Viele Viren sind heutzutage darauf ausgelegt, ganze Netzwerk-Shares zu befallen. Dabei werden frei zugängliche Shares im gesamten Netzwerk infiziert. Bereits ein einziger vireninfizierter Computer kann wiederum Hunderte anderer Computer infizieren.

Viele Viren sind heutzutage darauf ausgelegt, ganze Netzwerk-Shares zu befallen. Dabei werden frei zugängliche Shares im gesamten Netzwerk infiziert. Bereits ein einziger vireninfizierter Computer kann wiederum Hunderte anderer Computer infizieren.

Serverumgebungen mit Shares, die für alle Benutzer uneingeschränkt zugänglich sind, sind heutzutage gang und gäbe. Sinn und Zweck dieser Shares besteht darin, eine zentrale Plattform zu schaffen, über die alle Benutzer allgemeine Dateien und Informationen austauschen können. In manchen Umgebungen gibt es auch Shares, die eigentlich nicht für die allgemeine Nutzung bestimmt sind, jedoch aufgrund unzureichender Planung und fehlender Sicherheitsmaßnahmen für jedermann frei zugänglich sind.

In beiden Szenarien sind diese Datei-Shares das ideale Angriffsziel von Viren wie Pinfi und Funlove, die bevorzugt frei zugängliche Datei-Shares befallen.

Beispiel für einen Virenangriff auf einen Share:

Share infector 1

In der Abbildung oben sehen Sie eine ungeschützte Arbeitsstation (IP: 192.168.0.13), die ohne jegliche Einschränkungen eine mit dem Pinfi-Virus infizierte Datei ausführen kann. Die infizierte Arbeitsstation greift auf frei zugängliche Datei-Shares zu, die sich auf Computern im Netzwerk befinden, sucht dann auf diesen Shares gezielt nach Dateien mit der Erweiterung „.exe“ und „.scr“ und versucht diese zu infizieren.

Alle Server in dieser Umgebung sind durch aktuelle Antiviren-Software geschützt, die das Dateisystem auf den Servern überwacht. Jeder Angriff auf Dateien auf diesen Shares wird erkannt, und infizierte Dateien werden umgehend bereinigt.

Der Haken an der Sache ist jedoch, dass die Arbeitsstation nach wie vor infiziert ist und die EXE- und SCR-Dateien bereits kurz nach dem ersten Bereinigungsdurchgang der Antiviren-Software wieder infiziert werden. Daraus ergibt sich ein endloses Wechselspiel zwischen Virenbefall - Bereinigung - Virenbefall - Bereinigung, dem nur durch Beseitigung des eigentlichen Infektionsherdes ein Ende gesetzt werden kann: und zwar auf der infizierten Arbeitsstation.

Ermitteln der Problemursache

In einem großen Netzwerk mit Hunderten oder gar Tausenden von Computern kommt die Suche nach dieser bestimmten Arbeitsstation schon fast der Suche nach der Nadel im Heuhaufen gleich. Die Virenwarnung enthält in der Regel lediglich einen Verweis auf die infizierte Zieldatei sowie Informationen über den gefundenen Virus sowie darüber, wie mit der betroffenen Datei verfahren wurde. Zur Lösung des Problems bedarf es jedoch ohne jeden Zweifel ausführlicherer Informationen.
Eine mögliche Lösung besteht in der Verwendung eines externen Tools zur Überwachung einer Datei, die ein potentielles Angriffsziel für den Virus darstellt. Um jedoch zu viele Änderungen auf einem der Arbeitsserver zu vermeiden, empfiehlt sich die Einrichtung eines neuen Test-Computers im Netzwerk, auf dem dann ein frei zugänglicher Share erstellt und eine Kopie der EXE-Datei abgelegt wird. Im Fall des Pinfi-Virus sind bekanntlich EXE-Dateien ein beliebtes Angriffsziel. Daher kopieren wir die Datei „calc.exe“ aus dem Verzeichnis „Windows“ auf den neuen Datei-Share. Die Datei „calc.exe“ dient nun als so genannter „Virenköder“.

