ClamWin reicht nicht

Kurze knackige Headline, die das Thema genau trifft: Zwei Kunden setzten bis vor kurzem als einzigen Virenschutz auf ClamWin. Nun muss man bedenken, das ClamWin keinen Echtzeitschutz bietet und „lediglich“ in Outlook integriert.

ClamWin ist der Windows-„Ableger“ von ClamAV, einem Open Source-Virenscanner, der für BSD, Linux und Windows zur Verfügung steht. Für unterschiedliche Anwendungen gibt es entsprechenden Plugins, Schnittstellen und andere Integrationsmöglichkeiten, wie z.B. bei hMailServer, Squid, …

Ein tolles Projekt, aber leider ist die Trefferquote nicht mit den kommerziellen Vertretern vergleichbar. Ganz unnütz ist ClamAV deswegen aber nicht! Im vorliegenden Fall sind die Gründe für die Infektionen vielfältig.

Beide Kunden haben gemein, das Sie sich nicht um (Sicherheits-)Updates gekümmert haben und der Meinung waren, ClamWin würde alles abhalten. Nun, 100%-ige Sicherheits gibt es nicht, man kann nur Risikominimierung betreiben, dafür muss man aber etwas tun.

Während Kunde A das Thema bei Zeiten erkannte und sowohl einen Virenschutz anschaffte und die laufende Wartung des Systems an uns übertrug, sollte Kunde B erstmal auf der Nase landen.

Die Sache bei Kunde B hätte auch ganz schön ins Auge gehen können, denn neben mangelnden Virenschutz gab es dazu keine richtige Datensicherung. Es kam wie es kommen musste, man fing sich etwas ein, passenderweise auf dem einzigen Terminalserver des Unternehmens. Damit waren dann praktisch alle Mitarbeiter betroffen und keiner konnte mehr arbeiten.

Das es sich um einen Schädling handelte, war zunächst nicht klar. Das System war aufgrund 100% CPU-Last nicht benutzbar, nach einem Neustart war dann ein paar Minuten wieder alles gut, bis sich das Drama wiederholte. Nach mehreren Versuchen konnte nicht eingegrenzt werden, welche Prozesse für die Auslastung verantwortlich waren, also wurde kurzerhand geprüft, welche Dateien neu zum System hinzugekommen waren zwischen dem Zeitpunkt, wo vermeintlich noch alles in Ordnung war, bis zum Tag X.

Auf diese Weise fanden sich eine Menge kryptische Dateien, teils an auffälligen Orten, teils in Anwendungsordnern, die zunächst nicht verdächtig erschienen. Stichproben mittel VirusTotal brachten erste Erkenntnisse. Scans mit Bootmedien von verschiedenen Virenscannern bestätigten die teils zuvor bereits identifizierten Schädlinge, aber es blieben auch viele „Unbekannte“ zurück. Glücklicherweise wurde vor kurzem die Demo-Version von Drive Snapshot eingerichtet, so das auf eine „unverseuchte“ Sicherung zurückgegriffen werden konnte. Glück im Unglück also.

Liest man sich jetzt diese Zeilen durch, so klingt das recht überschaubar. Der Einsatz ging allerdings bis 04:00 Uhr in der früh, da nicht nur zunächst herauszufinden war, was los ist, sondern die Sicherung zurückgespielt und die seit Monaten ignorierten Updates noch eingespielt werden mussten.

Nach dieser Erfahrung führt Kunde B nun zum einen G Data AntiVirus Business ein und zum anderen wird ein betagter Router wird durch eine Securepoint UTM ersetzt. Drive Snapshot wird ebenfalls lizenziert.

Kunde A führte im übrigen ebenfalls G Data und Drive Snapshot ein und fand beim Scan der Systeme und des Datenbestands ebenfalls diverse Schädlinge, zwar inaktiv, aber dennoch vorhanden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.