StFeder.de

Erste Reaktion auf meinen Vista-Test

Eine Reaktion auf meinen Vistaversuch hier im Blog habe ich durchaus erwartet. Die blieb jedoch aus. Dafür kam heute eine Reaktion von ganz anderer Seite.

Ich habe heute zum ersten mal mein neues System im Netz der rwth genutzt, um in der Uni Internetzugang zu haben. Alles funktioniert augenscheinlich perfekt. Vielleicht ein bisschen zu gut: eben komme ich nach Hause und finde folgende eMail im meinem Postfach:

From: NOC-Team – [Name] [mailto:[eMail-Adresse]]
Sent: Friday, November 07, 2008 10:00 AM
To: [eMail-Adresse]
Subject: Sperrung Ihres Einwahl- bzw. VPN-Accounts [Nutzerkennung]

Hallo,

der Blast-o-mat, ein zur Identifizierung virenverseuchter Rechner aufgesetztes Eindringlings-Detektions-System der RWTH Aachen, hat Ihren Rechner als infiziert gemeldet.

Da Sie eine große Anzahl an Spam-Mails versendet haben, wurde Ihr Account deaktiviert.

Eine Reaktivierung Ihres gesperrten Accounts können die Mitarbeiter unseres Helpdesks[1] vornehmen.

Weitere und aktuelle Informationen finden sie auf unserer Homepage [2].

Gruss, der Netzbetrieb der RWTH
([Namen])

P.S. Diese Email wurde automatisch erstellt vom Blast-o-mat [3].

[1] http://www.rz.rwth-aachen.de/ca/c/pqh/lang/de/
mailto:[eMail Adresse]
Telefon: [Telefonnummer]

[2] http://www.rz.rwth-aachen.de/ca/i/qda/lang/de/

[3] Der Blast-o-mat ist eine Entwicklung der Abteilung Kommunikation des
Rechen- und Kommunikationszentrums der RWTH Aachen.
http://www1.rz.rwth-aachen.de/kommunikation/betrieb/auto/status/blast-o-mat.php

[4] Accounting Daten und Kontaktversuche zu anderen Rechnern:

Accounting-Daten:
[meine Einwahldaten]
Sender:,
[vermutlich eine Liste der eMailadressen, die ich angeschrieben haben soll, von denen mir keine bekannt ist und auch keine eine gültige rwth-Adresse ist]

(blauer Text kennzeichnet Auslassungen / Kommentare)

Da scheint sich tatsächlich am ersten echten Vista-Nutzungstag ein Virus in mein System geschlichen zu haben! Während ich diese Zeilen tippe, lasse ich den Symantec online Security Check mein System auf Viren prüfen. Bis heute morgen hätte ich noch gesagt, bei gewissenhaften Umgang mit seinem PC benötigt man keinen Virenscanner… je nachdem was die Virensuche ergibt, werde ich meine Meinung natürlich revidieren und sofort einen Virenscanner in mein System integrieren! Aber erst mal abwarten, was die Suche bringen wird. Aktuell steht da, er habe 40.000 Dateien untersuch und eine “Infektion” gefunden.

edit #1: ein Blick in den Taskmanager verrät: ein Prozess “csrss.exe” verhält sich äußerst verdächtig: weder Dateipfad und -version, noch die Dateibeschreibung passen zur Systemdatei csrss.exe, die auf meinem System (wie auf jedem anderen Windows System) ebenfalls vorhanden ist.

Hätte ich mir Norton vielleicht sparen können. Aber er ist mir ein bisschen voraus: er will mittlerweile zwei infizierte Dateien gefunden haben… leider zeigt er erst am Ende an, um welche es sich handelt.

edit #2: der Virenscanner hat sogar “infizierte” Dateien gefunden. Den einen von mir schon eliminierten Virus (den Symantec einfach “Troja Horse” nennt) und zwei weitere, einmal eine Kopie der vorgenannten Datei und einen offensichtlichen Fehlalarm.

Jetzt muss ich nur noch sehen, wie ich meinen vpn-Zugang wieder frei bekomme und ob ich mir doch mal einen Virenscanner für Vista zulege…

Ich frage mich allerdings ernsthaft: wo habe ich den Virus eigentlich her? Ich habe das System noch kaum genutzt und nur mit einem durch einen Virenscanner geschützten System Daten getauscht.

9 Kommentare

  1. Ohne jetzt irgendjemanden auf die Füße treten zu wollen, aber ich halte Symantecs AV-Produkte für Viren. (Seit meinem ersten Norton [k.A. wann das war], hatten alle Leuts, die ich kenne, mit diesem nur Probleme: Fehlalarme, Dateien einfach gelöscht, schlechte Erkennungsrate…) AVK gibt’s als Trial zum Download. Probiers doch mal damit, der ist jedenfalls sehr verlässlich und vor allem auch in der c’t immer wieder mit besten Erkennungsraten hervorgehoben worden [allerdings auch für ein erhebliches Mehr an Erkennungsdauer].

    Vielleicht war’s ein ITW oder aber Du hast z.B. Spyware, Adware etc. übersehen, über die Dein System gezielt (z.B. via Bots) angesteuert wurde.

