sbooch.de

Als überaus anstrengend lässt sich die letzte Woche beschreiben. Wie im letzten Post notiert, befiel uns der Wurm am Freitag, den 11.09.09. Ob dieses Datum auch das Releasedatum des Wurms war, ist noch unklar. Jedenfalls fing alles damit an, dass an diesem Freitag bereits morgens einige User beklagten, ihre Active-Directory Accounts seien gesperrt, was das Anmelden am PC unmöglich macht. Zuerst dachten wir uns dabei noch nichts.

Später jedoch häuften sich die Meldungen, und nachdem die Netzlast so hoch stieg, dass sogar der Domänencontroller in die Knie gezwungen wurde, bestätigte sich der grausige Verdacht:

Virenbefall.

Nachdem bislang von der g Variante des Confickers noch kaum etwas gehört wurde, setzten wir zuerst bewährte und vorhandene Methoden ein, dem Wurm auf die Schliche zu kommen. Eine große Hilfe hierbei war die hervorragende Informationsseite der Universität Bonn, die auch ein in Python geschriebenes Programm anbietet, dass ein Netzwerk nach befallenen PCs durchsucht. Zur Unterstützung wurden noch andere Tools dieser Art hinzugezogen, unter anderem auch das von BitDefender.

Unsere G-Data Anti-Virenlösung lies ich den Wurmbefall übrigens in keiner Weise anmerken – es wurde auch beim detailliertesten Suchvorgang kein Wurm gemeldet, trotz aktuellster Definitionen. Erschwerend kam hinzu, dass nicht gesagt werden konnte, ob der Wurm von extern oder intern ins Netzwerk kam.

So sahen wir, dass nicht nur ein Haufen der angeschalteten PCs, sondern auch die meisten unserer Server vom Wurm befallen waren. Überraschend war, dass nur 32Bit Maschinen befallen wurden, 64Bit Server blieben verschont. Die eingesetzten Removal Tools suggerierten uns aber den Eindruck, das Problem über das Wochenende in den Griff bekommen zu haben, was am Montag Vormittag widerlegt wurde.

Der Wurm befiel erneut alle Server und PCs. Der neu aufgesetzte WSUS Server aktualisierte die Patches auf den meisten Systemen, doch der Wurm nistete sich auch nach Entfernung erneut auf den gepatchten Systemen ein. Guter Rat war teuer – die aktuellste Version von AntiVir erkannte den Wurm im ersten Durchgang, nach dem Wiederbefall wurde er jedoch nicht mehr erkannt.

Aus Interesse schnappte ich einen befallenen VM-Ware Server, einen befallenen PC und ein mit Linux betriebenes Notebook, um den Wurm ein wenig in einem abgeschotteten Netzwerk zu betrachten.

Hier wurde das Skript der Universität Bonn gestartet. Es wird der Port 445 geprüft, über den der Wurm die Systeme befällt. Über diesen Port beschafft sich Windows außerdem die Informationen zu verfügbaren Windows Updates.

Im folgenden Bild sieht man, wie der Wurm anfängt virtuelle Domains anzulegen. Im Vergleich zu den vorherigen Versionen des Wurms versucht dieser inzwischen eine unzählbare Anzahl an Domänen.

Bislang haben wir den Wurm zwar eindämmen können, komplett los sind wir ihn aber noch nicht geworden. Dies liegt v.a. daran, dass der Wurm sich selber aktualisiert und seine Signatur ständig ändert. Dies macht es den Anti-Virenkits unmöglich, alle Variationen zu finden. Die noch befallenen PCs können innerhalb von Sekunden bereits saubere PCs wieder angreifen, ohne dass auch die aktuellsten Windows-PCs eine Chance hätten, dies zu verhindern.

Soweit zum Confic.ker…

..darf man sich im Betrieb jetzt mit dem Confic:ker ärgern. Welche Version genau das ist, ist noch unbekannt. Ein Tool im Stil der eierlegenden Wollmilchsau existiert auch noch nicht. Und das Schlimmste ist, dass der Wurm sich wandelt und anpasst. Anders kann ich mir nicht erklären, wie er einen bis zum Rand gepatchten Windows Server 2003 immer wieder infizieren kann – aus dem internen Netzwerk heraus. Eins allerdings konnte er bis jetzt noch nicht – mit 64bit Terminal – Servern versteht er sich nicht.

