Hallo,
ich habe (hoffentlich) kein Problem, nur eine
Verständnisfrage.
Bei mir läuft Trend-Micro Serverprotect auf
Windows2000-Server.
Heute hatte ich mehrere Meldungen …
_Real-time scan found virus „WORM_NETSKY.D“ in
„E:\DAVID\APPS\POSTMAN\IN\A106AF3C“(message_details.pif).
Real-time scan found virus „(See event log)“ in
„E:\DAVID\APPS\POSTMAN\IN\A106AF3C“.
Action result: Clean failed - Delete success_
Soweit ist das i.O. Ein ‚Exemplar‘ wurde aber nicht gelöscht
und ist bis zum Anwender gekommen. War gut genug getarnt und
wurde geöffnet. ;-( Inzwischen ist er aber hoffenlich wieder
weg, ich finde jedenfalls nichts mehr. Dafür habe ich jetzt
beim Start die Fehlermeldung, daß das Programm ‚Netlogon‘
nicht gefunden wird.
Wenn ich das richtig interpretiere, hat der Wurm einen
‚Trojaner‘ installiert, der inzwischen gelöscht wurde. (ohne
Meldung !?!)
Die Registry bringe ich morgen wieder in Ordnung. …
Frage. Wieso werden 20 Mails gelöscht und eine durch gelassen?
Hat dafür jemand eine Erklärung?
cu Rainer
Frage. Wieso werden 20 Mails gelöscht und eine durch gelassen?
Hat dafür jemand eine Erklärung?
Die heutige Virenflut nimmt schon fast Ausmasse an, die an MyDoom (du erinnerst dich vielleicht dunkel, so ab dem 26. Jan. d. J.?) herankommen. Möglicherweise war dein System durch mehrere ~ parallel eingehende Viren etwas überlastet, so dass nicht alle Mails gescannt wurden. Dies würde allerdings auf ein ziemlich mangelhaftes System hindeuten und dir wäre ein solcher Fehler mit hoher Wahrscheinlichkeit bereits beim MyDoom untergekommen.
Eher dürfte es daran liegen, dass der Netsky sich in einer Reihe verschiedener Varianten verbreitet, und TrendMicro halt noch nicht für jede Variante eine aktuelle Signatur hat(te).
Gruss,
Schorsch
Frage. Wieso werden 20 Mails gelöscht und eine durch gelassen?
Hat dafür jemand eine Erklärung?
Hallo Rainer!
Einige Virenscanner haben die unangenehme Angewohnheit, nicht zuverlässig zu arbeiten, sobald sie unter Last kommen. Abhängig vom Scan-Verfahren kann es passieren, dass eine Mail vom System weitertransportiert wird, bevor sie gescannt wurde. Zu bevorzugen wäre hier ein System, das jede Mail explizit freigeben muss (als gescannt oder unbedenklich), bevor sie zugestellt werden kann.
Falls Du mehrere Rechner zum Scannen üarallel betreibst, könnte es sein, dass auf einem der Virenscanner nicht aktuell oder gar nicht aktiv ist.
CU
Markus
Hallo Markus,
Einige Virenscanner haben die unangenehme Angewohnheit, nicht
zuverlässig zu arbeiten, sobald sie unter Last kommen.
Abhängig vom Scan-Verfahren kann es passieren, dass eine Mail
vom System weitertransportiert wird, bevor sie gescannt wurde.
Muß wohl so sein. Dann war der hier aber zu teuer. 
Falls Du mehrere Rechner zum Scannen üarallel betreibst,
Es geht um den Mailserver. Bis zu den anderen Rechnern darf die Mali nicht kommen.
könnte es sein, dass auf einem der Virenscanner nicht aktuell
oder gar nicht aktiv ist.
Nein, das ist unmöglich. Die sind immer alle aktiv und tagesaktuell.
