemand etwas mitbekommen hat, um sich mit mir auszutauschen. Tr3end Micro kennt den ab dem 16.03.06.
Mein Netz ist abgesichert durch eine Routerfirewall von Linksys.
Antivirenlösung von Symantec Corporate Edition 9 )ok! das war wohl nicht das Gelbe vom Ei).

Zufällig ist mir aufgefallen, dass eine gewisse „firedaemon.exe“ eine Fehlermeldung abgegeben hat. Gegoogelt brachte mir einen Hinweis auf einen Trojaner.
Symantec scannt dann urplötzlich von 120000 Dateien nur noch 11000 und bricht ab.
Danach nur noch 3000 Dateien und nach 2 Minuten war Symantec fertig.

Ich habe mich hier im Board informiert und den Link nach Kaspersky online scan aufgerufen und mir wurde dieser Trojaner gemeldet.
Allerdings war die Software nicht in der Lage, den HKLM sowie die infizierten Dateien zu bereinigen.
Ich habe mir dann F-Secure 5.52 besorgt und der konnte dann die genauen Daten ausweisen.
Im abgesicherten Modus habe ich dann folgende Dateien bereinigt:
Windows\repair -> chdsk.vxd Einträge, einen secure Eintrag, server.0xe und system.0xe und die dazugehörigen Log Dateien, mit Angabe über Verbindungsversuche eines FTP Servers.
Es handelt sich offenbar um einen Trojaner mit FTP Server, der auch in der Lage ist, eine Telnet Verbindung aufzumachen. Er installiert sich mit dem Datum vom 29.02.2006. Da keine Daten darüber vorliegen was sonst noch so umgedreht wird, habe ich Dateien vom Erstband vergleichen und festgestellt, dass Dateien umbenannt werden. So gibt es das Verzeichnis Servertools nicht mehr und die Dateien netstat, nbtstat usw. sind nicht mehr da.
Der Explorer findet noch netstat.exe, zeigt dann aber eine reine Aufforderungseingabe (cmd) an.
Nach der Reinigung mit F-Secure habe ich dann bei TrendMicro und Kaspersky nochmals einen online Scan durchführen lassen und es ergaben sich keine Anhaltspunkte mehr. Alle Arbeitsstationen sind absolut sauber.
Noch etwas seltsameres stelle ich fest: In der Ereignisanzeige finde ich vermehrt Hinweise die mit der ID 20169 RemoteAccess und der Meldung, dass keine Verbindung zum DHCP Server mit der privaten IP Adresse 169.254.198.132, 169.254.253.162, 192.254.63.65 und noch weitere 6 Adressen.
Es wurde noch nie ein DHCP Server betrieben, weshalb ich den Verdacht hegen muss, dass dieser Trojaner noch mehr anstellt als so allgemein befürchtet.
noch etwas: auf diesem Server wrrden keine Programme seit August 2005 installiert, außer dem WSUS. wie kam der dann drauf?
Noch etwas zur Firewall: es sind alle Ports für FTP und Telnet ausgehend und Telnet eingehend gesperrt. Es gibt nur eine Freigabe für sftp mit Passwortabfrage für die VPN Teilnehmer des entfernten zweiten Firmenstandortes.
Wer kann noch etwas dazu sagen. Danke mal im Voraus.

Jungbrunnen
Wenn das mit den Viren so weitergeht ist es bald aus mit Jungbrunnen.

Hallo Jungbrunnen,

dieses Forum richtet sich an Privatanwender. Bei Problemen mit Firmenrechnern bitte den zuständigen Admin informieren oder, wenn du der Admin bist, Profis engagieren.

Bei Privatanwendern wird bei Backdoor-Befall ein Neuaufsetzen empfohlen.

Gruß
Yopie

Hi Yopie,
mit der Firma liegt an der momentanen Sprachweise die in meiner Ausbildung gepflegt wird.
Es handelt sich um ein sogenanntes "Lernnetzwerk" zu einem Kommilitonen, um die Lernziele zu erreichen.
Ich wollte auch keine langwierigen ERklärungen auf meine Mitteilung bekommen, sondern es war mein Ziel, etwas über diesen Plagegeist bekannt zu geben, da ich mich jetzt schon mehr als 1 Woche mit den Auswirkungen beschäftigen muss.
Wenn das aber nicht gewünscht wird, dann lass ich es eben und diejenigen, die noch infiziert werden, müssen halt etwas mehr googeln als ich.
Ist noch jemand an dem Thema interessiert? WEnn ja, gebe ich gerne weitere Informationen dazu bekannt.

Jungbrunnen

Hallo Jungbrunnen,

meinen Rat für Privatanwender habe ich schon gegeben. Den Auswirkungen bei Backdoors sind quasi keine Grenzen gesetzt, weiterführende Hinweise dazu findest du in der Anleitung zum Neuaufsetzen in meiner Signatur.

Wie er draufgekommen ist? Entweder war das Netz nicht so sicher wie du es beschreibst, oder es liegt menschliches Versagen vor.

Danke auf jeden Fall für deine recht ausführliche Beschreibung.

