Auswirkung wie beim Blaster und c/o und doch was anderes |
||
---|---|---|
#0
| ||
16.05.2005, 09:51
...neu hier
Beiträge: 1 |
||
|
||
16.05.2005, 10:07
Moderator
Beiträge: 7805 |
||
|
Ein WS2000 SP4 mit allen Hotfix fängt plötzlich an auf dem Port 135 Traffik zu generieren. Uns war sofort klar muss der Blaster Virus sein oder ein bekannter vom Ihm. PC wurde durchgecheck mit allen möglichen Tools (Stinger, Fixit usw).
Nach einem halben Tag prüfen mussten wir feststellen das es sich nicht um einen Virus handelt sondern um was unbekanntes. Nirgens im Web gabs einen Hinweis auf Sync flooding.
Wir haben das Problem mit einem Sniffer analysiert und fanden folgendes.
Der PC meldet sich im Netz an und holt sich beim DHCP eine IP Adresse oder läst sich seine bestätigen. Nun kann mit dem PC normal gearbeitet werden, aber plötzlich fängt er an wie gestört sync zu senden. Als Dest. Adr benutzt er die die eigene Adr. und muttiert die zwei letzten Oktet mit einem zufallsgenerator.
Im Task Manager ist kein Programm aktive und auch kein Process braucht Resourcen (Leerlaufprozess 99%) ein Austausch der Netzwerkkarte oder die zuordnung einer festen Adr. brachte kein Erfolg.
Wird die gateway Adr. auf 0 gesetzt ist der Spuck vorbei aber auch der Zugriff ins Web.
Eine Neuinstallation behebt das Problem ebenfalls.
Wen man nicht weis wie soetwas auf den PC kommt hat man ein ungutes Gefühl.
In der Hoffnung auf einen klärenden Hinweis verbleiben wir mit freundlichen Grüssen das AAPHOM Team