Danke für die Hilfe.
cu Rainer
hallo Schorsch,
Die heutige Virenflut nimmt schon fast Ausmasse an, die an
MyDoom (du erinnerst dich vielleicht dunkel, so ab dem 26.
Jan. d. J.?) herankommen.
daran erinnere ich mich sogar noch hervorragend. Mit dem gab es auch Probleme, aber andere. Der wurde erkannt, aber nicht gelöscht. … 20 mal pro Sekunde.
Möglicherweise war dein System durch
mehrere ~ parallel eingehende Viren etwas überlastet, so dass
nicht alle Mails gescannt wurden.
Das könnte sein, dann wäre ich aber sehr sehr beunruhigt. … Ich bin beunruhigt!!!
Dies würde allerdings auf
ein ziemlich mangelhaftes System hindeuten und dir wäre ein
solcher Fehler mit hoher Wahrscheinlichkeit bereits beim
MyDoom untergekommen.
Die kamen einzeln, etwa alle 10 Minuten einer.
Eher dürfte es daran liegen, dass der Netsky sich in einer
Reihe verschiedener Varianten verbreitet, und TrendMicro halt
noch nicht für jede Variante eine aktuelle Signatur hat(te).
Danach sieht es nicht aus, beim manuellen Scan wurde er erkannt. Durch zufall hat jemand den Vorgang bemerkt, der sich über die Endung .pif gewundert hat und mir das sofort erzählt hat.
Ganz offensichtlich reicht Serverprotect allein nicht.
Ich muß noch 19 Tage überstehen, dann wird alles geändert. Die Mails laufen dann über die Server der Muttergesellschaft und kommen gefiltert bei mir an.
Danke für die Hilfe.
cu Rainer
Danach sieht es nicht aus, beim manuellen Scan wurde er
erkannt. Durch zufall hat jemand den Vorgang bemerkt, der sich
über die Endung .pif gewundert hat und mir das sofort erzählt
hat.
Das muss nichts heissen. Es ist zumindest möglich, dass zwischen Eingang der Mail und späterem manuellen Scan ein Update der Signaturen stattgefunden hat. Um hier konkret nachvollziehen zu können, was passiert ist, wären detaillierte Logs erforderlich. Wenn dein Virenscanner seine (Update)Aktivitäten vollständig mitloggt, könntest du aus einem Vergleich dieser Logs mit den Logs des Mailservers weitergehende Schlussfolgerungen ziehen.
Dies würde allerdings auf
ein ziemlich mangelhaftes System hindeuten und dir wäre ein
solcher Fehler mit hoher Wahrscheinlichkeit bereits beim
MyDoom untergekommen.
Die kamen einzeln, etwa alle 10 Minuten einer.
Stimmt, MyDoom war regelmässiger, verlässlicher. Netsky kommt 3 - 5 mal in ca. 12 sek., braucht dann aber 10 min. Verschnaufpause. Halt mehr ein Kurzstreckenathlet.
Gruss,
Schorsch
Hallo Schorsch,
Das muss nichts heissen. Es ist zumindest möglich, dass
zwischen Eingang der Mail und späterem manuellen Scan ein
Update der Signaturen stattgefunden hat. Um hier konkret
nachvollziehen zu können, was passiert ist, wären detaillierte
Logs erforderlich. Wenn dein Virenscanner seine
(Update)Aktivitäten vollständig mitloggt, könntest du aus
einem Vergleich dieser Logs mit den Logs des Mailservers
weitergehende Schlussfolgerungen ziehen.
Serverprotect hat eine Scheduler für die Updates. Das letzte Update hatte ich etwa zwei Stunden vorher manuell gestartet. Automatische Updates bei Bedarf würden auch nichts bringen, weil die Patternfiles auch nur ein mal täglich vom ‚Information-Server‘ an die anderen Server weiter gegeben werden. Ein Update zwischenzeitlich kann also nicht sein. Es muß wohl an der Eigenart dieses Wurms liegen.
cu Rainer