Exchange NOTFALL - Virusbefall

Es ist passiert und ein Virus ist in ihrem Systeme. Dann ist schnelles Handeln wichtig.

Das muss ich erreichen !

  • Stoppen der Aktivität
    Damit der Virus keinen weiteren Schaden anrichtet.
  • Stoppen der weiteren Verbreitung
    Damit sie nicht hinterher laufen und mehr und mehr Systeme in Mitleidenschaft gezogen werden und ihr Ruf als "Virenschleuder" im Internet nicht manifestiert wird.
  • Stoppen weiterer Infektionen
    Damit nicht weitere Systemen zu schlafenden Risiken werden.
  • Erkennen der Schäden
    Nur wenn Sie wissen, was der Virus zerstört, können Sie das Ausmaß für die Wiederherstellung ermitteln.

Letztlich ist es egal, über welchen Weg ein Virus ihr System erreicht hat. Verbreiten kann er sich nur, wenn er ausgeführt wird und dazu gehören in den meisten Fällen Arbeitsstationen. Ich beschränke mich hier auf die Problematik von Exchange und Mails mit Viren.

Die Maßnahmen

  • Verhindern Sie, dass der Virus aktiv wird.
    Informieren Sie die Anwender und die Vorgesetzten
    Notfalls stoppen Sie die Dienste oder Arbeitsplatzsysteme.
    Wenn das zu lang dauert: ziehen Sie das Netzwerkkabel ab.
  • Stoppen sie alle Connectoren
    Nur so verhindern Sie, dass der Virus sich zu anderen Systemen versendet und ihnen Kosten, volle Warteschlangen und verstopfte Leistungen beschert. Sie brauchen die Bandbreite für Gegenmaßnahmen.
  • Verhindern Sie Anwender bei der Aktivierung des Virus
    Zwar ist es nett, den Anwendern zu sagen, Sie mögen kein Outlook starten, aber oft ist es zu spät oder dauert zu lange. Daher gibt es nur eine Lösung:
  • STOPPEN die den Exchange Informationsspeicher
    Nur so sind die Exchange Dienste stillgelegt und Sie gewinnen Zeit für die Gegenmaßnahmen

Wohlgemerkt: Ihr Exchange System ist nun "stillgelegt", d.h. viele Anwender werden sich beschweren und die Funktion einfordern, aber jede Sekunden mehr "Uptime" kann ein Vielfaches des Schadens verursachen.

Gegenmaßnahmen

Nun geht es daran, die Viren zu finden und beseitigen. Dies geht nicht ohne passende Virenscanner und die passenden "Angriffspunkte". Da Exchange Server selbst keine Mails "liest" und schon gar nicht ausführt, ist der Server selbst nur sehr schwer per Mail mit einem Virus zu verseuchen.

Als erstes identifizieren Sie den Virus und sein Verhalten. Sie benötigen ebenfalls einen aktuellen Virenscanner, der diesen Virus erkennt und bereinigen kann. Dann geht es darum die Stellen ausfindig zu machen, an denen der Hebel angesetzt werden kann

  • Workstation
    Ideal wäre ein aktuelle Virenscanner auf jeder Workstation. aber ich befürchte, dass die wenigsten Netzwerk komplett ausgestattet sind. Und wenn der Virus schon aktiv werden konnte, dann sind die Systeme nicht aktuell und ein weiterer Starte zur Aktualisierung ist schon zu spät. Dies muss später nachgeholt werden. Aber solange dürfen die Workstations NICHT mehr an den Server kommen, bis dieser gesichert ist.
  • Exchange Server "One Time Scan"
    Programme wie HouseCall erlauben ihnen einen einmaligen Scan der Datenbank, aber keine permanente Überwachung, so dass dieses Verfahren keinen Schutz gegen Neuinfektionen bietet. Daher ist dies keine Lösung, sondern bereinigt nur einmalig die Maildatenbank von den Übeltätern. Allerdings kann man so schon die Warteschlangen der meisten Connectoren putzen. http://housecall.antivirus.com
  • Exchange Server "permanent Scan"
    Sie müssen aber für einen dauerhaften Schutz die Exchange Datenbank permanent überwachen. Daher rate ich ihnen dazu, eine Testversion z.B.: von ScanMail (www.antivirus.com) zu installieren. Damit erhalten Sie einen 24h Schutz und alle vorhandenen als auch neuen Elemente werden kontrolliert. Diese Produkte gibt es meist als 30 Tage Testversionen.
  • Warteschlagen und Connectoren
    Nachdem der Store "sauber ist", geht es an das Leeren der Warteschlangen. Oft sorgt ein Virus dafür, dass er sich sehr schnell verbreiten will und tausende von Nachrichten sendet. Diese sind oft am Betreff etc. zu erkennen und können einfach aus der Warteschlange gelöscht werden
    Leider ist dies oft nur bei laufenden Connector möglich. Daher sollten Sie den Connector  vorübergehend umkonfigurieren, dass er die Mails nicht loswerden kann (z.B. Smarthost auf nicht existierende IP-Adresse) und dann die Nachrichten löschen.
    Oft holt der Connector dann noch weitere wartende Nachrichten aus dem Store ab.
  • Eingehende Mails filtern
    Ideal wäre es, die Nachrichten schon direkt auf dem Weg eingehend zu finden und zu filtern. Es gibt entsprechende Produkte (z.B. InterScan Viruswall) aber dies sollte aktuell nicht ihr Problem sein.

