Ungepatchte Sicherheitslücken in Windows 2000 sind nervig. Klar, die Systeme sollten eh demnächst ausgemustert werden, aber diese Form von Virus war mir bislang unbekannt: Wenn das Virus sich nicht beim Infektor regelmäßig meldet, probiert dieser eine neue Infektion.
Wie genau das Virus auf die Systeme gekommen ist, konnte ich noch nicht endgültig nachvollziehen. Soweit nur soviel:
- Der Infektor fordert den zu infizierenden Rechner auf, eine bestimmte Datei herunterzuladen und diese auszuführen.
- Die Datei startet einen Prozess und wird an verschiedene Stellen im system32-Verzeichnis von Windows kopiert und dabei umbenannt. Hier wird sie zumindest von Sophos gefunden und auch wieder gelöscht. Der Prozess läßt sich aber nicht abschießen, ein zweiter Prozess überwacht den ersten und startet ihn neu. Allerdings verzichten die Prozesse darauf, mit dem Virenscanner ein Wettbewerb zu machen, wer schneller auf der Festplatte löscht oder schreibt. Sie bleiben im Speicher und laufen dort vor sich hin.
- Die Prozesse bauen regelmäßig eine Verbindung zum Infektor auf und melden sich dort, gleichzeitig versuchen sie, andere Rechner über die Lücke zu infizieren.
- Schaltet man das infizierte System dann aus, um es mit einem Virenscanner von LiveCD zu scannen, ist der Virus weg – er war ja nur im Arbeitsspeicher.
- Ist das System wieder da, meldet sich aber gleich wieder der Infektor, um neu zu infizieren. Die regelmäßige Meldung des infizierten System ist ausgeblieben, also wird eine neuerliche Infektion probiert. Außerdem versucht gleich darauf ein vom neu gestarteten Rechner infizierter Rechner, das Virus neu einzubringen. Wenn der Infektor weg ist, wird dieser neu infiziert…
Insgesamt ein schlüssiges Konzept, wenn die Maschinen nicht alle gleichzeitg ausgeschaltet werden. Ich hoffe, es gibt nicht zu viele Infektoren außerhalb unseres Subnetz, sonst müssen wir noch sehr viel mehr IPs sperren.