8585040390
Oct 10, 2023, updated at 09:28:55 (UTC)
1492
4
0
Bin ich infiziert? AV blockt neu generierte .dll auf Server
Hallo Mitglieder,
ich betreue einen Telefonserver bei einem Kunden (Swyx Netphone) OnPrem, der unter lokalen Adminrechten (nicht Domänenrechte) rennt.
Samstag Morgens erhalte ich eine Mail vom AV:
Datei: C:\Users\*snip*\AppData\Local\Temp\n4ftw1h4.dll
Infektion: Gen:Variant.Bulz.58535 (Engine A)
Das war überhaupt das erste Mal dass der AV auf dem Telefonserver etwas gemeldet hat, also gehe ich davon aus, dass die File, das erste Mal entdeckt wurde.
Leider findet sich überhaupt nichts in der Quarantäne noch am org. Pfad, damit ich das File mal untersuchen könnte oder ggf. bei VT auf false-positive prüfe(n) lasse.
Wurde mein Telefonserver übernommen? Wie würdet Ihr nun vorgehen?
Ich freue mich auf euer Feedback, da ich aktuell unsicher bin, wie ich zu handeln habe.
Eckdaten:
Server 2019, up2date
GDATA AV, up2date
Grüße
ich betreue einen Telefonserver bei einem Kunden (Swyx Netphone) OnPrem, der unter lokalen Adminrechten (nicht Domänenrechte) rennt.
Samstag Morgens erhalte ich eine Mail vom AV:
Datei: C:\Users\*snip*\AppData\Local\Temp\n4ftw1h4.dll
Infektion: Gen:Variant.Bulz.58535 (Engine A)
Das war überhaupt das erste Mal dass der AV auf dem Telefonserver etwas gemeldet hat, also gehe ich davon aus, dass die File, das erste Mal entdeckt wurde.
Leider findet sich überhaupt nichts in der Quarantäne noch am org. Pfad, damit ich das File mal untersuchen könnte oder ggf. bei VT auf false-positive prüfe(n) lasse.
Wurde mein Telefonserver übernommen? Wie würdet Ihr nun vorgehen?
Ich freue mich auf euer Feedback, da ich aktuell unsicher bin, wie ich zu handeln habe.
Eckdaten:
Server 2019, up2date
GDATA AV, up2date
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 72968352040
Url: https://administrator.de/contentid/72968352040
Printed on: May 8, 2024 at 13:05 o'clock
4 Comments
Latest comment
Moin,
also wenn an der Stelle im Filesystem "plötzlich" eine infizierte DLL auftaucht, ist das schon maximal verdächtig.
Bei Befall Server neu installieren.
lg,
Slainte
also wenn an der Stelle im Filesystem "plötzlich" eine infizierte DLL auftaucht, ist das schon maximal verdächtig.
Wurde mein Telefonserver übernommen?
Möglich.Wie würdet Ihr nun vorgehen?
Von sauberer Boot-CD oder ReadOnly USB Stick booten (c't desinfect o.Ä.) und komplette Festplatte auf Malware scannen.Bei Befall Server neu installieren.
lg,
Slainte
1also wenn an der Stelle im Filesystem "plötzlich" eine infizierte DLL auftaucht, ist das schon maximal verdächtig.
An dem Punkt bin ich eben auch. Blöd eben, dass ich nicht wirklich verifizieren kann ob es sich um ein false-positive handelt (wäre bei Gen:Variant.Bulz.58535 nichts Neues).Dann werde ich mal einen Offlinescan durchführen.
Danke Dir.
Grüße
Der 3CX Desktop Client war doch Anfang des Jahres kompromittiert, vielleicht ist der betroffene Client auch dort auf dem Server installiert?! => https://www.3cx.de/blog/sicherheitsupdate-kurzfassung/
betroffene Client
Auf dem Server läuft ausschließlich AV Software sowie die Telefonieanwendung (Swyx/NetPhone; nicht 3CX).Ich bin gerade aktiv mit GDATA im Gespräch; Sie sehen keinen Grund zur Beängstigung. AV hat ja alles weggeblockt.
Werde dennoch einen Cleanscan machen.
Grüße
