Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Schwache Glieder

Слабые звенья

Andere Ausgaben dieser Rubrik (5)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Jede Komponente zählt

Gelesen: 22659 Kommentare: 11 Rating: 13

Montag, 21. September 2020

Hier ist eine Anfrage an unseren technischen Support:

Alle unsere Server, auf denen Dr.Web installiert ist, wurden infiziert. Das Tool CureIt hat zahlreiche Viren erkannt. Wir neigen dazu, Ihren Antivirus zu deinstallieren und ein anderes Virenschutzprogramm einzusetzen. Oder könnte das Problem an falschen Einstellungen des Antivirus liegen?

Der Antivirus hat Viren übersehen. Aber der Nutzer schließt die Möglichkeit nicht aus, dass das Virenschutzprogramm falsch konfiguriert wurde.

Die Analyse des Vorfalls zeigte Folgendes:

Im System fehlt eine der wichtigsten Schutzkomponenten – SpIDer Guard für Windows Server. Die Komponente arbeitete noch im September 2019, aber wurde später gelöscht. Ohne diese Komponente werden Dateien, die im System bearbeitet (d.h. gelesen, gespeichert, kopiert etc.) werden, nicht überwacht.

Die Komponente war einmal installiert, aber... sie wurde vor einem Jahr gelöscht. Niemand habe „etwas geändert oder deinstalliert“, so der Nutzer.

Nach der Installation und Konfiguration im September 2019 habe ich keine Einstellungen geändert.

Die Komponente wurde erneut installiert und erkannte sofort Versuche, das System zu infizieren:

Beim Start des Systems wird eine infizierte Datei automatisch geladen. Der Antivirus löscht die Datei, aber sie erscheint immer wieder.

Aus der Analyse des Vorfalls war ersichtlich, dass die Infektion über ein Gerät im Netzwerk verbreitet wurde:

Dieser Trojaner wird wie folgt verbreitet: Im Netzwerk gibt es einen Computer ohne Virenschutz oder ohne Dateiwächter SpIDer Guard. Die Infektion wird von diesem Computer aus auf andere PCs im Netzwerk über Schwachstellen (fehlende Patches) im Betriebssystem oder durch das Hacken eines Passworts verbreitet (schwache Passwörter lassen sich leicht hacken).

Sie sollten Passwörter auf allen Workstations, auf denen solche Aktivitäten erkannt wurden, durch kompliziertere Passwörter ersetzen, die weder Wörter noch deren sinnvollen Teile enthalten und noch nicht genutzt wurden. Schwache Passwörter sind einer der häufigsten Angriffsvektoren. Wenn eine Workstation infiziert wird, versuchen Cyberkriminelle, die Anmeldedaten für weitere Benutzerkonten im Netzwerk zu ermitteln. Im Fall einer erfolgreichen Passwortermittlung gehen alle weiteren Aktivitäten im Netzwerk vom gehackten Benutzerkonto aus, das Cyberkriminelle per Fernzugriff verwalten.

Die Aufgabe der Cyberkriminellen besteht also darin, einen nicht geschützten PC im Unternehmensnetzwerk zu finden, um ihn als Infektionsquelle zu nutzen. Als Infektionsquelle kann z.B. eine nicht mehr genutzte Workstation dienen, auf der kein Antivirus oder ein nicht mehr aktuelles Virenschutzprogramm oder ein veraltetes Betriebssystem ohne kritische Updates installiert ist und die an das Netzwerk angeschlossen werden kann.

Wir baten den Nutzer um nähere Informationen zur Workstation, die als Infektionsquelle genutzt wurde. Was sich herausstellte, klingt unglaublich:

\\192.168.Ххх.yyy\sgexe\sgmain.exe... Das Gerät fehlt in unserem Netzwerk. Es lässt sich nicht pingen. Es fehlt in der arp-Tabelle.

Das Netzwerk wird über ein Gerät angegriffen, das sich im Netzwerk befindet, aber dem Administrator unbekannt ist!
Liegt das Problem wirklich am Antivirus?

Der Administrator hatte das Netzwerk nicht unter Kontrolle, was zum beschriebenen Vorfall führte. Leider wissen wir nicht, ob es Einschränkungen hinsichtlich des Anschlusses neuer Geräte an das Netzwerk gab und wie sicher die Passwörter waren. Der Kunde wollte keine detailliertere Analyse durchführen. Wie konnte der Administrator nicht merken, dass der Virenschutz auf den Servern so gut wie nicht vorhanden war, da eine der Hauptkomponenten – der Dateiwächter – fehlte?

Leider kommt so etwas nicht selten vor... Hier noch ein Vorfall:

Der Antivirus wurde ohne Komponente SpIDer Guard installiert. Der Echtzeitschutz war also nicht gewährleistet.

Einige Schutzkomponenten fehlten und der Cyberkriminelle nutzte die Situation aus:

Der Cyberkriminelle soll sich wohl im System über RDP oder eine Terminalsitzung angemeldet haben, indem er das Passwort für ein Benutzerkonto knackte. Danach deinstallierte er das Virenschutzprogramm und startete die Ransomware.

#Antivirus #Dr.Web_Konfiguration #Support #Infektionsmerkmale

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Fehlender Virenschutz kann schlimme Auswirkungen auf das Computernetzwerk haben. Nicht weniger gefährlich ist, wenn ein Antivirus installiert ist, aber einige Virenschutzmodule deaktiviert sind.

Alle Virenschutzkomponenten sind wichtig. Im Antivirus ist nichts entbehrlich.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer

Kommentare zu anderen Ausgaben | Meine Kommentare