Hallo

Ich habe ein problem in meiner Bude. Mir wird vorgeworfen, dass ich den oben genannten Virus vom Internet heruntergeladen habe. Arbeite über Windows 2000 Terminal Server. Der Haken an der Sache ist, dass ich den Internet Explorer seit Monaten nicht mehr angefasst habe und auch sonst überhaupt und rein gar nix auf'm Internet gebastelt habe.

So, nun habe ich ein Erklärungsproblem... wie kann ein solcher Wurm (Backdoor :P) auf den Server kommen.

Ich habe schon im Verlauf und Temp. Internet Files aller angemeldeten Benutzer geschaut und keiner hat in den letzten Wochen aufs Internet zugegriffen.

Was mach ich jetzt? ;( :mad:

Tschau

mmm...

Welcher Virenscanner wird eingesetzt? Wie gross ist das Netzwerk? Der Wurm ist leider nicht sehr bekannt, richtiger Name?

Es kann sein, dass er über Shares geht, das heist, ein Client hat das Teil drauf und verteilt es ...

Norman Antivirus, kleines Netz mit ca. 8 Pc's, aber nur 3 haben zugriff auf den betroffenen Server (alle arbeiten über Terminal), auf den Clients ist praktisch überhaupt nichts installiert, nicht mal der IE. Und ja, der Name des Wurms wurde steht so im Logfile von Norman

Tschau

mmm...

Hab das dazu gefunden:
Click on a samples "Date" to display its Sandbox analysis.

Report created: 13.11.2005 11:01:22

Automatic Sandbox analysis of W32/PoeBot.gen
[ General information ]
* Creating several executable files on hard-drive.
* File length: 90624 bytes.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM32\spooIsv.exe.
* Creates file C:\WINDOWS\SYSTEM32\spooIsv.exe.
* Deletes file xnsjdxh.bat.
* Creates file xnsjdxh.bat.

[ Changes to registry ]
* Creates value "Windows DLL Loader"="C:\WINDOWS\SYSTEM32\SPOOISV.EXE" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Creates a mutex link0907.
* Attemps to open xnsjdxh.bat NULL.
* Will automatically restart after boot (I'll be back...).

[ Signature Scanning ]
* C:\WINDOWS\SYSTEM32\spooIsv.exe (90624 bytes) : W32/PoeBot.gen.
* xnsjdxh.bat (123 bytes) : no signature detection.
Quelle (http://sandbox.norman.no/live_2.html?logfile=390874). Aus dem Google-Cache kann man erfahren, das Norman den Wurm durch eine Datei mit dem Namen nepenthes-f93dfc48cff46e48c854692fc5cfc543-FireWall-Update1.exe (eventuell heisst die Datei nur "firewall-update1.exe) erhalten hat. Vielleicht hat jemand von euch ebenso eine merkwürdige Datei ... Google-Cache (http://66.249.93.104/search?q=cache:WdOwTVD7ew4J:sandbox.norman.no/live_2.html+norman++W32/PoeBot.gen&hl=de&client=firefox-a) ...


Das heisst, du könntest mit dem Admin mal zum Server gehen/ draufschalten und dann guckt ihr euch die SPOOISV.EXE an, um zu sehen, seit wann es sie gibt. Seit dem Zeitpunkt ist das System infiziert, mit Glück ist deine Unschuld damit schon bewiesen, mit Pech wurde die Datei von Norman gelöscht oder sie wird nicht angezeigt. Im Taskmanager mal schauen, ob der Process (nicht mit anderen verwechseln!) läuft ...