Dag medetweakers,
Ik heb sinds kort een zeer groot probleem met Conficker en ik geraak er echt niet uit, dus wou ik hier even wat raad vragen.
Korte situatieschets:
Ik heb een projectje lopen bij een groot bedrijf met een vrij groot aantal productielijnen die ik moet onderhouden (op pc-gebied) om een beetje afwisseling te hebben met het hele office-IT verhaal. Voor zij die niet zo onmiddellijk bekend zijn met een productie-omgeving, hier gelden andere 'regels' en toepassingen dan in een office omgeving. Bvb de pc's die PLC's en machines aansturen, worden voorzien van een standaard installatie waarop de nodige (custom) software op geïnstalleerd wordt door de verantwoordelijk ingenieurs.
Eens die pc's in gebruik worden genomen, worden hier geen updates op geïnstalleerd. De pc's hangen niet aan het internet maar op een klein afgeschermd netwerkje (dus ook geen virusscanners om verscheidene redenen) en dienen enkel voor gegevens door te sturen naar een database-server, voor de aansturing van de onderdelen op de productielijn of ter controle van camerabeelden.
Sinds kort hebben we echter last van het conficker virus en ik ben er reeds achter gekomen dat dit geen lachertje is (ook al is het een vrij oud virus). Het probleem situeert zich op een database-server die:
- Lid is van het domein
- Toegang heeft tot het internet via NIC1 en toegang heeft tot het PLC/DB netwerk via NIC2
- Draait op een up-to-date Windows 2003 server O/S
- McAfee antivirus heeft draaien (die uiteraard wel up-to-date wordt gehouden)
- Enkele shares heeft op de C-schijf waarop de clients data wegschrijven
- Dienst doet als kleine TS server (3 thin clients connecteren via RDP)
Er zijn inmiddels menig removal tools in omloop voor Conficker (stinger ed) en heb deze ook reeds allemaal geprobeerd, zonder succes. Nu ben ik zelf geen expert op gebied van trojans en zeker niet op gebied van trojans van dit niveau.
McAfee detecteert de trojan wel, maar kan deze ook niet verwijderen. Maar hij stopt wel de bufferoverlopen...
Log: (letterlijk overgenomen zoals McAfee het toont)
Naam: C:\WINDOWS\System32\svchost.exe:KERNEL32.LoadLibraryA
Gedetecteerd als: Bufferoverloop:Schrijfbaar Bufferoverloop:Stack
Detectietype: Bufferoverloop
Status: Geblokkeerd
Toepassing: C:\WINDOWS\System32\svchost.exe
Ik heb (uiteraard) dit reeds gegoogled en verschillende gevonden oplossingen geprobeerd, steeds zonder resultaat. Ik heb ook kb artikel 962007 en security bulletin ms08-067 van microsoft doorgenomen en toegepast, wederom zonder resultaat...
Een herinstallatie is geen optie gezien de server 24/7 draait en ik enkel op vrijdag enkele uren (een 3-tal) kan rondklooien op de server (gezien de productie dan stil ligt voor onderhoud). De server doet wat hij moet doen, er is niets merkbaar mbt de werking van de server, maar ik wil het virus er uiteraard asap af hebben.
Gezien het virus zich verspreid via removable media en netwerkschijven, heb ik volgende acties ook reeds ondernomen:
- Server van het global netwerk afgehaald
- Lokaal netwerkje platgelegd en alle clients + server geïsoleerd en ontdaan (althans dacht ik) van het virus (op de clients werken de removal tools wel)
- Op alle clients + server 'autorun' uitgeschakeld
- Alle removable media in omloop in die hal laten scannen op het virus en geformatteerd (stond geen bijzondere data op)
- Bovengenoemde patches van microsoft geïnstalleerd
- De mensen gedurende geruime tijd gen USB-sticks/schijven laten gebruiken op dat netwerk
- De fileservers (die gelinkt waren als netwerkschijven) grondig laten scannen, deze waren clean
De 2 weken die hierop volgden kwamen er geen virusmeldingen meer, maar na die 2 weken was het weer prijs...
De goede vriend Google er nog maar eens bijgehaald en rondvraag gedaan bij mijn collega's en uiteindelijk werd me het volgende voorgesteld:
Kopieer de svchost.exe van een gelijkaardige server en kijk dan of het probleem zich nog stelt. Zo gezegd, zo gedaan... Een week zijn er geen virusmeldingen meer binnengekomen, maar na deze week gaf McAfee weer aan dat Conficker terug was.
Dit is de effectieve virusmelding die ik van McAfee krijg:
Naam: svchost.exe
In map: C:\WINDOWS\System32
Gedetecteerd als: W32/Conficker!mem
Detectietype: Paard van Troje
Status: Geen actie ondernomen
Het lijkt me niet meer dan duidelijk dat ik ondertussen met mijn handen in het haar zit en geen uitweg meer zie. Iemand die suggesties heeft wat ik met dit hardnekkig virus kan aanvangen?
Alvast bedankt.
Ik heb sinds kort een zeer groot probleem met Conficker en ik geraak er echt niet uit, dus wou ik hier even wat raad vragen.