Inzwischen hat sich auch Linux Mint 7 wieder vom Aspire One verabschiedet. Zwar gefällt mir Mint nach wie vor, aber für die schwache Hardware des Netbooks war ich auf der Suche nach einem etwas schnelleren OS.

Für dieses Vorhaben wurde mir mehrmals Crunchbang Linux vorgeschlagen. Gesagt getan, Crunchbang wurde das neue OS auf dem AAO. Es basiert auch auf Ubuntu, verwendet aber OpenBox anstelle von GNOME, was in einem großen Performancegewinn resultiert. Es ist ingesamt schlanker gehalten und kommt mit einem minimalistischen Desktop daher.

Als Frischling was xy-Box Desktopumgebungen betrifft bedurfte es allerdings einer, recht kurzen, Eingewöhnungszeit bis alles zur Zufriedenstellung eingerichtet war.

Mint verschwand aber nicht ganz aus meinen Augen. Es dient mir zur Zeit als Testsystem im Unternehmen.

Für mein neu erworbenes Notebook von Samsung wählte ich übrigens Ubuntu 9.04 Jaunty x64. Allerdings hat das ein oder andere Programm noch erhebliche Probleme mit den 64bit.

So ist es mir bis jetzt noch unmöglich, mit aktiviertem Compiz Fusion ein Video anzuschauen, da ansonsten das Notebook einfriert. Abhilfe hierfür wird noch gesucht, als ersten Schritt habe ich die fglrx Treiber für die verbaute ATI HD 4330 aktualisiert, bislang ohne Erfolg. Ein Wechsel der Treiber auf den freien radeon Treiber vollziehe ich im Laufe der kommenden Woche.

Dank eines sehr netten Tools, dem PulseAudio-Lautstärkeregler, war ich endlich im Stande die Linux-Version von Skype in einen komplett funktionstüchtigen Zustand zu bekommen.
Standardmäßig in Mint enthalten, listet der PA-Lautstärkeregler auch alle momentan sendenden/empfangenden Audiogeräte auf, und man kann sein Mikrophon komfortabel während des Skype Testanrufs einstellen.
Der Paketname des Lautstärkereglers lautet “pavucontrol“

Man kann von Microsoft halten was man möchte – mit Windows 7 haben die Redmonder tatsächlich den bisherigen Kurs verlassen und sich wieder mehr auf ein innovatives Betriebssystem konzentriert. Wieso ich dieser Meinung bin, möchte ich hier kurz erklären.

Nachdem ich nun für 6 Wochen den Windows 7 Ultimate RC, bezogen aus meinem MSDN-AA Zugang, im Testbetrieb hatte, stieg ich vergangenen Donnerstag wieder auf Windows XP um.
Nicht, dass der RC schlecht gewesen wäre – neben den nervigen, etwas langsam reagierenden Fragen nach den Administratorrechten wurde vor allem die Optik – ein Schelm wer hier an KDE denkt – stark überarbeitet. Im Vergleich zu Vista war sogar die Speicherauslastung nach einem Neustart um mehr als die Hälfte niedriger. Am erfreulichsten war für mich, dass ich das deutsche Sprachpaket nachinstallieren konnte – ein Schelm, wer hier zuerst an Linux-Distributionen denkt. Der Windows XP Modus, den die fertige Windows 7 Version besitzen soll, ist, sofern sie funktioniert, eine sehr gute Idee, und auch ansonsten empfand ich Win7 als komplett Office tauglich. Schade war, dass man vom neuen Startmenü nichtmehr auf das klassische Menü wechseln konnte.

Letzte Woche erschien dann die fertige Win7 Professional Edition im MSDN-AA – in englischer Sprache. Ärgerlicherweise kann ich mit dieser Edition keine Sprachpakete nachinstallieren, dies scheint nur mit den Ultimate und Enterprise Editionen zu funktionieren.

..was sogar auf Golem.de, der “IT-News für Profis” Seite, verkündet wird.

Einen auch nicht informativeren, dafür mit herrlichem Artwork versehenen Beitrag findet man bei Nerdcore.