hilfe!unbekannter virus im netzwerk!!!, brandneuer virus??? wuamga.exe Einstellungen

[Trigga]

hallo rokop-team!

ich hoffe ihr spezialisten könnt mir helfen...ich weiss echt nicht mehr weiter!!
unser netzwerk ist von einem virus infiziert worden!!!
...zuerst dachten wir es wäre mal wieder der sasser, weil er den rechner mittels des rpc herunterfährt aufgrund eine sfehlers in der lsass.exe...aber der ist es nicht!
...danach kamen wir auf den korgo.q... wegen der ähnlichkeit zu sasser...aber leider auch nicht erfolgreich...
die einzigen anhaltspunkte, die sich bei den rechnern finden lassen, ist einmal eine verdächtige exe namens wuamga.exe...(vielleicht der server/dowloader für den ausführbaren code???) & beim telnet portscan reagieren die potentiell "infizierten" rechner auf dem port 113 mit ausgabe einer wilden/fiktiven unix-kennung..

was kann das für ein virus sein...mir ist noch nichts bekannt was sich so äussern würde...wäre echt super wenn ihr mir helfen könntet,wir sind nämlich total überfragt
vielen dank schonmal im vorraus...

gruss.trigga

[Trigga]

kleiner nachtrag:
ich würde die wuamga.exe ja gerne als anschauungsmaterial beifügen...sie ist jedoch grösser als 50k...falls interesse an der .exe besteht könnte ich sie aber später noch per mail an euch schicken...

gruss.trigga

[Rokop]

virus@rokop-security.de

[Gast_Bo Derek_*]

Roman meint, Du mögest die Datei an diese Adresse schicken. Hier im Board darf keine Malware gepostet werden!

[Rokop]

Hallo, ist ein Worm.Rbot.gen !

[Trigga]

hello again!

habe euch die betreffende wuamga.exe soeben gemailt ... ich bin mir inzwischen ziemlich sicher, dass sie der loader für den virus ist ... wir hatten das an einem rechner getestet ... wenn die exe ausgeführt wird erstellt sich ein registry eintrag un des wir d ein prozess gestartet ... wir habe allerdings noch nicht herausbekommen können ob der virus sich im system selbst reproduzieren kann, wenn man den prozess beendet,den registry key löscht und die exe entfernt reproduziert er sich nach einem neustart auf jeden fall nicht...hoffe auf gute tipps

man dankt....mfg.trigga

[Trigga]

aaah...licht am ende des tunnels :P

ist der denn neu oder alt der wurm??? gibts ein removal tool??? & vor allem wie funktioniert der ??? oder gibts darüber infos z.b. bei symantec???

mfg.trigga

[Gast_Bo Derek_*]

Roman soll Dir am besten mitteilen, mit welchem Scanner er die Erkennung durchgeführt hat. Mit diesem dürftest Du den Wurm auch entfernen können.

oder gibts darüber infos z.b. bei symantec???

Ihr setzt doch im Netzwerk nicht Norton AntiVirus ein!? Wenn ja, dann schaut euch schleunigst nach einem Programm um, das euch in solchen Notfällen nicht im Stich lässt. McAfee Enterprise, Kaspersky AntiVirus Professional und F-Secure sind hier sicher die Top-Kandidaten.

[Rokop]

Korrektur, nicht Wurm sondern Backdoor. Erkannt mit KAV und NOD32 heuristisch. Ist wahrscheinlich eine ganz neue Variante. Ist an alle AV Hersteller eingesandt.

[Trigga]

hallo!
leider haben wir im netzwerk nur norton antivirus ... und auch keine software firewall auf den rechnern... aber leider hab ich in der beziehung rein gar nix zu melden...aber vielleicht gibt dieser vorfall ja mal anlass zum umdenken

...wenns ne neue variante ist dann hat sich das opfer ja gelohnt ... wenns dann nicht noch mehr leuten so ergeht...bei uns sinds genug :p

..binauf jeden fall mal wieder sehr beeindruckt ...wir haben 3 tage lang keine ahnung gehabt was wir mit dem ding anfangen sollen...nun wirds ja hoffentlich besser klappen...morgen gehts ihm an den kragen

vielen dank an euch!!!

mfg.trigga

[Trigga]

hi mal wieder!

...kaspersky antivirus ist mir leider nicht zugänglich....aber ich habe grade mal NOD32 über einen der infizierten rechner laufen lassen... und er findet nichts!!!
...er übergeht die wuamga.exe einfach...für NOD ist sie okay ???

muss man nur heuristisch checken???(ohne virendatenbank)...daran kanns doch aber eigentlich nicht liegen oder?

...vielleicht noch eine andere idee womit man den entfernen könnte...wenn man alles per hand machen muss wird das nämlich ganz schön viel

...vielleicht habt ihr ja noch was für mich...

..trigga!

[Manu]

Stelll doch mal die Heuristik auf die höchste Stufe, denn Roman hat ja geschrieben, dass die Datei heuristisch erkannt wurde...
Eventuell kommt auch in den nächsten paar Stunden ein Update raus, nachdem Roman die Datei eingeschickt hatte...

[Gast_Bo Derek_*]

Hast Du die Option "Advanced Heuristics" angeschalten? Ansonsten bliebe noch Kaspersky, das ja den Backdoor ebenfalls entdeckt hat.

[Trigga]

...heuristik ist angestellt gewesen ... und war auch auf die höchste stufe gestellt...eine option advanced heuristics finde ich allerdings nicht in NOD32 ...

gibt es denn irgendeine version von kav 4 free ??? n trialversion oder sowas ??? oder sowas wie den stinger von mc afee ???

...trigga

[Domino]

Eine Kaspersky Testversion findest du hier:

http://www.kaspersky.com/de/downloads?chapter=146440558

Ob die irgendwelche Einschränkungen hat weiß ich nicht.


Domino

[Gast_Bo Derek_*]

Normalerweise kann man mit Testversionen nur Malware finden aber nicht entfernen. Das bringt Trigga deshalb nichts, er bräuchte schon eine Vollversion.

[Gast_Bo Derek_*]

...heuristik ist angestellt gewesen ... und war auch auf die höchste stufe gestellt...eine option advanced heuristics finde ich allerdings nicht in NOD32 ...

Schau mal hier:

http://www.wilderssecurity.com/showthread.php?t=9776

[Domino]

Kaspersky schreibt nichts dazu

Allerdings habe ich noch nicht durchschaut auf was KAV sich nun geeinigt hat.

Ich hatte schon Testversionen, die konnten alles, bis auf Updates laden und ich hatte auch schon die von dir beschriebene Variante.

Einfach mal ausprobieren


Domino

[Trigga]

ok danke...
...werd ich mir gleich mal runterziehen und mal wieder einen rechner infizieren
...mal sehen was der scanner kann...oder eben nicht

...trigga

[Manu]

Ob die irgendwelche Einschränkungen hat weiß ich nicht.

Keine Einschränkungen ausser den beschränkten Testzeitraum...