Shadowserver ist eine Seite, die verschiedene Honeypots betreibt, um festzustellen, welche Malware im Umlauf ist und von welchen Clients aus, diese aufgerufen wird. Die Swisscom als ISP hat sich bei Shadowserver angemeldet, um informiert zu werden, wenn ein Kunde von ihnen in so einen Honeypot tritt.

Das Computer Security and Incident Response Team (CSIRT) von Swisscom überwacht verschiedene Informationsquellen im Zusammenhang mit der Computersicherheit. Eine dieser Quellen ist Shadowserver (http://www.shadowserver.org). Über Shadowserver haben wir erfahren, dass eine Adresse aus Ihrem IP-Bereich versucht hat, einen Virus zu verbreiten oder die Verbindung zu einem Botnet-Command-and-Control-Server herzustellen.
Dies deutet mit hoher Wahrscheinlichkeit darauf hin, dass ein oder mehrere Rechner in Ihrem Unternehmen mit einem Virus, Wurm oder Trojaner („Malware“) infiziert sind.

Ich habe nun die entsprechende “Target Address” erhalten, die über unser Netzwerk aufgerufen wurde.

Dies kann man nun über die Logs der Firewall überprüfen. Meine Überprüfung hat dann gezeigt, dass tatsächlich ein Computer an diesem Tag die entsprechende IP aufgerufen hat. Dazu habe notepad++ benutzt, mit dem man gerade alle Treffer einer Suche auf einmal anzeigen lassen kann.

Den Namen des betroffenen Computers kann man schnell herausfinden, indem man ein nslookup “IP-Adresse” in der Eingabeaufforderung eintippt. 

Um aber sicherzugehen, dass am betroffenen Tag auch dieser Computer diese IP hatte, muss man noch auf dem DHCP Server anhand der Leasedauer überprüfen, ob der betroffene Computer auch an dem betroffenen Tag diese IP hatte. Dies war bei mir der Fall, also war der Computer identifiziert.

Nun eine Recherche zu Zeus. Da gibt es viele Beschreibungen, wie man überprüfen kann, ob man infiziert ist, oder wie man den Trojaner wieder wegbringt. Unter anderem gibt es von Microsoft ein Tool, das ich heruntergeladen und ausgeführt habe. Dieses hat aber keine Infektion gefunden.

Eine weitere Recherche hat dann gezeigt, dass nichts gefunden werden konnte, weil sich der Trojaner bereits in Quarantäne befunden hat.

Trotzdem handelt es ich um ein einmal infiziertes System und die vielen Internetressourcen deuten darauf hin, dass man nicht sicher sein kann, dass alles entfernt wurde (siehe für Informationen zu Zeus auch http://en.wikipedia.org/wiki/Zeus_(Trojan_horse))

Daher habe ich mich nun entschlossen, den betroffenen Computer neu aufzusetzen.