WCM Forum
Seite 1 von 3 1 23 >
40 Beiträge dieses Themas auf einer Seite anzeigen

WCM Forum (http://www.wcm.at/forum/index.php)
-   Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)
-   -   BugBear (http://www.wcm.at/forum/showthread.php?t=72881)

maxlarini 09.10.2002 13:12
BugBear
 
S.g. Forum,
ich habe gestern von der Adresse service@aol.com
den BugBear als Anhang in der form xxxxxxxxxx.jpg.scr bekommen (1er Schmäh).
Der Norton konnte den Virus erkennen (Virus Dat. vom 02.10)
Also Augen auf.

MaxLarini

kansas 09.10.2002 13:44
absenderadresse ist ein fake - per zufallsgen zusammengestellt.
für jeden halbwegs vernünftigen benutzer der seinen virenscanner immer aktuell hält stellt dieser virus keine gefahr mehr dar.

TeeKiller 09.10.2002 15:24
Für uns ist er eine Gefahr!

Wir haben aktuelle Virendefinitionen (Norton) und trotzdem hat BugBear heute quasi das ganze Firmennetz lahm gelegt. Wir mußten alle Netzlaufwerke (regional & überregional) disconnecten, die Drucker haben einige 1000 Seiten Trash verursacht (so hats angefangen) und der Virus ist bisher aus den österreichischen Destinationen via Standleitungen auch weiter in die Schweiz und nach Deutschland.

Naja, was es bedeutet, wenn für 4-5 Stunden keine Netzlaufwerke bzw. kein Druckerservice vorhanden ist/sind, könnts Euch vorstellen... :mad:

kansas 09.10.2002 15:36
hi!

ist nicht wirklich das wahre.

wär nur interessant wie das passieren konnte. kann mir nicht vorstellen, dass ein aktueller norten-av den virus nicht erkennt. habt ihr am mailserver ein av-prog laufen? bzw. wie schützt ihr eure server?

valo 09.10.2002 15:52
der nai(mcaffe) groupshield exchange auf unserem mailserver fängt alle viren schön brav ab... automatisches update alle paar stunden und auch auf den fileservern läuft der nai dauernd und scannt alles...

kansas 09.10.2002 16:12
haben auch nai im einsatz (groupshield, netshield und virusscan451/sp1) - verwaltung über den epol-orchestrator - haut wunderbar hin. automatisches update über interne spiegelseiten - und auf anforderung.

solange ein virus umgeht und der virenscanner noch nicht bewiesen hat dass er ihn erkennt werden außerdem alle gefährdeten dateien abgefangen (exe, pif, scr,...)

valo 09.10.2002 17:15
und attachments die der virenscanner ned zum scannen öffnen kann (zb zip files mit pw) werden auch abgefangen.

TeeKiller 09.10.2002 19:21
Yep, Antivirus läuft am Exchange Server, von wann das letzte Update genau war, weiß ich nicht.

Ausführbare Dateien filtern wir sowieso, wir haben interessanterweise auch die Meldung von Norton erfahren, daß ein Virus drauf ist (via Email), allerdings zu spät. Der Rest ist binnen Minuten geschehen...

Chronologie: Anruf beim Support -> Drucker printet nur Müll
-> Versuch, den SNA-Server zu connecten -> geht net, ResponseTime 3s (!!)
-> nächster User meldet die Druckerprobs... da hamma dann mal geschalten
-> Blick auf BBAlert-> Virus wird gemeldet, ab da gehts mit den Anrufen los, Printers...
-> alle Spooler gestoppt, da Zeitgleich dieselben Probleme von Laakirchen und Wien gemeldet werden (weitere "Outlets")
währenddessen haben wir auf der Symantec HP nach genaueren Infos gesucht und erfahren, daß der Virus nicht nur via Mail, sondern übers Netzwerk auf alle shared Folders zugreift!
-> Anruf im Headquarter in Schweden, daß sie uns (Ö) vom Netz nehmen, zugleich allerdings schon Anruf aus der Schweitz -> gleiches Prob.
A paar Minuten später auch Deutschland.

Lt. Symantec müssen alle Server vom Netz genommen werden und die freigegebenen Ordner gesperrt werden (?) um das Repairtool mit Sicherheit wirksam auszuführen...

Najo, nachdem wir mal über alle Server NAV drüberlaufen ließen (der Virus war dann nur auf einem - auf dem Fileserver im Hauptquartier) - was teilweise Stunden gedauert hat - haben wir dann ein Skript geschrieben und ins Client-Startup integriert, um das Tool automatisch auf jedem Rechner ausführen zu lassen.

Aber wie schon gesagt: einige Stunden kein Dateizugriff u.ä. sind schon herb, zudem passiert sowas immer, wenn im Bürohaus in Wien kein IT'ler ist (die waren beide wg. einem Meeting bei uns) - da kann das gleich noch mehr...

Venkman 09.10.2002 19:55
frage: wo arbeitest du?, das hört sich nach vielen überstunden an

TeeKiller 09.10.2002 22:06
@Venkman: SCA Hygiene Products (wir stellen Zewa, Danke, Feh uns so Zeugs her)

Für mich war der Tag nicht so lange -> Zeitausgleich ;)
Na, die ersten Stunden waren stressig, aber danach konnten wir so und so nichts mehr machen, außer die Scanner laufen zu lassen...

Außerdem kenne ich mich noch nicht wirklich so aus, daß ich die Stellung in der Firma halten müsste *g*

Interessant wirds dann sicherlich wieder morgen, wenn alle User anrufen und fragen, wie sie denn nun die lokal gespeicherten Daten wieder auf Ihr Serverlaufwerk bekommen... hrhrhr, oder trotz mehrfachem Hinweis auf den Virus der Support als "Scheiße" tituliert wird, weil ja der Drucker nicht nach einer Minute wieder gelaufen ist - hm, sch*** User oder besser gesagt DAU's.


Alle Zeitangaben in WEZ +2. Es ist jetzt 19:40 Uhr.
Seite 1 von 3 1 23 >
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag