W32.pate_b Einstellungen

[cyberpeter]

Hallo,
habe heute im Büro drei weitere PC`s aus einer eigenen Abteilung mit "dazubekommen", die vorher von einer Firma betreut wurden. Da der Wartungsvertrag ausgelaufen ist, habe ich mich nun darum zu kümmern. Beim Check habe ich festgestellt, das auf allen 3 PC`s der W32.pate mindesten 500 mal (je PC!) vorhanden.
Habe im Internet geschaut, zwar etwas über den Infektionsweg, aber nichts genaues dessen Schadfunktion gefunden. Die PC`s habe ich sofort vom Netz getrennt.

Vielleicht kann mir jemand weiterhelfen??


Noch was interessantes nebenbei.
Auf den 3 PC`s (gleiches OS, SP und Software) war kein Virenscanner installiert. Da waren Fachleute am Werk.....
Weil ich es wissen wollte, habe ich einmal MCAffee (Enterprise DATEV, neueste Version und Virenupdates) auf der anderen F-Secure AV 2004 (Trial) und auf dem 3. PC Stinger von MCAfee installiert.

Habe nicht schlecht gestaunt. Bei dem PC mit MCAfee Enterprise konnten einige Dateien nicht repariert werden und mußten gelöscht werden. Auch von den reparierten EXE Dateien war ein Teil nicht mehr zu gebrauchen. Zum Test habe ich danach noch mal F-Secure installiert. Der nochmal ein paar infizierte Dateien gefunden hat...
Auf dem PC mit F-Secure wurden alle (hoffe ich zumindest) Viren gefunden und die Files konnten allesamt repariert werden. Zum Test habe ich nochmal Stinger durchlaufen lassen, der nichts mehr gefunden hat. Alle Programme liefen danach ohne Probleme.
Auf dem dritten PC, habe ich nur Stinger laufen lassen. Der fand alle Dateien und konnte sie auch reparieren. Die Programme liefen bis auf eins einwandfrei. Den PC habe ich danach allerdings ausgemustert, weil er schon etwas altersschwach ist :-)

[Gast_Gladiator_*]

Welche Version vom Parite (das ist der Alias dafuer) wars denn ? A / B / C ?
Die C Variante kommt so gut wie ueberhaupt nicht mehr vor - die B Variante hingegen schon ITW.

[Gast_Gladiator_*]

Achso sorry nicht richtig gesehen dass dort noch ein _b dranhaengt.
Die Dateien, welche bei der Reinigung "versaut" worden sind kannst Du vermutlich vergessen....

[JFK]

Hier etwas zur Schadfunktion

JFK

[cyberpeter]

Hier etwas zur Schadfunktion

JFK

Hallo,

danke, hatte ich auch schon gefunden, deshalb habe ich ja gleich die Rechner vom Netz genommen. Wollte wissen ob das Ding Daten überträgt oder löscht ....

[Rokop]

Wenn ich solche zweifelhaft administrierte Rechner übernehmen müßte und auf diesen auch noch Infektionen vorfinden würde, wüßte ich was ich mache:

Rechner neu aufsetzen!

[cyberpeter]

Wenn ich solche zweifelhaft administrierte Rechner übernehmen müßte und auf diesen auch noch Infektionen vorfinden würde, wüßte ich was ich mache:

Rechner neu aufsetzen!

Wollte ich auch, aber dann hätten mich die Mädels inclusive dem Chef einen Kopf kürzer gemacht. Na ja, muß es auf nächste Woche verschieben :-(

Hast Du bei der Desinfektion mit MCAfee schon ähnliche Erfahrungen gemacht?

[Rokop]

Hast Du bei der Desinfektion mit MCAfee schon ähnliche Erfahrungen gemacht?

ähm, ich steh auf dem Schlauch, welche Erfahrungen ?

[cyberpeter]

Hast Du bei der Desinfektion mit MCAfee schon ähnliche Erfahrungen gemacht?

ähm, ich steh auf dem Schlauch, welche Erfahrungen ?

Sorry, hatte mich auf das erste bezogen.

Habe festgestellt, das McAfee anscheinend beim desinfizieren von EXE-Dateien, zumindest bei W32.pate, nicht so gut funktioniert wie z.B. F-Secure und auch Stinger, obwohl Stinger ebenfalls von MCAfee kommt. Auch scheint es bei einer großen Anzahl von Viren (es waren ca. 1.500 befallene EXE und TMP Files) das eine oder andere File zu "übersehen" scheint.

[Gast_Gladiator_*]

Auch scheint es bei einer großen Anzahl von Viren (es waren ca. 1.500 befallene EXE und TMP Files) das eine oder andere File zu "übersehen" scheint.

Das wundert mich nicht unbedingt, denn der Parite.b ist polymorph.
Mal sehen wenn ich Zeit habe (private Freizeit) wollte ich eh mal einen Cleaner fuer das Teil machen.

[Rokop]

Ach so, nein so eine Erfahrung hatte ich noch nicht gemacht. Ich hatte aber bisher auch noch keinen Rechner mit 1500 infizierten Files

[cyberpeter]

Hallo,

inzwischen habe ich den PC, den ich mit MCAfee gesäubert habe doch frisch aufgesetzt!
Nachinstallation der Programme hat nichts geholfen, da ich die Programme nicht mehr Deinstallieren konnte. Ca. 30 % aller EXE-Dateien waren im Eimer....

Der PC mit F-Secure erfreut sich bester Gesundheit ....


Tja, ein guter Scanner zeichnet sich nicht nur durch eine guter Erkennungsrate aus ....!


Wäre, wenn möglich auch ein Bewertungspunkt für den nächsten Test!

Der Beitrag wurde von cyberpeter bearbeitet: 13.11.2003, 23:29

[Rokop]

Wäre, wenn möglich auch ein Bewertungspunkt für den nächsten Test!

Da gäbe ich Dir zwar Recht, ist aber sogut wie nicht durchzuführen. Der Arbeits- und Zeitaufwand wäre viel zu enorm. Außerdem heist es nicht, daß ein Programm, daß einen bestimmen Virus super säubert, auch bei einem anderen Virus genausogut ist. Nein, dazu müßte ich es hauptberuflich machen. Für ein Freizeitprojekt eine Nummer zu groß

[Gast_Gladiator_*]

An solch einem Test scheitern selbst alte Hasen.
Roman hat mit ziemlicher Sicherheit ein sehr umfangreiches Wissen ueber Malware, aber um einen Virus Reinigungstest durchzufuehren (der dann auch wirklich realistisch und fachlich untermalt ist) muss man sich wirklich dermassen verdammt tief mit der Materie auskennen. Bei Viren ist das wesentlich komplexer als bei einer Backdoor oder Wurm Entfernung.
Alleine schon die Vorbereitung fuer solch einen Test duerfte Wochen wenn nicht gar Monate fuer eine einzelne Person in Anspruch nehmen wenn der Test ORDNUNGSGEMAESS durchgefuehrt wird.
Das geht schon damit los, dass man sich informieren muss, welche Viren wo verbreitet sind und dadurch prozentual ein sogenanntes Testset zusammenstellt.
Anders als beim Backdoor ist jede (oder besser kann jede) Virus Datei voellig anders aussehen insbesondere dann wenn auch polymorphe Viren getestet werden.

Und Reinigung ist nicht gleich Reinigung. Einige Scanner reinigen bestimmte Viren beispielsweise nicht sauber, das heisst es bleibt gewisser Viruscode im Executable enthalten der aber nicht mehr lauffaehig ist. Sowas dann von Hand zu verlesen ist eine sehr sehr muehsame Aufgabe, insbesondere wenn man mit sogenannten Slowinfectoren testet. Das heisst Viren die nicht sofort andere Files infizieren, sondern wo erst eine Reihe von Gegebenheiten wie bsw. ein gewisses Datum, Uhrzeit oder eine gewisse Anzahl von Datei Operationen getaetigt werden muss. Kennt man hier nicht nahezu jeden Virus aus dem FF dann hat man fast keine Chance ein vernuenftiges Testset auf die Beine zu stellen. UND FUER SO EINEN VIRENREINIGUNGSTEST MUESSEN ZWANGSLAEUFIG F R I S C H G E S P R U N G E N E Sampleviren verwendet werden! Dort kann man nicht einfach gesammelte Viren in ein Verzeichnis krachen und scannen/reparieren. Weil woher soll man wissen, dass der Virus auch wirklich noch lebt ? Nur weil KAV es sagt ? KAV erzaehlt viel wenn der Tag lang ist - insbesondere was tote Viren betrifft. NOD32 ist hier schon eher aussagekraeftiger.

Wenns weitere Fragen dazu gibt - nur zu

[cyberpeter]

Hallo,

das hab ich mir wohl zu einfach vorgestellt. Aber trotzdem danke.

[JFK]

Hatte grade einen Laptop zur Ansicht, knapp 400 von W32.pate befallene exe.Dateien. Dazu noch die aktuelle ITW Liste der letzten Wochen.

Das ist schon ne ordentliche Leistung

JFK

[cyberpeter]

Hatte grade einen Laptop zur Ansicht, knapp 400 von W32.pate befallene exe.Dateien. Dazu noch die aktuelle ITW Liste der letzten Wochen.

Das ist schon ne ordentliche Leistung

JFK

Mit welchem Scanner ?

[JFK]

Mit KAV überprüft.

Vorher war kein AV Scanner installiert

JFK