BugBear

maxlarini · 09.10.2002, 13:12

S.g. Forum,
ich habe gestern von der Adresse service@aol.com
den BugBear als Anhang in der form xxxxxxxxxx.jpg.scr bekommen (1er Schmäh).
Der Norton konnte den Virus erkennen (Virus Dat. vom 02.10)
Also Augen auf.

MaxLarini

kansas · 09.10.2002, 13:44

absenderadresse ist ein fake - per zufallsgen zusammengestellt.
für jeden halbwegs vernünftigen benutzer der seinen virenscanner immer aktuell hält stellt dieser virus keine gefahr mehr dar.

TeeKiller · 09.10.2002, 15:24

Für uns ist er eine Gefahr!

Wir haben aktuelle Virendefinitionen (Norton) und trotzdem hat BugBear heute quasi das ganze Firmennetz lahm gelegt. Wir mußten alle Netzlaufwerke (regional & überregional) disconnecten, die Drucker haben einige 1000 Seiten Trash verursacht (so hats angefangen) und der Virus ist bisher aus den österreichischen Destinationen via Standleitungen auch weiter in die Schweiz und nach Deutschland.

Naja, was es bedeutet, wenn für 4-5 Stunden keine Netzlaufwerke bzw. kein Druckerservice vorhanden ist/sind, könnts Euch vorstellen...

kansas · 09.10.2002, 15:36

hi!

ist nicht wirklich das wahre.

wär nur interessant wie das passieren konnte. kann mir nicht vorstellen, dass ein aktueller norten-av den virus nicht erkennt. habt ihr am mailserver ein av-prog laufen? bzw. wie schützt ihr eure server?

valo · 09.10.2002, 15:52

der nai(mcaffe) groupshield exchange auf unserem mailserver fängt alle viren schön brav ab... automatisches update alle paar stunden und auch auf den fileservern läuft der nai dauernd und scannt alles...

kansas · 09.10.2002, 16:12

haben auch nai im einsatz (groupshield, netshield und virusscan451/sp1) - verwaltung über den epol-orchestrator - haut wunderbar hin. automatisches update über interne spiegelseiten - und auf anforderung.

solange ein virus umgeht und der virenscanner noch nicht bewiesen hat dass er ihn erkennt werden außerdem alle gefährdeten dateien abgefangen (exe, pif, scr,...)

valo · 09.10.2002, 17:15

und attachments die der virenscanner ned zum scannen öffnen kann (zb zip files mit pw) werden auch abgefangen.

TeeKiller · 09.10.2002, 19:21

Yep, Antivirus läuft am Exchange Server, von wann das letzte Update genau war, weiß ich nicht.

Ausführbare Dateien filtern wir sowieso, wir haben interessanterweise auch die Meldung von Norton erfahren, daß ein Virus drauf ist (via Email), allerdings zu spät. Der Rest ist binnen Minuten geschehen...

Chronologie: Anruf beim Support -> Drucker printet nur Müll
-> Versuch, den SNA-Server zu connecten -> geht net, ResponseTime 3s (!!)
-> nächster User meldet die Druckerprobs... da hamma dann mal geschalten
-> Blick auf BBAlert-> Virus wird gemeldet, ab da gehts mit den Anrufen los, Printers...
-> alle Spooler gestoppt, da Zeitgleich dieselben Probleme von Laakirchen und Wien gemeldet werden (weitere "Outlets")
währenddessen haben wir auf der Symantec HP nach genaueren Infos gesucht und erfahren, daß der Virus nicht nur via Mail, sondern übers Netzwerk auf alle shared Folders zugreift!
-> Anruf im Headquarter in Schweden, daß sie uns (Ö) vom Netz nehmen, zugleich allerdings schon Anruf aus der Schweitz -> gleiches Prob.
A paar Minuten später auch Deutschland.

Lt. Symantec müssen alle Server vom Netz genommen werden und die freigegebenen Ordner gesperrt werden (?) um das Repairtool mit Sicherheit wirksam auszuführen...

Najo, nachdem wir mal über alle Server NAV drüberlaufen ließen (der Virus war dann nur auf einem - auf dem Fileserver im Hauptquartier) - was teilweise Stunden gedauert hat - haben wir dann ein Skript geschrieben und ins Client-Startup integriert, um das Tool automatisch auf jedem Rechner ausführen zu lassen.

