|
BugBear
S.g. Forum,
ich habe gestern von der Adresse service@aol.com den BugBear als Anhang in der form xxxxxxxxxx.jpg.scr bekommen (1er Schmäh). Der Norton konnte den Virus erkennen (Virus Dat. vom 02.10) Also Augen auf. MaxLarini |
absenderadresse ist ein fake - per zufallsgen zusammengestellt.
für jeden halbwegs vernünftigen benutzer der seinen virenscanner immer aktuell hält stellt dieser virus keine gefahr mehr dar. |
Für uns ist er eine Gefahr!
Wir haben aktuelle Virendefinitionen (Norton) und trotzdem hat BugBear heute quasi das ganze Firmennetz lahm gelegt. Wir mußten alle Netzlaufwerke (regional & überregional) disconnecten, die Drucker haben einige 1000 Seiten Trash verursacht (so hats angefangen) und der Virus ist bisher aus den österreichischen Destinationen via Standleitungen auch weiter in die Schweiz und nach Deutschland. Naja, was es bedeutet, wenn für 4-5 Stunden keine Netzlaufwerke bzw. kein Druckerservice vorhanden ist/sind, könnts Euch vorstellen... :mad: |
hi!
ist nicht wirklich das wahre. wär nur interessant wie das passieren konnte. kann mir nicht vorstellen, dass ein aktueller norten-av den virus nicht erkennt. habt ihr am mailserver ein av-prog laufen? bzw. wie schützt ihr eure server? |
der nai(mcaffe) groupshield exchange auf unserem mailserver fängt alle viren schön brav ab... automatisches update alle paar stunden und auch auf den fileservern läuft der nai dauernd und scannt alles...
|
haben auch nai im einsatz (groupshield, netshield und virusscan451/sp1) - verwaltung über den epol-orchestrator - haut wunderbar hin. automatisches update über interne spiegelseiten - und auf anforderung.
solange ein virus umgeht und der virenscanner noch nicht bewiesen hat dass er ihn erkennt werden außerdem alle gefährdeten dateien abgefangen (exe, pif, scr,...) |
und attachments die der virenscanner ned zum scannen öffnen kann (zb zip files mit pw) werden auch abgefangen.
|
Yep, Antivirus läuft am Exchange Server, von wann das letzte Update genau war, weiß ich nicht.
Ausführbare Dateien filtern wir sowieso, wir haben interessanterweise auch die Meldung von Norton erfahren, daß ein Virus drauf ist (via Email), allerdings zu spät. Der Rest ist binnen Minuten geschehen... Chronologie: Anruf beim Support -> Drucker printet nur Müll -> Versuch, den SNA-Server zu connecten -> geht net, ResponseTime 3s (!!) -> nächster User meldet die Druckerprobs... da hamma dann mal geschalten -> Blick auf BBAlert-> Virus wird gemeldet, ab da gehts mit den Anrufen los, Printers... -> alle Spooler gestoppt, da Zeitgleich dieselben Probleme von Laakirchen und Wien gemeldet werden (weitere "Outlets") währenddessen haben wir auf der Symantec HP nach genaueren Infos gesucht und erfahren, daß der Virus nicht nur via Mail, sondern übers Netzwerk auf alle shared Folders zugreift! -> Anruf im Headquarter in Schweden, daß sie uns (Ö) vom Netz nehmen, zugleich allerdings schon Anruf aus der Schweitz -> gleiches Prob. A paar Minuten später auch Deutschland. Lt. Symantec müssen alle Server vom Netz genommen werden und die freigegebenen Ordner gesperrt werden (?) um das Repairtool mit Sicherheit wirksam auszuführen... Najo, nachdem wir mal über alle Server NAV drüberlaufen ließen (der Virus war dann nur auf einem - auf dem Fileserver im Hauptquartier) - was teilweise Stunden gedauert hat - haben wir dann ein Skript geschrieben und ins Client-Startup integriert, um das Tool automatisch auf jedem Rechner ausführen zu lassen. Aber wie schon gesagt: einige Stunden kein Dateizugriff u.ä. sind schon herb, zudem passiert sowas immer, wenn im Bürohaus in Wien kein IT'ler ist (die waren beide wg. einem Meeting bei uns) - da kann das gleich noch mehr... |
frage: wo arbeitest du?, das hört sich nach vielen überstunden an
|
@Venkman: SCA Hygiene Products (wir stellen Zewa, Danke, Feh uns so Zeugs her)
Für mich war der Tag nicht so lange -> Zeitausgleich ;) Na, die ersten Stunden waren stressig, aber danach konnten wir so und so nichts mehr machen, außer die Scanner laufen zu lassen... Außerdem kenne ich mich noch nicht wirklich so aus, daß ich die Stellung in der Firma halten müsste *g* Interessant wirds dann sicherlich wieder morgen, wenn alle User anrufen und fragen, wie sie denn nun die lokal gespeicherten Daten wieder auf Ihr Serverlaufwerk bekommen... hrhrhr, oder trotz mehrfachem Hinweis auf den Virus der Support als "Scheiße" tituliert wird, weil ja der Drucker nicht nach einer Minute wieder gelaufen ist - hm, sch*** User oder besser gesagt DAU's. |
auch gerade bekommen... membership@telering.at :lol:
nav erkennt den virus ohne problem, mail gelöscht... kein schaden ;) seit wann bekommt man ein teleringmail mit englischem betreff? :D "thanks 4 registering.. bla, bla, bal..." ich dachte schon, es ist eine beschwerde wegen massiven überschreitens des downloadlimits :lol: |
ich hab gedacht, bugbear wär virus, der nur leuten gefährlich werden kann, die die seit x monaten erhältlichen patches nicht aufgespielt haben. lieg ich da falsch?