Gruß
Yopie

Hi Yopie,
dass das Netz (1 Server und 2 PC) nicht so sicher war, habe ich recht hart erfahren müssen.
Bisher habe ich mich auch nicht so sehr mit diesen Problemen beschäftigt, da ich mehr im Bereich der SQL ANbindungen unterwegs bin und die restliche Zeit die verbleibt befasse ich mich mit Umsetzungen von IT Lösungen an der Schule.
Das war ein FEHLER!
Eben weil nichts installiert wurde und der Server keinerlei Internetverbindungen aufnehmen kann (mit Ausnahme der Zeiten, wenn der WSUS aktiviert ist, sonstper GPO deaktiviert), dachte mein Komillitone und ich, dass wir sicher sind.
Ich habe noch ein Verzeichnis gefunden das sich "psybnc" nennt und auch eine Firedaemon.exe beinhaltete. Das habe ich im abgesicherten Modus weggeputzt und seitdem kommt auch keine Fehlermeldung mehr mit der Firedaemon Exe hat .... ->Allication hang.
Jetzt ist mein Tatendrang so weit vorangegangen, dass ich mich dieser Herausforderung lieber stelle, als den SErver neu aufzusetzen (ist eh fast nichts drauf was wichtig wäre - der Spion kann höchstens Anleitungen und kompilierte Programme finden mit denen er nichts anfangen kann).
Ich mach mal weiter und schau mal ob ich nicht auch hier etwsas mehr Experte werden kann. AZUBI war ich ja jetzt schon.

Danke für die Antworten
Jungbrunnen

Zitat:

(ist eh fast nichts drauf was wichtig wäre - der Spion kann höchstens Anleitungen und kompilierte Programme finden mit denen er nichts anfangen kann).

Falsch.
Der Server kann als Ablageplatz für illegale Dateien wie z.B. Kinderpornographie oder Raubkopien verwendet werden.

Die Männer in grün werden dich dann genauer aufklären - erzähl ihnen das was du uns erzählt hast.

mfg,
Markus

Hallo,

ich darf das Thema noch einmal auffrischen.
Bisher war man ja der Meinung, dass dieser Trojaner durch "menschliches" oder anders geartetes FEhlverhalten (wie das bei diesen Schädlingen ja eigentlich so ist), auf die PCs kommt.
Wie ein internationales Expertenteam jedoch vor wenigen Tagen mitteilt, ist dem nicht so.
Speziell Benutzer von Symantec Software möchte ich in diesem Zusammenhang besonders warnen, da dieser Schädling explizit diese Software als "Wirt" benutzt und gezielte Sicherheitsmängel innerhalb der Software ausnutzt.
Wer ihn drauf hat, muss sich zudem noch mit Win32.AOST, von uns gefundenen etwa weiteren 25 Trojanern, die ständig nachgeladen werden, Keyloggern, Ftp-Servern, Sftp-Servern, Telnet-Servern und was weiß ich nicht noch alles herumschlagen.
Reparieren hat absolut keinen Sinn. Bitte gleich neu aufsetzen, auch wenn es weh tut!
Und an Symantec geht ein
jungbrunnen

Hallo,

Zitat:

Wie ein internationales Expertenteam jedoch vor wenigen Tagen mitteilt, ist dem nicht so.
Speziell Benutzer von Symantec Software möchte ich in diesem Zusammenhang besonders warnen, da dieser Schädling explizit diese Software als "Wirt" benutzt und gezielte Sicherheitsmängel innerhalb der Software ausnutzt.

Quelle?
Es gab zwar Berichte von kritischen Lücken bei Symantec, aber das sie auch ausgenutzt wurden habe ich nirgends gelesen.


Grüße Wildone

Autsch!
Natürlich hätte ich die QUELLE noch anmerken müssen.
Gemeldet wurde es von eEye Digital Security. Es gibt bei yahoo auch einen Link, der ähnliches meldet, jedoch nicht tiefer drauf eingeht.
http://news.yahoo.com/s/pcworld/20060526/tc_pcworld/125901;_ylt=Ag_6mwocJo.NMtkwsHv9mmQjtBAF;_ylu=X3oDMTA5aHJvMDdwBHNlYwN5bmNhdA--

Diesen und einen zweiten Artikel, ebenfalls aus einer Security Zeitschrift erhalte ich noch über einen Bekannten der bei Dimension Data arbeitet und der auch auf das Problem gestoßen ist. -die Zeitschriften erscheinen wohl in den USA.
Ich hoffe, ich konnte/kann helfen.
jungbrunnen

Hallo,
also die Meldungen sind mir bekannt, aber da steht mit keinem Wort, dass es einen Wurm gibt der die Lücke ausnutzt, schon gar nicht "in the wild". Solche oder ähnliche Lücken treten z.B. bei Windows (oder dem IE) alle ein/zwei Monate auf, jedoch ist meistens der Patch zu der Lücke schon draußen bevor es die erste Malware gibt die die betreffende Lücke ausnutzt.


Grüße Wildone

Hi Wildone,

dann versteh ich was nicht. Das hier ist eine Meldung aus VNUNET:
Security-Experten warnen vor einer ernsten Sicherheitslücke in Symantec-Software, die ein Einfallstor für Cyberkriminelle darstellt.



Die Fachleute von eEye Digital Security warnen vor einem Sicherheitsproblem in der Symantec Antivirus Software für Unternehmen.

Die Lücke, so die Experten, könne definitiv durch einen Wurm ausgenutzt werden, der sich über die Symantec-Software verbreitet und die Kontrolle vieler Unternehmens-PCs in die Hand von Cyberkriminellen gibt.

Eine Reaktion des Herstellers steht noch aus. Die Privatanwenderversion ist nicht betroffen. [fe]
Bitte kläre mich auf. Danke.
jungbrunnen

Hallo,
da steht:

Zitat:

Die Lücke, so die Experten, könne definitiv durch einen Wurm ausgenutzt werden,

Das heißt aber nur das es potenziell möglich ist. Die Firma eEye Digital Security wird ein Exploit geschrieben haben, dass es ermöglicht diese Lücke auszunutzen. Aber da es sich um eine seriöse Firma zu handeln scheint werden sie ihr Wissen kaum den Trojanerautoren weitergegeben haben, insofern existiert noch kein Wurm "in the wild" der diese Lücke ausnutzt. Soweit ich weiß hat Symantec die Lücke übrigens schon gepatcht, mehr hier.


Grüße Wildone