sfera-haiza
Goto Top

Komischer Virus oder Wurm

Blockt Virenprogramme und Update.exe'n

ndzwar habe ich win 2003 server und hab nen Bock im System. Der Virus verhindert, dass Dateien entpackt werden die den namen tragen "update.exe" oder sooder auch andere Dateien anderer Anti Viren Tools.
Spiele ich übers Netzwerk die Upadte dateien ( z.B. aus einem Service Pack) auf, so wird sie gelöscht sobald ich an dem befallenem PC auf den Ordner klicke.

Was ist das für ein Mistteil?

Symtic Antivirus hatte nix gefunden und den NOD 32 setzte ich übers Netzwerk auf den betroffenem PC ein, da der Virus wohl am System selbst auf die Anti Viren Tools losgeht , die Updatefunktion blockt und sie größtenteils außer Kraft setzt.


Welcher Virus kanns sein und wie kann ich ihn außer Kraft setzen?

Content-ID: 67798

Url: https://administrator.de/forum/komischer-virus-oder-wurm-67798.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

gnarff
gnarff 04.09.2007 um 05:42:18 Uhr
Goto Top
Hallo sfera-haiza!

Der komische Virus ist ein Wurm und heißt Nyxem.gen.
Das ".gen" habe ich dabei angefügt, da wir ja nicht wissen, ob es sich dabei tatsächlich um den originären Nyxem.E handelt oder um eine neue Variante.
Dieses Schadprogramm ist auch bekannt unter den Namen:

W32.Blackmal.E@mm
Kama Sutra
W32/MyWife.d@MM
Email-Worm.Win32.Nyxem.e

Verhalten des Schädlings:
Einmal installiert blockt er die Updates der folgenden Antivirenlösungen [soweit mir bekannt]:
Norton AntiVirus
Symantec
Mc Afee
Trend Micro
Panda Anti Virus
Kaspersky
eTrust EZ Antivirus

Der Wurm, sofern sich nichts geändert hat, residiert in einer Update.exe Datei und manipuliert an jedem Dritten Werktag im Monat Dateien mit den folgenden Endungen:
*.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.pps, *.zip, *.rar, *.pdf, *.psd, *.dmp.
Dabei löscht er deren Inhalt und fügt stattdessen folgende Meldung ein:
DATA Error [47 0F 94 93 F4 K5]

Dieser Schädling verbreitet sich über die Netzwerkfreigaben und befällt so das gesamte Netzwerk.

Vorgehensweise in einer Produktionsumgebung [Best Practices]:
Der Server ist sofort vom Netzwerk zu trennen und neu aufzusetzen
Es wird sofort ein Backup aller Datenbestände gefahren.
Die Clients werden gereinigt

Von F-Secure gibt es das Reinigungstool [ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip F-Force].
Es handelt sich dabei um eine *.zip Datei mit folgendem Inhalt:
          • f-force.exe - the main executable file
          • eult.rtf - End User License Terms document
          • readme.rtf - Readme file in RTF format
          • readme.txt - Readme file in ASCII format

Um F-Force benutzen zu koennen bedarf es eines Updates, die Datei [ftp://ftp.f-secure.com/anti-virus/updates/latest/latest.zip latest.zip].

Nach erfolgreicher Entfernung des Schadprogramms, sind alle verfügbaren Festplatten nochmals zu scannen, besonders in den Archiven, da F-Force diese von seinem Scanning standardmäßig ausnimmt.

Sollte es sich nicht um eine Produktionsumgebung handeln, so kannst Du versuchen auch den Server mit dem Tool zu reinigen; obwohl ich nicht weiß, ob das unter Server 2003 funktioniert.
Es gäbe alternativ noch den Bitdefender Onlinescan.

Ich warne nochmals eindringlich davor zu versuchen den Server einem Reinigungsversuch zu unterziehen, falls er sich in einer Produktionsumgebung befindet. Geht dieses Unterfangen schief, droht dreißig Tage später Datenverlust und Betriebsausfall.

saludos
gnarff
sfera-haiza
sfera-haiza 04.09.2007 um 07:28:06 Uhr
Goto Top
Leider gibts da von dir verlinkte Programm nichtmehr. (ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip) Ich meine ich hätte mir die Seite auch schonmal aufgerufen gehabt.
gnarff
gnarff 04.09.2007 um 08:27:30 Uhr
Goto Top
Seltsam, ich habe es mir gerade noch einmal heruntergeladen, der download funktioniert...
Ich habe noch ein anderes Removal Tool gefunden:
http://www.bitdefender.com/site/Downloads/browseFreeRemovalTool
bitte zu Win32.Nyxem.E@mm (.exe) herunterscrollen und downloaden.
saludos
gnarff
sfera-haiza
sfera-haiza 04.09.2007 um 13:24:51 Uhr
Goto Top
Das AntiNyxem-EN.exe ist spitze face-wink Hatte es geschafft erswt 3 sec offen zu bleiben, dann ist es innerhalb einer halben Sekunde nach dem öffnen wieder zu.

