Schädlingssuche

[Lübke]

in einem kleinunternehmen hat eine etwas wissbegierige mitarbeiterin interesse an den telefonkosten der firma gezeigt und den anhang einer mail geöffnet, die suggeriert die telefonabrechnung der telekom zu beinhalten (ich denke mal die fishingmails sind allseits bekannt, außer bei besagter mitarbeiterin natürlich ). ich hab keine ahnung was passiert wenn man den anhang anklickt, ich habe erst am folgetag nebenbei erfahren, dass die mitarbeiterin den anhang angeklickt hat.
natürlich sofort das ganze netzwerk mit antiviernprogram auf sämtlichen rechnern gescant und auch mit adaware, bin aber nicht fündig geworden. ich habe aber die befürchtung, dass wir uns auf dem wege was eingefangen haben könnten.

welche möglichkeiten gibt es noch, nach schädlingen, keyloggern, trojanern und ähnlichem zu suchen?
als os ist win7 pro im einsatz

jemand eine idee wie ich sichergehen kann, dass unser netzwerk und auch der rechner der mitarbeiterin nicht kompromitiert sind und auch keine daten das netzwerk unerlaubt verlassen haben?

 

[TorenAltair]

Sicherstellen? Komplett neu installieren alles. Daten nach außen gesendet: sofern keine Pakete im Router geloggt werden, gar nicht wirklich.

Sonst zum Virenscan, wenn das aufgrund des Aufwands reichen muß: ein Rettungssystem booten und mehrere Scanner drüberjagen, z.B. mit Desinfect von heise oder eine Sardu-DVD machen.

 

[Smily]

Gibt's den Anhang noch?
Dann kann man den ja mal bei https://www.virustotal.com/de/ hochladen und nachsehen, was das ist.

 

[Teiby]

Wie genau angeklickt? Meist muss man erst runterladen, dann die zip öffnen und die Datei starten. Wenn es ein Word ist, dann muss man noch "Bearbeiten aktivieren" um den Virus zu aktivieren.

 

[Lübke]

genaue details weiß ich nicht. sie wollte den anhang öffnen und dann kam ne fehlermeldung (hat keine ahnung von computern). meine hoffnung ist, dass besagte fehlermeldung das av-programm war und direkt den schädling geblockt hat. wobei die mitarbeiterin sich aber auch nicht erinnert ob sie auf ok oder abbrechen geklickt hat -.-

@Smily: die mail ist leider schon weg.

@ TorenAltair: ihr rechner wird geplättet, aber ich kann nicht das ganze netzwerk neu aufsetzen. da ich erst am folgetag davon erfahren habe, hatte der schädling einen tag zeit sich im netzwerk breitzumachen
hatte ne cd von kasperski für die virenscans benutzt. wie gesagt, hat nichts gefunden. aber ich kann noch nicht ganz glauben, dass da wirklich nichts ist. ich will ja nicht paranoid erscheinen, aber diese mails werden ja nicht grundlos verschickt...

 

[GuardianAngel93]

Naja.. Das wichtigste was anscheinend nicht gemacht wurde:
SCHULT DIE USER!!! Es gibt nichts wichtigeres als diese 1-2x pro Jahr sowie jeweils neue User in Dingen Security zu instruieren und schulen! Nicht nur anhänge nicht öffnen, sondern auch vorführen! Auch Social Engineering was aktuell fast das grösste Problem ist! Das ganze auch selber überprüfen in dem man allen oder diversen Personen jeweils ein Phishing Mail schickt.. (ein unschädliches eigenes)..

Alles andere bringt nichts.. z.B. sich nun über ihr Unwissen aufzuregen.. --> Die IT Abteilung ist hierfür verantwortlich.. Oder Security Chef..

Wenn du jetzt mit Scans nichts findest wurde wenn überhaupt vorhanden der Trojaner oder was auch immer noch nie von einem Antiviren-Hersteller gefunden..

 

[BrainLagg]

Naja das wichtigste ist erst mal den Rechner welcher potentiell infiziert ist zu isolieren und neu aufzusetzen.
Genauso alle Geräte wie USB-Sticks etc. zu formatieren welche an diesem Gerät an diesem Tag dran waren.
Ansonsten die restlichen Clients nach Befall scannen, Anwender sensibilisieren (falls was komisches am PC passiert, CMD fenster gehen auf etc.) dass diese sich sofort melden sollen und den PC runterfahren, Netzwerk Traffic beobachten (hoher Traffic an Daten die es sonst nicht gab).

Vielleicht Mailanhänge am Exchange komplett blockieren lassen (bis auf pdf z.B.), das ausführen von EXE Dateien den Mitarbeitern per Policy verbieten und und und..
Mehr wirst du nicht tun können, außer wie gesagt das Netzwerk neu aufzubauen - was ne riesen Arbeit ist.

Zumindest hattest du Glück und es war offenbar keine Ransomware, das wäre dir sicherlich aufgefallen.
Andere Frage, wie groß ist das Netzwerk überhaupt (Clients, Server/VM?). Ab einer bestimmten Größe sollte das auf jeden Fall eine spezialisierte Firma betreuen, nur mal so nebenei.

 

[Lübke]

Naja das wichtigste ist erst mal den Rechner welcher potentiell infiziert ist zu isolieren und neu aufzusetzen.

check

Genauso alle Geräte wie USB-Sticks etc. zu formatieren welche an diesem Gerät an diesem Tag dran waren.

check

Ansonsten die restlichen Clients nach Befall scannen,

check

Anwender sensibilisieren

check
wobei auch besagte mitarbeiterin das eigentlich weiß, aber die neugierde war wohl zu groß >_< nochmal macht die das sicher nicht, aber jetzt liegt das kind ja schon im brunnen

wie groß ist das Netzwerk überhaupt (Clients, Server/VM?). Ab einer bestimmten Größe sollte das auf jeden Fall eine spezialisierte Firma betreuen, nur mal so nebenei.

sehr klein. eine hand voll pc mit einem besseren standard-pc als server. im grunde ein heimnetzwerk wenn man so will. und ausgaben für die it sind beim chef äußerst unbeliebt, was es mir nicht grad einfach macht...

 

[TorenAltair]

Protokollierung im Router einschalten, wenn Du nun nicht sicher bist, ob da noch was herumzappelt und dann sehr, sehr zeitintensiv über 2, 3 Tage die Pakete im Log prüfen, aber das ist eine Sisyphosarbeit.

Den Mitarbeitern da evtl. sagen, nur das nötigste im Internet anwählen, damit Du in den 2, 3 Tagen nicht noch ewig viel Müll von wegen Wetter, Kino usw hast.

 

[Dr. McCoy]

Der Rechner der Kollegin hat(te) doch aber hoffentlich keine Adminrechte, oder?