Es war mal wieder soweit. Ein Kunde der über uns Avira bezieht, benötigte am Dienstag den 15.12.2009 telefonischen Support, wegen einem im ganzen System ausgebrochenen Virus (170 Arbeitsplätze inkl. Server).
Sämtliche Server waren im Netzwerk völlig überlastet und eine Anmeldung an der Domäne nicht mehr möglich.
Es wurden im ersten Telefonat keine weiteren Informationen über das Firmennetzwerk oder die Firmentopologie übermittelt, lediglich darum gebeten bei der Entfernung des Viruses behilflich zu sein. Die erste Erkennung war laut dem Avira Scanner “TR/Dropper.Gen”. Der Scanner verhinderte weiteres, konnte Ihn aber nicht entfernen. Nun überprüften wir mit dem Avira Support Collector das System und versendeten an Avira das Ergebniss. Die schnelle Rückmeldung ergab, es handelt sich um eine neue Variante mit der Bezeichnung Worm/Conficker.A. Diese hat man sich wohl beim surfen im Internet eingefangen. Fast jeder in der Firma surft mit dem Internetexplorer, da wundert einen nichts mehr. Auch die Windows und Office Updates wurden weder über WSUS noch irgendwie sonst eingespielt. So hat ein Virus leichtes Spiel. Der Conficker Virus nutzt vor allem das Einfallstor einer bereits gepatchten Lücke in der Drucker/Dateifreigabe eines Rechners. Damit wird auch ein ungepatchter Server in Sekunden infiziert. Es benötigte dann die gesamte Donnerstag Nacht, um 180 Maschinen zu patchen, die Dateifreigaben zu entfernen, die Firewall zu aktivieren und den Virus mit der BootCD zu entfernen.
Hier sieht man mal wieder welche einfachen, aber essentiellen Dinge einfach nur beachtet werden müssen, um Viren- und Trojanerfrei zu bleiben. Wir werden dem Kunden nun helfen ein ganzheitliches Sicherheitssystem für sein Untenehmen zu etablieren und auch umzusetzen.
Danke an das tolle Avira Support Team
Einfache Dinge um Virenbefall zu vermeiden:
- Surfen keinesfalls mit einem Internetexplorer, sondern Firefox, Opera, oder Chrome. Diese trotzdem Immer aktualisieren
- Immer aktuellen Virenschutz einsetzen
- Firewall einschalten.
- Windows Update unbedingt regelmäßig durchführen.
- Software möglichst regelmäßig aktualisieren
- Oder einfach Linux/BSD benutzen :->