Ich habe gerade ds f-force Programm am laufen, dass brach nicht zusammen,- mal sehen was bei rumkommt.
sfera-haiza
sfera-haiza 04.09.2007 um 18:43:27 Uhr
Goto Top
Nee Ju8ngs hatte leider nix gebracht , das f-force Programm fand zwar was und beseitigte es, dass ers beim zweiten Scan nicht wieder fand aber dennoch sobald ich wieder enie update.exe auf den PC spiele ist sie binnen einer Sekunde wieder weg.
gnarff
gnarff 04.09.2007 um 20:19:16 Uhr
Goto Top
Ich hatte Dir ja gesagt, dass wir nicht wissen ob es sich um die originäre Version des Nymex.E handelt oder um eine neue Variante.
Die von Dir verwendeten Tools sind schon etwas älteren Datums.

Weitere Gründe warum eine Desinfizierung scheitern kann:
- Das Betriebssystem Windows 2003 Server wird nicht unterstützt.
- Die Systemwiederherstellung wurde nicht abgeschaltet und nach erfolgter Desinfektion alle alten Wiederherstellungspunkte gelöscht.
- Nach erfolgter Desinfektion wurden die festplatten nicht einem kompletten Scanning unterzogen
- Der Rechner wurde vorher nicht vom Netzwerk getrennt

Hier ist noch ein Tool von Symantec W32.Blackmal@mm Removal Tool das unterstützt auch Windows NT, vllt. hast du damit mehr Glück.
Als letzten Ausweg gibt es noch den Bitdefender Onlinescanner

Ich glaube aber, dass Du besser beraten bist, den Server neu aufzusetzen - wie ich weiter oben schon ausfuehrte und in Zukunft ein besseres Sicherheitsmanagment implementierst.

saludos
gnarff
sfera-haiza
sfera-haiza 04.09.2007 um 22:15:13 Uhr
Goto Top
Also auch das Norton Programm sagte mir nun, dass er nix gefunden hat.
Naja muss ja was drauf sein, denn wenn im System Dateien fehlen würden, dann wütrden sich ja gewisse Dateien nicht nachwievor automatisch löschen sobald ich sie aufspiele, oder?
Also ist da doch noch noch einer im Spiel face-sad
gnarff
gnarff 05.09.2007 um 00:56:01 Uhr
Goto Top
Deine letzte Chance vor dem Neu aufsetzen der Servers ist der Bitdefender Onlinescanner, die Links dazu hatte ich ja bereits oben gepostet. Ich habe mich gerade informiert, der unterstützt auch 2003 Server und erkennt alle Varianten dieses Schädlings.
Systemwiederherstellung ausschalten nicht vergessen!

Das von Hand entfernen ist schwierig, der Erfolg kann nicht zu 100% garantiert werden und dauert länger als das Neuaufsetzen eines Servers.
Meine Meinung zu kompromittierten Server- Betriebssystemen hatte ich ja auch schon kundgetan.

saludos
gnarff
sfera-haiza
sfera-haiza 06.09.2007 um 16:41:34 Uhr
Goto Top
So das Ende vom Lied: Es half nur Neuinstallation

Der Virus wurde nicht entdeckt.
gnarff
gnarff 06.09.2007 um 17:09:36 Uhr
Goto Top
Na, habe ich Dir doch gesagt:
Wenn Server befallen, dann Neuinstallation; alles andere ist unverantwortlich.
Da Du nun drei Tage daran herumgebastelt hast, kannst Du das gesamte Netzwerk nun auch noch, Client fuer Client untersuchen. Client, sofern nicht Thin, aus dem Netz nehmen und von Hand die Festplatte durchscannen, Backupserver, Mailserver...na, Du bist ja Angler und hast Geduld.
Petri Heil...

saludos
gnarff
sfera-haiza
sfera-haiza 06.09.2007 um 17:46:13 Uhr
Goto Top
Nee habe keine Clienten face-wink
Benutze es als Workstation.