Hallo an alle,

ich habe gestern das Windows 2000 Netzwerk einer kleinen Klinik (25 Rechner) als Administrator übernommen. Beim ersten "Reinschnuppern" mit dem bisherigen Admin in der letzten Woche fielen mir im Norton-Serverprotokoll die vielen Virenmeldungen von verschiedenen Arbeitsstationen auf. Alle Meldungen zeigen den Eicar Teststring an.

Der Ex-Admin meinte, er hätte vor einiger Zeit zum Testen der damals neu eingerichteten AV-Software den Eicar Teststring runtergeladen und die Datei noch eine Zeit lang in seinem Benutzerprofil unter "Eigene Dateien" gespeichert gehabt. Nach einiger Zeit seien ihm die Virenmeldungen aufgefallen und er hätte die Eicar-Datei gelöscht. Er konnte aber nicht herausfinden, wo Eicar sich eingenistet hatte und die Meldungen verursachte.

Genau das habe ich gestern Abend auch versucht, aber ich finde NICHTS.

Kann mir einer 'nen Tipp geben, wo das Ding sitzen könnte ???
Eicar scheint schön langsam von einem Rechner zum anderen zu wandern....

Grüße
Sue

Bitte helft mir - ich weiß ja, dass das nix gefährliches ist, aber die Sache ist echt nervig. Ich muss jeden Morgen zig Virenmeldungen manuell durchgehen um auszuschließen, dass nicht doch ein echter Virus darunter ist. Die Meldung lautet ja nur "Virus gefunden", erst die Detailanzeige der Meldung nennt mir dann, was gefunden wurde.

Wie also kriege ich diesen Eicar wieder los?
Es dürfte doch auch gar nicht sein, dass dieser String sich von alleine im Netzwerk ausbreitet, oder ?

Grüße
Sue

Es ist nicht wirklich wahrscheinlich, das Eicar wandert
Eicar ist ein nicht virulenter Codebestandteil, dessen einzige Aufgabe es ist, von AV-Software erkannt zu werden. Er führt nichts aus, er vermehrt sich nicht, er macht nichts.

http://www.sophos.com/virusinfo/articles/eicar.html

Vielleicht mal in den Meldungen nachsehen, wo diese Dateien gefunden wurden und sie dann löschen?
Para

Wie du ihn "los bekommst" ? Löschen.

Wo (Pfad) wird er denn gefunden ?

Oder spielt da jemand ein Spielchen mit dir (Netzwerk) ?


Domino

Hi Para und Domino,

in den Meldungen steht kein Speicherort (Pfad) einer Datei, sondern Eicar wird scheinbar während des E-Mail-Verkehrs mit den entsprechenden Arbeitsstationen gefunden - ob Versand oder Empfang habe ich noch nicht gecheckt.

Ich kenne Eicar ja selbst als reinen Zeichencode - das ist ja das Verrückte an der Geschichte...denn hier HAT er sich definitiv eigenständig im Netzwerk ausgebreitet.

Naja, ich werde mir wohl morgen mal die einzelnen Rechner (insbesondere die Postfächer) vornehmen müssen. Wir haben bisher nämlich keine Server-Postfächer (kein Exchange etc.)

Eine Bitte noch:
Falls ich nicht weiterkomme, würde ich mal eine der Norton-Meldungen hier posten. Schaut ihr euch die dann mal an?

Grüße
Sue

Hm, es gibt zum Beispiel von CT einen Sicherheitscheck, bei dem ua auch das EicarFile an gewünschte EMailaddressen geschickt wird. Das erscheint mir wahrscheinlicher, als das Spam mit Eicarbestandteilen verschickt wird. Diese Mails könnten natürlich boeswillig bestellt, empfangen und versand werden.
Das wäre zumindest eine Überlegung, die man nicht aus den Augen verlieren sollte.
Para

Danke für den Tipp, aber ich wüsste nicht, dass für die User-Mailadressen dieser Test angefordert wurde. Aussagen des Ex-Admins:

1. Er hatte das Testfile nur auf dem Server gespeichert.
2. Der "Befall" der einzelnen Arbeitsstationen war fortschreitend

Ich muss heute Abend sowieso nochmal mit ihm telefonieren, dann frage ich ihn mal eingehender. Ansonsten geht's morgen weiter.

Grüße
Sue

Also Eicar verbreitet sich nicht selbständig, jedenfalls nicht in meinem Netz noch in von mir betreuten Netzen.
Nur gehen diverse AV-Programme unterschiedlich damit um. NAV im Jahr 2003 und IIRC auch noch anfang dieses Jahres hat Eicar sehr schlecht erkannt, die (doppelt)gezipte Variante garnicht, d.h. möglicherweise hat der Vor-Admin (oder User) da mal was getestet, es würde ursprünglich nicht erkannt und deshalb vergessen zu löschen.
Wird nur NAV eingesetzt? Oder wurde auch mal andere AV-Software getestet oder eingesetzt?

Wie verhält man sich denn nun richtig <g>
man beschreibt eine Problematik so, das sie nur mittels Kristallkugel lösbar ist

oder man schreibt mal:
was wurde wann wovon wo gefunden
konnte man klären woher mans hat,oder vermutets man wenigstens
was hat man schon getan (scans, hexedit, dissasembler,winsight)
was hats gebracht
hat man ne befallene Datei die man weitergeben kann?

du bist mir nen Admin

man will ja gern helfen, aber wie wenn man keine Infos über dein Problem hat