Hallo zusammen,

ein guter Freund von mir hat mir erzählt, er hätte folgende Frage bei einem Bewerbungsgespräch gestellt bekommen:

"In einem Firmennetzwerk verbreitet sich zurzeit ein Virus. Da das Unternehmen verschiedene Standorte in Deutschland hat und sich der Virus anscheinend über das Netzwerk standortübergreifend verbreitet, stellt sich nun folgende Frage: Wie reagieren Sie als Administrator um das Weiterverbreiten des Virus zu verhindern und ihn von den betroffenen Rechnern zu entfernen?"

Standortübergreifend hängen ca. 800 Rechner in dem Netzwerk, wie viele Rechner tatsächlich betroffen sind ist unbekannt.

Was wären denn da so Eure Antworten? Würde mich einfach mal interessieren.

Viel Spaß!

Hallo,

ich bin selber noch neuling in der Informatik aber weil mich die Antwort gerade selber interessiert, möchte ich mal einen Lösungsvorschlag schreiben.

Bitte nicht umbedingt beachten, da ich wahrscheinlich nicht ganz richtig liege,wenn nicht sogar falsch. Dies ist nur eine annahme von mir. < ist das in einem Forum überhaupt erlaubt?

Da man sich bewusst ist, das ein Virus vorhanden ist und eine Schutzsoftware zwar in einem Unternehmen vorhanden sein sollte aber anscheinend versagt hat, würde ich wie folgt vorgehen.

Ich stelle zuerst fest das alle Standorte informiert werden, das ein Virus vorhanden ist.

Dann analysiere ich wie der Virus vorgeht, sich verbreitet und dessen auswirkungen. Kenne ich die Auswirkungen und kann sie als

nicht schwerwiegend einschätzen, gehe ich wie folgt vor.

Der Computer muss von einem Virenfreien, schreibgeschützen Medium durch einen Kaltstart gestartet werden.

Man kann dann anomale Verhaltensweisen feststellen. Ungleiche Datumsangaben oder dateiverlängerungen können festgestellt werden. Es gibt auch Viren die nicht so auffindbar sind. Diese kann man durch Checksum Programme quasi herausrechnen das

Programm speichert soweit ich weis eine Prüfsumme für jede Datei (sollte vor dem Befall geschehen sein) ändert sich der Wert kann man so feststellen welche Datei befallen (verändert wurde) oder gar der Virus selbst ist. Manche Dateien ändern sich selbst aber diese sollten einem Informatiker glaube ich bekannt sein.

Kennen wir die vorgehensweise des Virus und dessen Speicherort können wir den Schaden beheben und anderen Standorten die Lösung vermitteln.

Ist die Auswirkung jedoch schadhafter (z.B. Kundendaten und Kontodaten werden abgerufen oder Systemübergreifende starke schäden entstehen etc.), würde ich zuerst die Anweisung geben, überprüfungen der Systeme durchzuführen. Alle nicht befallenen Systeme bleiben Online alle befallenen werden abgekoppelt und falls vorhanden durch ein Backup system vorläufig ersetzt.

Sollte fortlaufend auf das Backup system zugegriffen werden z.B. bei einem Forum neue Einträge gemacht werden, so sollten neue Einträge in der Datenbank später auf das gesäuberte System integriert werden.

Normalerweise geht das auch schon fast automatisch (zumindest hat es bei mir ähnlich mal mit MySQL funktioniert).

Danach selbe prozedur wie oben und der Virus ist entfernt... Aktuelles System wieder Online stellen und Daten aus Backup-Datenbanken integrieren.

Hoffe auf feedback ob ich richtig liege.