Aber wie schon gesagt: einige Stunden kein Dateizugriff u.ä. sind schon herb, zudem passiert sowas immer, wenn im Bürohaus in Wien kein IT'ler ist (die waren beide wg. einem Meeting bei uns) - da kann das gleich noch mehr...

Venkman · 09.10.2002, 19:55

frage: wo arbeitest du?, das hört sich nach vielen überstunden an

TeeKiller · 09.10.2002, 22:06

@Venkman: SCA Hygiene Products (wir stellen Zewa, Danke, Feh uns so Zeugs her)

Für mich war der Tag nicht so lange -> Zeitausgleich

Na, die ersten Stunden waren stressig, aber danach konnten wir so und so nichts mehr machen, außer die Scanner laufen zu lassen...

Außerdem kenne ich mich noch nicht wirklich so aus, daß ich die Stellung in der Firma halten müsste *g*

Interessant wirds dann sicherlich wieder morgen, wenn alle User anrufen und fragen, wie sie denn nun die lokal gespeicherten Daten wieder auf Ihr Serverlaufwerk bekommen... hrhrhr, oder trotz mehrfachem Hinweis auf den Virus der Support als "Scheiße" tituliert wird, weil ja der Drucker nicht nach einer Minute wieder gelaufen ist - hm, sch*** User oder besser gesagt DAU's.

09.10.2002, 13:12	#1
maxlarini Veteran Registriert seit: 15.11.2001 Beiträge: 367	BugBear S.g. Forum, ich habe gestern von der Adresse service@aol.com den BugBear als Anhang in der form xxxxxxxxxx.jpg.scr bekommen (1er Schmäh). Der Norton konnte den Virus erkennen (Virus Dat. vom 02.10) Also Augen auf. MaxLarini

09.10.2002, 13:44	#2
kansas Master Registriert seit: 04.06.2001 Beiträge: 784	absenderadresse ist ein fake - per zufallsgen zusammengestellt. für jeden halbwegs vernünftigen benutzer der seinen virenscanner immer aktuell hält stellt dieser virus keine gefahr mehr dar. ____________________________________ du suchst ein persönliches Geschenk? Du suchst eine individuelle Handtasche für dich selber? www.fototaschen.at Privatpage: www.lessi.net

09.10.2002, 15:36	#4
kansas Master Registriert seit: 04.06.2001 Beiträge: 784	hi! ist nicht wirklich das wahre. wär nur interessant wie das passieren konnte. kann mir nicht vorstellen, dass ein aktueller norten-av den virus nicht erkennt. habt ihr am mailserver ein av-prog laufen? bzw. wie schützt ihr eure server? ____________________________________ du suchst ein persönliches Geschenk? Du suchst eine individuelle Handtasche für dich selber? www.fototaschen.at Privatpage: www.lessi.net

09.10.2002, 15:52	#5
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	der nai(mcaffe) groupshield exchange auf unserem mailserver fängt alle viren schön brav ab... automatisches update alle paar stunden und auch auf den fileservern läuft der nai dauernd und scannt alles... ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

09.10.2002, 16:12	#6
kansas Master Registriert seit: 04.06.2001 Beiträge: 784	haben auch nai im einsatz (groupshield, netshield und virusscan451/sp1) - verwaltung über den epol-orchestrator - haut wunderbar hin. automatisches update über interne spiegelseiten - und auf anforderung. solange ein virus umgeht und der virenscanner noch nicht bewiesen hat dass er ihn erkennt werden außerdem alle gefährdeten dateien abgefangen (exe, pif, scr,...) ____________________________________ du suchst ein persönliches Geschenk? Du suchst eine individuelle Handtasche für dich selber? www.fototaschen.at Privatpage: www.lessi.net

09.10.2002, 15:24	#3
TeeKiller Inventar Registriert seit: 17.05.2000 Ort: 2721 Bad Fischau Alter: 48 Beiträge: 1.597 Mein Computer	Für uns ist er eine Gefahr! Wir haben aktuelle Virendefinitionen (Norton) und trotzdem hat BugBear heute quasi das ganze Firmennetz lahm gelegt. Wir mußten alle Netzlaufwerke (regional & überregional) disconnecten, die Drucker haben einige 1000 Seiten Trash verursacht (so hats angefangen) und der Virus ist bisher aus den österreichischen Destinationen via Standleitungen auch weiter in die Schweiz und nach Deutschland. Naja, was es bedeutet, wenn für 4-5 Stunden keine Netzlaufwerke bzw. kein Druckerservice vorhanden ist/sind, könnts Euch vorstellen...

