Dokumente xls, doc .. werden zu *.xls.exe

dstfrank

Hallo Zusammen

Ich versuche mal mein Problem zu schildern an dem ich schon seit dem 7.12
am kämpfen bin, und hoffe mir kann jemand bei dem Übel helfen

Am 7.12.2006 habe ich festgestellt, dass von über 8 GB Dokumente auf dem Server, 81 Stück Morgends in der Zeit von 7:41 - 7:43 zu Dateiname.xls.exe (auch Doc´s und Works Dokumente) umgeschrieben wurden.
Diese befallenen Dateien haben meines Erachtens keine Gemeinsamkeit, sprich
es sind neue Dokumente aus diesem Monat betroffen, Doc´s aus 2001 und auch aus verschiedenen Ordnern, wobei aus Ordnern nicht alle Dateien betroffen sind, sondern mal eine Datei von 100, in einem anderen Ordner 3 Dateien von 50 Doc´s und auch dateien die schon seit 4 Jahren auf der Festplatte verstauben sind und seit dem nicht mehr angepackt wurden.
Das Dateisymbol ändert sich nach dem infect zu einem "Vorhängeschloss mit einem roten Kreuz", dieses Symbol ist auf der folgenden Website als Beispiel-infektion angezeigt, daher gehe ich davon aus, dass diese Site nicht vertrauenswürdig ist.

Beim Aufruf dieser Infizierten Datei öffnet der Internetbrowser mit der url: http://www.curepcsolutions.com/CPS.File.Recovery.html


Seit dem 7.12 ist auch bis Heute nichts mehr passiert, sofortiger Scan meldete ausser Cookies kein Infect.
Das Ergebnis mit Online Scan von Jotti´s und Virustotal der *.xls.exe ergab folgendes:

Virustotal:
Norman 5.80.02 12.12.2006 W32/Cups.A
Panda 9.0.0.4 12.12.2006 Adware/SpySheriff

Jotti´s
Norman Virus Control W32/Cups.A gefunden

Trendmicro ist im Netz als Virenschutz auf dem Server installiert, die Clients ebenso.
Die Datei wurde bereits an Trendmicro weitergeleitet, die immer noch per case
analysiert wird. Trendmicro hat diese Datei als ADW_SPYSHERIF.AK deklariert.
Trendmicro hat nach dem SICLOG noch die Datei "C:\WINDOWS\system32\rcssrv.exe" zur Überprüfung angefordert, diese ist nach heutiger Nachricht von Trendmicro clean.

Meine Ergebnisse:

Die Größendifferenz der Datei nach der Infektion ist exact 9.216 Bytes, die ist bei allen befallenen Dateien identisch.

Bei den infizierten dateien ist das Erstellungsdatum, der Infektionszeitpunkt.

Beim googlen nach den W32/Cups.A und ADW/SpySheriff erhielt ich leider keine Ergebnisse, "toll mann hat was, und hat doch nichts"

Das Problem ist seit dem 7.12 nicht mehr aufgetreten.

Die Hardware-Firewall ist von Checkpoint, und alle Ports sind Standardmäßig geblockt.

MS Update ist Automatisiert und installiert Nachts automatisch.

SW Schutz besteht durch Adaware und Trendmicro.

Keine anderer Auffälligkeiten.

Und ich bin mir Sicher, dass Netzintern keiner einen streich spielen will und dieses händisch veranlasst hat.



Nun irgenetwas was im Server sitzt, infizierte rein zufällig 81 xls, doc und wdb Dateien (andere MS Dokumente wurden bisher nicht infiziert) und ich habe bisher keine Ahnung was dafür verantwortlich ist.
Ist natürlich toll wenn mann nicht weiss ob irgendwann wieder Dokumente befallen werden, gleich, Morgen oder nächste Woche.


Hat mal jemand damit zu tun gehabt ????, für jeden "Strohalm" wäre ich dankbar.


Viel geschrieben und doch wohl kaum verwertbares



Dank und Gruß
dstfrank