EICAR verbreitet sich im Win2000 Netzwerk ???

#1 Hallo an alle,

ich habe gestern das Windows 2000 Netzwerk einer kleinen Klinik (25 Rechner) als Administrator übernommen. Beim ersten "Reinschnuppern" mit dem bisherigen Admin in der letzten Woche fielen mir im Norton-Serverprotokoll die vielen Virenmeldungen von verschiedenen Arbeitsstationen auf. Alle Meldungen zeigen den Eicar Teststring an.

Der Ex-Admin meinte, er hätte vor einiger Zeit zum Testen der damals neu eingerichteten AV-Software den Eicar Teststring runtergeladen und die Datei noch eine Zeit lang in seinem Benutzerprofil unter "Eigene Dateien" gespeichert gehabt. Nach einiger Zeit seien ihm die Virenmeldungen aufgefallen und er hätte die Eicar-Datei gelöscht. Er konnte aber nicht herausfinden, wo Eicar sich eingenistet hatte und die Meldungen verursachte.

Genau das habe ich gestern Abend auch versucht, aber ich finde NICHTS. :-(

Kann mir einer 'nen Tipp geben, wo das Ding sitzen könnte ???
Eicar scheint schön langsam von einem Rechner zum anderen zu wandern....

Grüße
Sue

#2 Dahinter versteckt sich das internationale EICAR-Testfile.
ES IST KEIN VIRUS
Es eignet sich zur Überprüfung, ob das AV-Programm überhaupt noch funktionsfähig ist - es soll ja Malware geben, die dies gezielt deaktiviert - oder dient euch zum "Trainieren" mit eurem AV-Programm.
Euer AV-Programm sollte als Virenwarnmeldung "EICAR Test String" auswerfen.

http://www.yakahonsu.de/AV-Programm-Test/av-programm-test.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

danke für deine Antwort.

Zitat

Dahinter versteckt sich das internationale EICAR-Testfile.
ES IST KEIN VIRUS

Das weiß ich, ich hatte ja geschrieben "Eicar Teststring".
Trotzdem ist die Sache nervig. Ich muss so jeden Morgen zig Virenmeldungen manuell durchgehen um auszuschließen, dass nicht doch ein echter Virus darunter ist. Die Meldung lautet ja nur "Virus gefunden", erst die Detailanzeige der Meldung nennt mir dann, was gefunden wurde.

Wie also kriege ich diesen Eicar wieder los?
Es dürfte doch auch gar nicht sein, dass dieser String sich von alleine im Netzwerk ausbreitet, oder ?

Grüße
Sue

#4 Eicar ist ein DOS-Programm, welches den Text EICAR-STANDARD-ANTIVIRUS-TEST-FILE! ausgibt.

Dann laden Sie das Eicar-Testfile auf Ihren Rechner. Dabei handelt es sich um einen harmlosen Textstring, auf den aber alle Virenscanner ansprechen.
Der Textstring sieht so aus (muss in einer Zeile eingegeben werden):
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Sie können den Text mit einem Editor übernehmen und zum Beispiel unter dem Namen test.com speichern
(Versuchen Sie danach das File zu starten oder per Mail zu versenden, um Scanner oder Antiviren-Gateway zu testen.)

As mentioned previously, this is a test file and is not malicious. To remove it, simply delete it using Internet Explorer !!!!!! , or do the following:

1. Start your Symantec antivirus program.
2. Run a full system scan.
3. If any files are detected as infected with Eicar Test String, click Delete.

http://securityresponse.symantec.com/avcenter/venc/data/eicar.test.string.html


Mehr habe ich nicht gefunden...
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Vielen Dank für deine Mühe, Sabina!

Leider kenne ich all das und habe mehrfach versucht, die "infizierten" Datein zu finden - keine Chance.

Ich werde mir morgen die einzelnen Arbeitsplatzrechner vornehmen und dort mal die Outlook-Postfächer überprüfen.

Grüße
Sue

#6 For additional information about the test file, you can read the full details on the EICAR Web site. The program is a DOS file that displays the message “EICAR-standard-antivirus-test-file” when run.



EICAR offers the test file in four different types to more thoroughly test an antivirus program’s detection ability. These are:

* In a Web link containing the ASCII text
* In a text file
* In a Zip file
* In a nested Zip file

"Object C:\Documents and settings\Tjes Boogie\Local settings\Application data\Outlook\Outlook.pst => [subject: eicar] [from: Theis Sondergaard] => eicar.com is infected with EICAR STANDARD TEST FILE"
Object C:\Documents and settings\work.zip => eicar.com is infected with EICAR STANDARD TEST FILE"

REMOVING A VIRUS INSIDE YOUR MAIL-ARCHIVE
Start by opening your e-mail client (Outlook, Outlook Express, Eudora, The Bat and so on).

Delete the e-mail
Delete the infected e-mail when you locate it.

NOTE: If your email program has a trash can or a folder for deleted emails then please remember to delete the email from this one too or empty the trash-can.

Re-compress the mail-archive
When deleting a virus from a mail-archive it is often not enough to delete the e-mail.

Many email programs dont actually delete the emails even if you ask them to - they just delete any reference to it. This means that the data itself of the email is still inside your email archive, even though you think you have deleted it.

This is why you have to re-compress your email archive.

Mail-programs have different ways of doing this. For example, in Outlook Express you have to choose the menu "File" -> "Folders" -> "Compact All".

Look for a function in your mail-program called "Compress", "Compact" or the likes.



Vielleicht findest du es.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7

Zitat

eicar
was nun wie bring ich das beist weg