    Grundsätzlich solltest Du sicherstellen, dass wenn Du Dein System jungfräulich installiert vor Dir stehen hast, die Firewall aktiviert ist (es reicht schon die von Windows), Du dann von irgendeiner CD den AVK (o.ä.) installierst und erst dann Dein System mit’m INet verbindest und mit Updates versorgst. Adaware oder Spybot search and destroy sind immer zu empfehlen. Vielleicht auch gleich die GData Total Care (gibt’s auch als Testversion) installieren – muss aber nicht. Mein System läuft nur mit Win-FW und Avira, allerdings hab ich auch alle Freigaben deaktiviert und so ziemlich alle unnötigen Ports dichtgemacht. Einfallstellen gibts ja immer massig – gib einfach mal “netstat -b” in der Eingabeaufforderung ein (ich hoffe, das gibt’s noch unter Vista). Alles was Du davon nicht willst, schmeißt Du einfach raus, oder blockst Du mit der FW.

    100%ige Sicherheit kann Dir aber keines der Programme gewährleisten. Selbst bei Originalsoftware schleichen sich immer wieder Viren ein (z.B. beim EeePC Image). Etwas Schutz bietet auch der Verzicht auf Software, die von der breiten Masse genutzt wird (z.B. anstelle von Outlook den Thunderbird).

    Erstens:Je weniger ein Programm eingesetzt wird, um so geringer ist die Wahrscheinlichkeit, das Viren u.ä. dafür programmiert werden. (Finde mal einen Virus für OS/2) Zweitens: Es gibt gerade von anderen Softwareherstellern durch die Veröffentlichung deren SW-Codes Implementationen für die Anwendungen (MS hält sich damit ja weitgehend zurück). Thunderbird hat z.B. das “external E-mail Alert” Addon, was Dich warnt, wenn eine Mail Dein System verlassen soll. In diesem Fall, wär’s wohl angebracht gewesen.

    So, vieles wusstest Du bestimmt schon, wollte auch niemanden belehren. Hauptaussage sollte gerade zu Deinem edit #2 sein:

    Es gibt keine Sicherheit, außer Du hast eine HW-Firewall im Sinne von “durchgeschnittenes Kabel”, keine DMZ, kein INet, kein LAN – alles weg, nur Standalone – damit bist Du zwar nicht sicher vor Viren, aber Dein System versendet nun wenigstens nicht mehr unaufgefordert Mails – diese Sicherheit ist dann 100%.

    LG

  2. Der Virus kommt von der Vista DVD

    Von Semantec halte ich ebenfalls nicht viel, habe bisher mit Bitdefender gute erfahrung gemacht, die letzte GData Version die ich verwendet habe war aufgrund des Kaspersky nicht kompatible mit dem CISCO VPN Client.

    Grüße aus irgendwo zwischen Bielefeld und Hamm (ICE 848)

  3. @Phil: Du meinst: Vista ist ein Virus?
    Gute Reise! Hast Du schon Verspätung wegen Castor und so?

    @StFeder: Wieso schreibt Phil um 17:47 einen Beitrag, wo’s doch erst 17:26 ist? Immer noch Sommerzeit? Oder wie???? Nur so mal, nebenbei… Oder hat Dein Server-Admin Schuld (Dann verschieb’s nach oben…)

    LG

  4. @Kommilitone: Wegen der Zeit wollte ich auch schon mal mit meinem Admin sprechen. Denn auch die Zeit der Beiträge stimmt nie. Ich glaube, die Uhr geht eine Stunde vor, damit hättest Du wahrscheinlich recht mit Deiner Sommerzeitvermutung…

  5. @Kommilitone, Phil:
    Von Symantec halte ich auch nicht viel, die Testversionen von vor 5 Jahren haben mich davon überzeugt, nie mehr ein Symantec Produkt zu installieren. Ich habe wie gesagt “nur” einen Online Scanner verwendet und habe aus dieser Heise-Liste für kostenlose Onlinescanner ausgewählt. Da laut AV-Comparatives das Symantec Desktop Produkt die dritt-höchste “Fundquote” hat (nach Avira AntiVir und G-Data AVK, die aber keine Onlinescanns anbieten), fiel meine Wahl auf Symantec. Meine Sympathie für Symantec ist im Übrigen nicht gestiegen

  6. @StFeder: Was meinst Du mit “Das”?

    Aber ich kenn das, immer wenn irgendwas am IT-Gerät kaputt war, hatte das RZ Schuld. Dass es sich um fehlerhaftes Verständnis, Nutzerfehler oder einfach Unkenntnis handelte, daran verschwendete kaum einer der Nutzer auch nur einen Gedanken.

    Das Tollste war mal (StFeder kennt die Story schon) nach dem Crash unserer IMS-Datenbanken der Anruf eines Kapitäns: “Ich befehle Ihnen, das System läuft!”. Dumm nur, dass IMS ein hierarchisches DB-System ist und sich über die Autorität des Kapitäns setzte – das hat der wiederum überhaupt nicht verstanden und stand irgendwann mit Zornesröte im Gesicht im RZ-Operatorraum (lag wohl auch an meiner Reaktion, den Telefonhörer an die Eingabekonsole zu halten).

    Wir krönten einmal pro Woche den DAU der Woche. @StFeder: Willst Du diesmal? Nur um Deinem ServerAdmin zu huldigen und Abbitte zu leisten?

    LG

  7. Das “das” bezieht sich darauf, dass ich es etwas blöd finde, dass man die Uhrzeit im Blog separiert von der Serverzeit einstellen muss und sogar von Hand zwischen Sommer- und Winterzeit wechseln muss!

    Den DAU der Woche nehme ich gerne. Hauptsache Titel Wo hängen wir dann mein Bild auf?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert