Server 2003 /windows/help/tours Schadsoftware

Dieses Thema enthält 1 Antwort und 2 Teilnehmer. Es wurde zuletzt aktualisiert von  stefan.becker 11. Oktober 2017 at 21:21.

Ansicht von 2 Beiträgen - 1 bis 2 (von insgesamt 2)
  • Autor
    Beiträge
  • #290677

    herms
    Teilnehmer

    Hallo,
    dies ist ein Fall der etwas zurückliegt, aber heute am 10.10. wieder aufgetaucht ist.

    Die Schadsoftware lag auf dem hausinternen Server Firmenserver mit Windows 2003 unter c:/windows/help/tours

    Zeitraum der Attacke 14.7. bis 27.7 2017 (Datuum der Files.)
    Aufgefallen sind diese, da sie eine Batchdatei starten wollten die auf dem Server Desktop eine Abfrage erzeugt hatte.
    Ich habe dies dann genauer untersucht.

    Die Dateien haben drei Dienste innerhalb des Windows installiert und gestartet:
    – BonreeUpdateService c:/windows/help/tours/tours/XBO/UpdateService.exe
    – Telefonic c:/windows/help/tours/tours/eb/csrss.exe
    – Workstatoin (! tatsächlich falsch geschrieben ! ) c:/windows/help/tours/XBO/csrss.exe
    Die drei Prozesse schreiben in Logfiles unter anderem dass sie auf einen server http://www.ebesucher.de zugreifen.

    Auch die gefundene Adresse update.gopopupdate.com ist in China beheimatet, wie eine Adressnachfrage zeigt.
    Die IP Adressen sind in ebenso in China.

    update.gopopupdate.com. 3600 IN CNAME update.gopopupdate.com.qingcdn.com.
    update.gopopupdate.com.qingcdn.com. 3601 IN CNAME u999.v.qingcdn.com.
    u999.v.qingcdn.com. 118 IN A 220.170.187.14
    u999.v.qingcdn.com. 118 IN A 121.12.89.135
    u999.v.qingcdn.com. 118 IN A 222.186.172.79
    u999.v.qingcdn.com. 118 IN A 125.90.58.137
    u999.v.qingcdn.com. 118 IN A 222.186.172.81
    u999.v.qingcdn.com. 118 IN A 125.90.58.138
    u999.v.qingcdn.com. 118 IN A 220.170.187.13
    u999.v.qingcdn.com. 118 IN A 113.96.139.37
    u999.v.qingcdn.com. 118 IN A 222.186.172.80
    u999.v.qingcdn.com. 118 IN A 220.170.187.15

    Einzelne Images innerhalb der Verzeichnisse legen einen asiatischen Hintergrund nahe.

    ich habe die Prozesse gestoppt, dann die Verzeichnisse und Dateien an anderem Ort verschoben um zu sehen
    welche Dateien noch offen sind. Dann die Prozesse welche offene Daten haben gekillt, dann
    die restlichen Dateien auch verschoben.
    Wir prüfen dann den ganzen Server auf Schadsoftware. Ein externes aktuelles Backup ist vorhanden.

    Heute am 10.10. war wiederum im Tours Verzeichnis fremder Inhalt der Schadsoftware bedeutete. Weiterhin war auf einem Window7 PC seit heute ein Administrator parallel zum User eingeloggt (der User bemerkte es in der Mittagspause beim Sperren dass ein Admin eingeloggt ist) und wir haben uns dann in diesen Administrator-User auf dem PC eingeloggt und genauso offene CMD Fenster und den Versuch der Installation einer Software bemerkt. Die bereits installierte Software ist “gomez peer” im Programmverzeichnis x86/dynatrace/lastmile/
    Ein Scann des Servers und der Rechner läuft. Das ganze scheint aber nicht sehr verborgen zu sein.
    Kennt jemand soetwas bzw falls sich wer dafür interessiert bitte ich um Rückmeldung.
    Wir haben damals die Meldestelle des BSI angeschrieben, aber nur allgemeine Hinweise bekommen.

    viele Grüsse
    Hermann

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #290696

    stefan.becker
    Moderator

    Das Problem müsst ihr an der Wurzel anpacken. Und die Wurzel ist hier 14 Jahre alter sicherheitstechnischer Sondermüll.

    Windows Server 2003 ist seit 2015 EOL, also stellt die Server um. Keine Ahnung wie viele Clients betroffen waren, aber Clients sollte man in Firmen bei Virenbefall grundsätzlich neu installieren.

    • Diese Antwort wurde geändert vor 2 Jahre, 1 Monat von  stefan.becker.
Ansicht von 2 Beiträgen - 1 bis 2 (von insgesamt 2)

Du musst angemeldet sein, um auf dieses Thema antworten zu können.