Entfernen wurminfizierter IM-Nachrichten und Dateiübertragungen

 

Gilt für: Forefront Security for Office Communications Server

Letzte Änderung des Themas: 2008-09-15

In Microsoft Forefront Security for Office Communications Server (FSOCS) können IM-Scanaufträge so konfiguriert werden, dass wurminfizierte Nachrichten und Dateien entfernt werden. Hierbei handelt es sich um ein leistungsstarkes Feature, mit dem Angriffe eingedämmt werden können, bevor sie Ihr Netzwerk schädigen. Mit FSOCS können Wurmnachrichten mithilfe der regelmäßig aktualisierten Wurmliste WormPrge.dat dentifiziert werden, die von Microsoft verwaltet wird. Updates erfolgen wie bei den Antivirusscanmodulen.. Die Datei WormPrge.dat enthält in der Regel die Namen von Würmern, die von aktuellen Scanmodulen von Drittanbietern gemeldet werden.

HinweisHinweis:
Die einzelnen Scanmodule verwenden möglicherweise unterschiedliche Namen für einen Wurm.
HinweisHinweis:
Die Definitionen in den Wurmlisten unterscheiden sich von den Definitionen, die von den Antivirusscanmodulen verwendet werden. Die Wurmliste enthält generische Wurmnameneinträge. Diese Einträge können einen besseren Schutz gegen zukünftige Würmer darstellen, die zu einer bereits erkannten Wurmfamilie gehören. Wenn beispielsweise ein Wurm mit dem Namen Win32/abcdef.A@mm erkannt wird, wird die Wurmliste in FSOCS aktualisiert, sodass sie nun den generischen Eintrag *abcdef* umfasst. Dieser Eintrag deckt alle neuen Varianten desselben Virus ab, z. B. Win32/abcdef.M@mm. Da die Wurmliste generische Wurmnameneinträge enthält, muss sie nicht so häufig wie die Antivirusscanmodule aktualisiert werden.

Wenn von einem IM-Scanauftrag eine mit einem Wurm infizierte Nachricht oder Datei gefunden wird, wird die Nachricht oder Datei gelöscht und so dauerhaft entfernt. Nachrichten, die vom IM-Scanner entfernt wurden, können nicht wiederhergestellt werden.

Durch Aktivieren des Kontrollkästchens Benachrichtigungen senden im Bereich Filtern nach Dateien kann der IM-Scanauftrag so konfiguriert werden, dass Benachrichtigungen an den Administrator und den Absender gesendet werden. Es können jedoch keine Benachrichtigungen an die Empfänger der entfernten wurminfizierten Nachrichten gesendet werden, da dadurch ein Entfernen wurmgenerierter Nachrichten unmöglich würde.

Vom IM-Scanner entfernte Würmer (Nachrichten und Anhänge) werden nicht unter Quarantäne gestellt, selbst wenn die Quarantänefunktion aktiviert ist. Damit soll verhindert werden, dass die Quarantänedatenbank hunderte oder tausende Kopien derselben Nachricht erhält.

Damit sich ein neuer Wurm nicht verbreiten kann, bevor ein Scannermodul aktualisiert wurde, können die Dateinamen für wurmgenerierte Nachrichten im Bereich Filtern nach Dateien eingetragen werden.

Rufen Sie den Bereich Filtern nach Dateien auf (weitere Informationen finden Sie unter FSOCS – Filtern nach Dateien), und fügen Sie der Dateinamenliste einen neuen Eintrag hinzu. Legen Sie Aktion auf Blocken: Übertragung verhindern fest.

Der Dateifilter sendet standardmäßig eine Benachrichtigung an den Administrator und den Absender.

Der IM-Scanauftrag kann so konfiguriert werden, dass beim Entfernen einer Nachricht Benachrichtigungen an den Administrator gesendet werden. Darüber hinaus können Benachrichtigungen gesendet werden, wenn eine Nachricht durch den Dateifilter entfernt wird. Alle Benachrichtigungen können gegebenenfalls im Bereich Benachrichtigungseinrichtung bearbeitet werden. