Windows 2008 PE_TENGA.A virus

Beste Tweakers,

Ik heb sinds een aantal uur iets vreemds binnen mijn thuisnetwerk. Wanneer mijn Windows Server 2008 Professional (van MSDNAA gedownload) aanstaat, verstoort het hele netwerkverkeer.

Allereerst een situatieschets van mijn netwerk.


Ik verloor de verbinding met het internet omstreeks 21:00 vandaag, ik kon niet meer pingen naar het WWW en ik wilde controleren of mijn Livebox niet de geest had gegeven dus ik pingde naar dat apparaat en ontdekte iets heel vreemds:
Ik probeerde te checken of het aan mijn PC lag (10.0.0.15) of dat ik het ook op de server (10.0.0.10) kon reproduceren.

Daar trof ik iets aan wat mij toch wel zorgen baarde:

De boosdoener was overduidelijk:


Ik dacht eerst dat het een faaltje van Windows was dus ik sloot mijn server af (via de console) en prompt veranderde mijn ping-tijden naar de Livebox:
Dit bleef zo constant doorgaan, het internet deed het toen ook spontaan weer, alsof er niets gebeurt was

Toen ik mijn server weer startte begon de ellende weer van vooraf aan, ik kreeg (toen ik RDP opende naar de server) de volgende foutmelding op mijn *serverscherm*


Die foutmelding had ik nog nooit gezien en toen begon het eindelijk te dagen....

Had mijn server dan een virus/spyware etc. opgelopen? Omdat ik geen virusscanner op mijn server geinstalleerd heb, moest ik noodgedwongen een online-scan uitvoeren. Ik heb hiervoor http://housecall.trendmicro.com/ gebruikt en die gaf het volgende resultaat:


Alle 23 de *threats* worden allemaal geïdentificeerd als het PE_TENGA.A virus.
De omschrijving luidt:

This virus spreads via network shares. It collects and generates a certain number of octets of a host machine's IP address, then scans the whole network for writable shared folders.

It either appends or inserts its code into the .EXE files it finds in all of the infected system's folders. This file infector executes at every system startup if the file it infects has autostart capabilities.

Upon execution, it connects to the following Web site to download DL.EXE, which Trend Micro detects as TROJ_TENGADL.A:

{BLOCKED}enti.lycos.it/vx9
The downloaded Trojan, in turn, downloads the file GAELICUM.EXE, which Trend Micro detects as PE_TENGA.A-O. Note that the file may vary anytime. As of this writing, the file is detected by Trend Micro as WORM_RBOT.GAE.

Die DL.EXE is ook het bestand welke faalde bij het starten van de server. Misschien is dat een geluk bij een ongeluk, maar het lijkt dus wel degelijk of mijn server echt besmet is

Nu mijn vraag, is er een mogelijkheid om dit bestand/deze besmetting te verwijderen en zoja, waarmee?

En om in het vervolg preventief te kunnen werken, wat zijn goede (gratis) virusscanners voor servers?

Alvast bedankt en mochten jullie nog meer willen weten, dan hoor ik het graag.

Een radeloze Matis

edit; De server draait nu ongeveer een halfuur en de gemiddelde pingtijd ligt (afgerond) op 1 seconde, het lijkt dus of het irriteren niet doorzet.

edit2; Ik heb zojuist ook alle threats verwijderd, hopelijk dat dit het probleem verhelpt.

edit3; De threats zijn (volgens Housecall) allemaal weer terug, het virus hecht zich ook alleen aan alle 32bits applicaties.

[ Voor 3% gewijzigd door Matis op 24-02-2010 23:48 ]

Allereerst bedankt voor jullie reacties.

Ik ben momenteel de server aan het herinstalleren, dat was ik sws al van plan om een keer te doen, maar het is jammer dat het op deze manier moest

Wat betreft forefront, op MSDNAA staan een viertal versies:

• Forefront Client Security (x86 and x64) - CD Valt af (volgens mij)
• Forefront Security for Exchange Server with Service Pack 1 (x64) - CD
• Forefront Security for SharePoint with Service Pack 1 (x64) - CD
• Forefront Server Security Management Console (x86) - DVD

Van de andere drie weet ik niet welke ik *moet* kiezen, maar volgens mij zijn ze alle drie niet van toepassing op mijn server (Windows Server 2008 Enterprise).

Hmm... Als ik zo kijk naar de productomschrijvingen van Forefront, dan lijkt de Client juist wél de software te zijn welke ik nodig heb.

quote: Client Security

Forefront Client Security provides unified virus and spyware protection for business desktops, laptops, and server operating systems.

Klopt mijn gedachtegang tot zoverre of moet ik toch een ander pakket hebben dan de Client-versie?

Powershell schreef op donderdag 25 februari 2010 @ 10:34:
naast antivirus zou ik maar eens serieus naar een stukje 'server hardening' gaan kijken

Dat advies kreeg ik ook al van een klasgenoot/systeembeheerder
Ik ben momenteel deze tutorial aan het doornemen

je hebt er geen drol aan als je een AV pakketje hebt maar je sql/db/web apps zijn zo lek als een zeef

Dat snap ik, maar het is maar een eenvoudig servertje, dat feitelijk niet heel veel meer doet dan filesharing en downloaden van bestanden.

Het enige waarvan ik nog wel eens gebruik maak is IIS + PHP, maar die poort staat in mijn router/firewall dicht, dus externen kunnen hier niet bij.

Powershell schreef op donderdag 25 februari 2010 @ 10:43:
externen hoeven ook niet op de server te kunnen komen, ze hacken gewoon je werkplek met een remote exploit en voila.. ze zitten op je server

zo kan ik vrij eenvoudige een unix server 'hacken' (dat is het niet overigens) door gewoon een keylogger op een slecht beveiligde XP bak te installeren van de beheerders.. dan is het server nog zo safe maar kom je er toch wel bij

mij vaak genoeg gelukt

Schandalig

btw: NSA os configuration guides

http://www.nsa.gov/ia/gui...s/operating_systems.shtml

Daar staat geen 2008 tussen, maar de strekking van 2003 is duidelijk. Daarnaast staan er geen belangrijke dingen op mijn server, dus wat dat betreft is het niet zo heel erg als ik hem af en toe moet herinstalleren.

Ik heb iig geleerd dat een virusscanner in eerste instantie toch wel heel handig is als je je bestanden deelt, dus dat is al wat

Ik ga nu Forefront installeren en hopelijk dat we dan weer een tijdje virusvrij kunnen filesharen