09.10.2002, 17:15	#7
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	und attachments die der virenscanner ned zum scannen öffnen kann (zb zip files mit pw) werden auch abgefangen. ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

09.10.2002, 19:21	#8
TeeKiller Inventar Registriert seit: 17.05.2000 Ort: 2721 Bad Fischau Alter: 48 Beiträge: 1.597 Mein Computer	Yep, Antivirus läuft am Exchange Server, von wann das letzte Update genau war, weiß ich nicht. Ausführbare Dateien filtern wir sowieso, wir haben interessanterweise auch die Meldung von Norton erfahren, daß ein Virus drauf ist (via Email), allerdings zu spät. Der Rest ist binnen Minuten geschehen... Chronologie: Anruf beim Support -> Drucker printet nur Müll -> Versuch, den SNA-Server zu connecten -> geht net, ResponseTime 3s (!!) -> nächster User meldet die Druckerprobs... da hamma dann mal geschalten -> Blick auf BBAlert-> Virus wird gemeldet, ab da gehts mit den Anrufen los, Printers... -> alle Spooler gestoppt, da Zeitgleich dieselben Probleme von Laakirchen und Wien gemeldet werden (weitere "Outlets") währenddessen haben wir auf der Symantec HP nach genaueren Infos gesucht und erfahren, daß der Virus nicht nur via Mail, sondern übers Netzwerk auf alle shared Folders zugreift! -> Anruf im Headquarter in Schweden, daß sie uns (Ö) vom Netz nehmen, zugleich allerdings schon Anruf aus der Schweitz -> gleiches Prob. A paar Minuten später auch Deutschland. Lt. Symantec müssen alle Server vom Netz genommen werden und die freigegebenen Ordner gesperrt werden (?) um das Repairtool mit Sicherheit wirksam auszuführen... Najo, nachdem wir mal über alle Server NAV drüberlaufen ließen (der Virus war dann nur auf einem - auf dem Fileserver im Hauptquartier) - was teilweise Stunden gedauert hat - haben wir dann ein Skript geschrieben und ins Client-Startup integriert, um das Tool automatisch auf jedem Rechner ausführen zu lassen. Aber wie schon gesagt: einige Stunden kein Dateizugriff u.ä. sind schon herb, zudem passiert sowas immer, wenn im Bürohaus in Wien kein IT'ler ist (die waren beide wg. einem Meeting bei uns) - da kann das gleich noch mehr...

09.10.2002, 19:55	#9
Venkman Inventar Registriert seit: 18.03.2001 Beiträge: 4.563	frage: wo arbeitest du?, das hört sich nach vielen überstunden an ____________________________________ extraterrestrial:WCM SETI group - mySetiStats _xml \| Meldestelle Kinderpornografie \| my DVDs >When life hands you lemons, ask for tequila and salt.< \|für den optimisten ist das glas halb voll, für den pessimisten halb leer und für den techniker doppelt so groß wie es sein müsste\| error 042# - please restart this matrix! [OK]

09.10.2002, 22:06	#10
TeeKiller Inventar Registriert seit: 17.05.2000 Ort: 2721 Bad Fischau Alter: 48 Beiträge: 1.597 Mein Computer	@Venkman: SCA Hygiene Products (wir stellen Zewa, Danke, Feh uns so Zeugs her) Für mich war der Tag nicht so lange -> Zeitausgleich Na, die ersten Stunden waren stressig, aber danach konnten wir so und so nichts mehr machen, außer die Scanner laufen zu lassen... Außerdem kenne ich mich noch nicht wirklich so aus, daß ich die Stellung in der Firma halten müsste g Interessant wirds dann sicherlich wieder morgen, wenn alle User anrufen und fragen, wie sie denn nun die lokal gespeicherten Daten wieder auf Ihr Serverlaufwerk bekommen... hrhrhr, oder trotz mehrfachem Hinweis auf den Virus der Support als "Scheiße" tituliert wird, weil ja der Drucker nicht nach einer Minute wieder gelaufen ist - hm, sch*** User oder besser gesagt DAU's.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)