Bevor jedoch der Test-Computer ans Netzwerk angeschlossen wird, muss zuerst ein Sniffer-Programm installiert werden. Wir persönlich würden Wireshark empfehlen. Programme wie Sniffer Pro und Etherpeek sind zwar auch eine mögliche Alternative, jedoch bietet Wireshark den Vorteil, dass es kostenlos heruntergeladen werden kann. Da der Funktionsumfang des Programms doch relativ groß ist, werden wir im vorliegenden Dokument nur auf die für die Lösung unseres spezifischen Problems relevanten Funktionen eingehen.

Installieren von Wireshark

Sie benötigen zwei Komponenten
  1. Installieren Sie den WinPCap-Treiber, der von winpcap.polito.it heruntergeladen werden kann, und führen Sie ihn aus.
  2. Downloaden Sie Wireshark von http://www.wireshark.org/, installieren Sie das Programm, und führen Sie es dann aus. (Wireshark ist nur auf Englisch verfügbar.)

HINWEIS: Obwohl wir bisher gute Erfahrungen mit Wireshark gemacht haben, übernehmen wir keine Verantwortung für das Programm. Der Einsatz von Ethereal erfolgt auf eigenes Risiko.

Überwachen der Netzwerkaktivität

Stellen Sie nach der Installation von Wireshark sicher, das die Echtzeit-Virenprüfung von NVC auf dem Computer aktiviert ist, und starten Sie das NVC-Dienstprogramm, indem Sie das Meldungsfenster öffnen.

Bevor Sie mit der Dateiüberwachung beginnen, sollten Sie jedoch sicherstellen, ob die Datei überhaupt infiziert wird. Beobachten Sie zu diesem Zweck die Virenwarnungen im Meldungsfenster. Wird keine Virenwarnung angezeigt, hat der Köder nicht funktioniert. Stellen Sie in diesem Fall sicher, dass das Verzeichnis mit dem Virenköder auch wirklich freigegeben ist und alle Benutzer uneingeschränkten Zugriff auf den Share haben.

Share infector 2

Ertappen von Pinfi beim Infizieren des Köders auf dem Test-Share



Sollte es auch jetzt noch nicht funktionieren, müssen Sie Wireshark ggf. auf einem der Server installieren, auf dem die Infektion erstmalig auftrat. Einige Share-Viren befallen nur Shares, die beim Starten des infizierten Programms bereits vorhanden waren. Sollte dies der Fall sein, suchen Sie auf dem betreffenden Share eine Datei, die Sie als Virenköder verwenden können.

Starten Sie dann Wireshark. Wir möchten die Aktivität aufzeichnen, die sich auf dem Computer im Zusammenhang mit dem Netzwerk abspielt. Für uns ist allerdings nur die Aktivität von Interesse, die in Verbindung mit dem Köder, also mit der Testdatei „calc.exe“, stattfindet.

Share infector 3

Wireshark in Aktion

Im linken unteren Bereich sehen Sie ein Feld mit der Bezeichnung "Filter": Geben Sie in dieses Feld die folgende Zeichenfolge ein:

smb.file contains "calc.exe"


Wählen Sie den Befehl „Capture/Start“, und klicken Sie dann auf "OK". Das Fenster „Capture“ wird angezeigt. Beobachten Sie nun die Aktivität im Meldungsfenster des NVC-Dienstprogramms. Schließen Sie das Wireshark-Fenster „Capture“, sobald eine neue Infektion in Bezug auf die Köderdatei gemeldet wird. Das Protokoll der Aufzeichnung wird im Hauptfenster angezeigt. Stellen Sie sicher, dass der zuvor eingerichtete Filter aktiv ist, indem Sie auf „Apply“ klicken.

Wenn Sie sich nun die Spalten „Source“ und „Destination“ genauer ansehen, sollten darin jetzt die IP-Adressen angezeigt werden, die in den geänderten Versionen der Datei „calc.exe“ verwendet werden. In unserem Fall lautet die Adresse des Computers 192.168.0.15. Die andere IP-Adresse, die im Zusammenhang mit der Transaktion angezeigt wird, lautet 192.168.0.13.

Offensichtlich befindet sich der Infektionsherd auf einem Computer mit der Adresse 192.168.0.13. Sie können das Problem nun lösen, indem Sie den Computer isolieren und dann eine vollständige Echtzeit-Virenprüfung, einschließlich der erforderlichen Fixes, durchführen.

Wiederholen Sie den Prozess, um sicherzustellen, dass im Netzwerk keine weiteren Infektionsherde vorhanden sind.