Korte situatieschets:
Ik heb een projectje lopen bij een groot bedrijf met een vrij groot aantal productielijnen die ik moet onderhouden (op pc-gebied) om een beetje afwisseling te hebben met het hele office-IT verhaal. Voor zij die niet zo onmiddellijk bekend zijn met een productie-omgeving, hier gelden andere 'regels' en toepassingen dan in een office omgeving. Bvb de pc's die PLC's en machines aansturen, worden voorzien van een standaard installatie waarop de nodige (custom) software op geïnstalleerd wordt door de verantwoordelijk ingenieurs.
Eens die pc's in gebruik worden genomen, worden hier geen updates op geïnstalleerd. De pc's hangen niet aan het internet maar op een klein afgeschermd netwerkje (dus ook geen virusscanners om verscheidene redenen) en dienen enkel voor gegevens door te sturen naar een database-server, voor de aansturing van de onderdelen op de productielijn of ter controle van camerabeelden.
Sinds kort hebben we echter last van het conficker virus en ik ben er reeds achter gekomen dat dit geen lachertje is (ook al is het een vrij oud virus). Het probleem situeert zich op een database-server die:
- Lid is van het domein
- Toegang heeft tot het internet via NIC1 en toegang heeft tot het PLC/DB netwerk via NIC2
- Draait op een up-to-date Windows 2003 server O/S
- McAfee antivirus heeft draaien (die uiteraard wel up-to-date wordt gehouden)
- Enkele shares heeft op de C-schijf waarop de clients data wegschrijven
- Dienst doet als kleine TS server (3 thin clients connecteren via RDP)
Er zijn inmiddels menig removal tools in omloop voor Conficker (stinger ed) en heb deze ook reeds allemaal geprobeerd, zonder succes. Nu ben ik zelf geen expert op gebied van trojans en zeker niet op gebied van trojans van dit niveau.
McAfee detecteert de trojan wel, maar kan deze ook niet verwijderen. Maar hij stopt wel de bufferoverlopen...
Log: (letterlijk overgenomen zoals McAfee het toont)
Naam: C:\WINDOWS\System32\svchost.exe:KERNEL32.LoadLibraryA
Gedetecteerd als: Bufferoverloop:Schrijfbaar Bufferoverloop:Stack
Detectietype: Bufferoverloop
Status: Geblokkeerd
Toepassing: C:\WINDOWS\System32\svchost.exe
Ik heb (uiteraard) dit reeds gegoogled en verschillende gevonden oplossingen geprobeerd, steeds zonder resultaat. Ik heb ook kb artikel 962007 en security bulletin ms08-067 van microsoft doorgenomen en toegepast, wederom zonder resultaat...
Een herinstallatie is geen optie gezien de server 24/7 draait en ik enkel op vrijdag enkele uren (een 3-tal) kan rondklooien op de server (gezien de productie dan stil ligt voor onderhoud). De server doet wat hij moet doen, er is niets merkbaar mbt de werking van de server, maar ik wil het virus er uiteraard asap af hebben.
Gezien het virus zich verspreid via removable media en netwerkschijven, heb ik volgende acties ook reeds ondernomen:
- Server van het global netwerk afgehaald
- Lokaal netwerkje platgelegd en alle clients + server geïsoleerd en ontdaan (althans dacht ik) van het virus (op de clients werken de removal tools wel)
- Op alle clients + server 'autorun' uitgeschakeld
- Alle removable media in omloop in die hal laten scannen op het virus en geformatteerd (stond geen bijzondere data op)
- Bovengenoemde patches van microsoft geïnstalleerd
- De mensen gedurende geruime tijd gen USB-sticks/schijven laten gebruiken op dat netwerk
- De fileservers (die gelinkt waren als netwerkschijven) grondig laten scannen, deze waren clean
De 2 weken die hierop volgden kwamen er geen virusmeldingen meer, maar na die 2 weken was het weer prijs...
De goede vriend Google er nog maar eens bijgehaald en rondvraag gedaan bij mijn collega's en uiteindelijk werd me het volgende voorgesteld:
Kopieer de svchost.exe van een gelijkaardige server en kijk dan of het probleem zich nog stelt. Zo gezegd, zo gedaan... Een week zijn er geen virusmeldingen meer binnengekomen, maar na deze week gaf McAfee weer aan dat Conficker terug was.
Dit is de effectieve virusmelding die ik van McAfee krijg:
Naam: svchost.exe
In map: C:\WINDOWS\System32
Gedetecteerd als: W32/Conficker!mem
Detectietype: Paard van Troje
Status: Geen actie ondernomen
Het lijkt me niet meer dan duidelijk dat ik ondertussen met mijn handen in het haar zit en geen uitweg meer zie. Iemand die suggesties heeft wat ik met dit hardnekkig virus kan aanvangen?
Alvast bedankt.
/u/309461/crop5a606eab289e7.png?f=community)
:strip_icc():strip_exif()/u/77131/crop5d0893753034a_cropped.jpeg?f=community)
Plannen verzet naar volgende week...
:strip_icc():strip_exif()/u/313842/crop67fa6677cf8d5_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/61610/weasel.jpg?f=community)