Rustock

http://removeit.info/remove-rustock-spambot-trojan/

Heeft er geen van de werknemers melding gegeven van trage pc en irritante pop-ups? Even mailtje naar iedereen sturen om te vragen of ze problemen hebben ?

Welke virus scanner gebruikt uw bedrijf?

En je servert ook een extra check gegevens ? Weet je 100% zeker dat het rustock is en niet een verkeer geconfigde exchange server (open relay) bijvoorbeeld?

[ Voor 4% gewijzigd door w4rguy op 21-05-2010 11:09 ]

Heb je logs van outgoing mail? (checken wie er zoveel mail stuurt?)

router logs/activity op SMTP port ? Je bent namelijk nog geen 24 uur verder dus grote kans dat je het nog hebt.

Vertel overigens je medewerkers om geen usb-sticks te delen/aan te sluiten vanuit huis of van collega's. Ik heb even gekeken en zie dat rustock verspreid via usb-sticks maar ook (niet leuk) via het netwerk :x. Nadeel is dat rustock encrypted data scheint te versturen.

hmm ... maak je gebruik van SNMP om je systemen in de gaten te houden ?(misschien handig om te implementeren als alles is opgelost?)

Ik kan overigens op afbeeldingen op internet ook niet zo snel zien hoe hij logs bijhoudt. Heb je misschien andere hardware (firewall?) staan? die logt sowieso.

Als ik jou was zou ik het volgende doen:

Syslog installeren en zorgen dat het werkt.
Werknemers bekend maken van de problemen en instructies geven als er iets raars gebeurd (melden bij beheer en beheer documenteert)
(er van uit gaande dat het vergelijkbare systemen zijn) nieuwe image maken met SNMP protocol geinstalleerd en via The Dude (opensource, dus graties en voor nietsch) monitoren op activiteit.
Evalueren

Wat mij opvalt is dat je totaal niet voorbereid was op een dergelijk netwerk probleem (dit had ook in DDoS variant kunnen zijn?) Zorg dus dat je je netwerk hier wel op voorbereidt (mogelijk security audit laten uitvoeren).

Ik kan verder vrij weinig voor je doen ben ik bang omdat ik de omgeving niet ken. Overigens gaat me baas het ook niet leuk vinden als ik mensen help met dingen die wij voor betaald werk doen (security audits e.d.).

welke OS-en gebruik je trouwens?

Wat heb je verder aan netwerkapparatuur in je serverpark staan? firewalls of IDS systemen ?

Verwijderd schreef op vrijdag 21 mei 2010 @ 11:48:
Heb het al gevonden je moet van de DrayTek site de SysLog Tool downloaden. Maar nu heb ik er nog niks aan want nu moet ik weer tot donderdag wachten.

dan heb je allang geen logdata meer die relevant is.

Maar ok, dat moet je zelf weten

Wat je ook zou kunnen doen is met de console versie van AutoRuns automatisch elke computer om de week eens een lijstje van dingen die automatisch kunnen starten op verscheidene locaties laten maken, -a zorgt voor alle entries, -m voor entries die niet van Microsoft zijn, -v zorgt voor verificatie van de bestanden en -c plaats het in csv formaat, als alternatief kan je -x gebruiken voor het XML formaat.



Als je dit lijntje laat uitvoeren via de Taakplanner dan krijg je een hele collectie csv (of xml als alternatief) bestanden waar je dan eigen scripts op kan laten uitvoeren om bijvoorbeeld de data te combineren zodanig dat je voor elke lijn een extra kolom hebt met welke computers de bepaalde lijn hebben, vervolgens filter je de veel voorkomende dingen weg en dan zou je wekelijks haast op het oog kunnen zien of er nieuwe programma's of infecties geïnstalleerd zijn.

Het enigste wat Autoruns niet kan zien zijn dingen die specifiek Autoruns proberen te omzeilen of bepaalde rootkits, maar zo'n dingen komen met geluk bijna nooit voor dus blijft deze methode een pak effectiever dan 100 computers te laten scannen. (Dit kan uiteraard ook wel simultaan via een script, maar Autoruns is een veel efficiënter alternatief)

hoe staan de zaken ?

waiting for doomsday haha

**edit**

vandaag doomsday, hoe lopen de zaken /

[ Voor 49% gewijzigd door w4rguy op 27-05-2010 11:32 ]