Durch den permanenten Schutz des Informationsspeichers mit Produkten wie Trend Micro Scanmail, Sybary Antigen, NAI GroupShield und anderen ist eine Weiterverbreitung des Virus über Exchange fast ausgeschlossen.

Reinigen mit Microsoft Tools

Die Programme von Microsoft zur Reinigung von Exchange Servern von Viren sind meist auf bestimmte Viren beschränkt und orientieren sich an Texststellen im Betreff oder besonderen Anlagen. Sie ersetzen daher nicht einen Scan durch einen "richtigen" Virenscanner mit Pattern aller Viren.

Die Dateien gibt es immer wieder unter anderer Quelle. Aktuell dürften folgende sein:

  • Q246916 XADM: How to Find Mailboxes That Contain a Specific Message
  • Q314002 XGEN: Description of the W32.Goner.A@mm Virus and How to Clean an Exchange Environment

Reinigen mit MTA-Check

MTACheck erlaubt die Reparatur der Warteschlangen und mittels gesondertem Parameter auch die die Löschung aller Nachrichten in der Warteschlange. Dadurch werden zwar auch einige "gute" Mails gelöscht, aber wenn Sie tausende von Mails in einer Warteschlange haben, dann ist die Entscheidung zu treffen, tagelang Gut und Böse zu sortieren oder schnell das System mit kleinen Verlusten wieder ans leben zu bringen. Auch im normalen Betrieb ist das Internet nicht 100% sicher, so dass auch hier eine Nachricht verloren gehen kann.

Reinigen ESEUTIL

ESEUTIL ist ein Programm zur Pflege der Datenbank. Normalerweise wird die Datenbank damit komprimiert, defragmentiert oder auf Fehler überprüft. Es gibt eine spezielle Version, die nach einem bestimmten Virus in der Datenbank sucht (I Love you) und diesen löscht. Der Exchange Server ist in der Zeit "offline". Allerdings war dies ein damals schnelles Tool um der Flut an Viren Einhalt zu gebieten. Heute sollte das Programm nicht mehr eingesetzt werden, weswegen ich hier auch nichts näheres mehr dazu schreibe. Das Risiko von Datenverlusten oder korrupten Datenbanken ist bei solchen harten Werkzeugen nicht zu unterschätzen.

Reinigen mit EXMERGE

EXMERGE ist ein weiteres Hilfsprogramm, welches eigentlich nur dazu war, Nachrichten in PST-Dateien zu exportieren aber über die Weiterentwicklung nun auch Elemente in Exchange löschen kann. Der Exchange Store muss dazu aber "online" sein, was zwar den Betrieb zulässt aber eben auch eine weitere Infektion nicht verhindern kann

Siehe dazu auch Exchange Tools und Hilfsprogramme.

Reinigen mit "Housecall"

Trend Micro bietet eine Funktion "HOUSECALL" an. Dabei wird auf dem Exchange Server mit einem ActiveX-tauglichen Browser auf der Webseite von www.antivirus.com der "Housecall" aufgerufen. Faktisch wird dabei Scanmail als ActiveX im Browser gestartet und durchsucht den Server. Installiert wird dabei nichts. So können Sie sich von der Funktion und der Leistungsfähigkeit der ScanMail Engine überzeugen und werden ihren Virus los.

Nachteil dabei ist der große Download, die Verbindung des Servers mit dem Internet (auch über Proxy) und natürlich dass das ganze eine "Einmalaktion" ist, d.h. sie haben damit keinen permanenten Virenschutz.

Nachsorge

Nun geht es darum, die "Rest" auf anderen Plattformen zu beseitigen und eine Neuinfektion zu verhindern.

  • Scannen und desinfizieren Sie jede einzelne Festplatte in ihrem unternehmen, d.h. Server als auch Workstations
  • Schicken Sie jede Mail, ehe Sie beim Empfänger ankommt, durch einen Virenscanner. Dies kann im Transportweg (SMTP) sein, auf dem Exchange Informationsspeicher (AVAPI/MAPI), oder auf dem Arbeitsplatz (Workstation).

Viren können außerordentlich hartnäckig sein und sie sollten dies nicht unterschätzen. Sie sind nur dann sicher, wenn Sie permanent einen Virenschutz haben.

Zukunft = Vorbeugen !

Kaum jemand fährt heute noch ein Auto ohne Sicherheitsgurt. Selbst älteste Fahrzeuge werden mittlerweile umgerüstet. Sogar der Airbag ist schon Standard und genau so verhält es sich mit Virenscannern und Schutzsoftware. Es geht nicht ohne und wer hiervor die Augen verschließt, macht sich was vor uns gefährdet sein unternehmen und den Arbeitsplatz.

Akzeptieren Sie einfach, dass ein gewisser Grundschutz notwendig ist und dass dadurch Kosten entstehen, die gedeckt sein müssen.

Ich persönlich sehe einen lokalen und aktuellen Virenscanner auf jedem PC als Minimalvoraussetzung für den Betrieb von Computern in einem Netzwerk.

Zusätzlich sind Filter bei den Übergängen zu anderen Systemen und zentralen Datei und Messagingservern sehr zu empfehlen, denn zentrale Systeme sind schneller zu aktualisieren als hunderte von Workstations, die nur unregelmäßig eingeschaltet sind.

Weitere Links