|
Zitat:
Deswegen hält sich mein Mitleid auch in Grenzen :ms: |
mein gratis AntiVir hat glei angschlagen:)
allerdigs bin a i ständig am updaten. in der firma hab i 177 mails kriagt von meiner sekretärin (de war gar nimma da):lol: der bugbear war allerings scho unschädlich gmacht |
Zitat:
aber du hast das ganze super formuliert:D mfg.morph.:tux: |
Wg. Updates: Normalerweise sind wir auf dem Laufenden, wäre ja wohl mehr als ein Versäumnis...
Der NAV hat den Virus ja auch gemeldet - nur getan hat er nichts wirksames dagegen!! Wurscht, die Zores sind beseitigt, alles wieder beim alten. @der_morpheus: jaja, die BOfH's sind nicht weit... Könnt man bei uns manchmal wirklich denken, wenn ich mir unsere Praktiken so anschau... :D |
wie verbreitet sich der? in einer scr file? und die leute öffnens? (net das es mich wundert)
|
angeblich öffnet sich das attachment von selbst, der virus generiert auch verschiedene betreffs und dateinamen, wäre nur interessant, wie es das auf unserem fileserver getan haben sollte (physikalisch getrennt vom mail-server).
|
__________________________________________________ _________
Wg. Updates: Normalerweise sind wir auf dem Laufenden, wäre ja wohl mehr als ein Versäumnis... Der NAV hat den Virus ja auch gemeldet __________________________________________________ __________ Das war aber nicht gemeint, sondern die Patches die man in das Betriebsystem einspielt. g17 |
von selbst
Zitat:
|
Haha, dann haben's im in einem wirklich großen Forschungsbetrieb Österreichs (will ja den namen nicht ändern ;)) wirklich den BugBear gehabt, weil ich kenn dort jemanden, und der hat mir auch gesagt ihre drucker haben auf eimal wirres Zeugs ausgedruckt (ich hab' mir halt gedacht das ein Virus sowas eher nicht macht). Naja, man lernt nie aus ;) Immerhin der Druckbetrieb war dort fast einen gesamten Arbeitstag unterbrochen, auch nicht gerade hirlfreich beim arbeiten :rolleyes: :lol: :rolleyes:
|
"Quelle Kundenservice" mit der adresse 'quelle@gmx.at' hat mir heute auch den bugbear
zukommen lassen betreff: 7 euro schul-zuschuss anhang: "Alte Excel-Dokumente.zlg.zlg" kein problem für NAV 2002. mfg zzr1210 |
@Teekiller: habts ihr auf den clients keine av software? Der norton putzt den doch problemlos weg, wenn nicht vom exchange dann spätestens wenn er am client geöffnet wird. Bei unseren kunden war der bugbear kein thema, weder bei den popern noch bei den exchangern ;) , der nav, bzw. mcafee hat den sofort gekillt.
|
hab gerade besagten virus von mir selber (gefakte adresse) mit einer 1 1/2 jahre alten mail, die ich tatsaechlich selber geschrieben hatte, bekommen - da hab ich nicht schlecht gestaunt!
hat dank nav nichts anrichten koennen :D |
man gut das ich keine Viren bekommen kann.....
|
und schon wieder ein bugbeaer,
diesmal gespickt mit persoenlichen zugansdaten eines mir unbekannten internet-kontos ... schoen langsam wird's aber sehr bedenklich |
fyi
die neuesten Absender von BugBear/tanatos sind:
Sozialstaat Österreich (office@yahoo.de) Quelle Kundendienst (quelle@gmx.net) AOL Service (service@aol.com) trimlife (trimlife@web.de) UND HILFE GIBTS HIER: http://securityresponse.symantec.com...ools.list.html |
Wir hatten überhaupt noch nie ein Problem mit einem Virus (Holz - Klopf), und zwar
- Schranke eins NAV Enterprise Edition auf jeden PC, automatisches Update im Hintergrund - auf allen Lotus Notes Servern einen Virenschild - Lotus Notes Clients, die sowieso keine Attachments oder Active-X Dinger automatisch aufmachen - die User wurden bzgl. Attachments sensibilisiert - wenn mal wieder ein Virus unterwegs ist (z. B. bei Loveletter), dann werden alle Firewalls vom Intranet ins Internet kurzfristig getrennt - der interne Mailverkehr funkt normal und alles andere kann dann warten Sind zwar z. Teil restrektive Maßnahmen, aber ein Zumüllen des Netzes oder gar Ausfälle ganzer Einheiten kosten viel mehr. Ciao Oliver |
|
Zitat:
|
| Alle Zeitangaben in WEZ +2. Es ist jetzt 23:06 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag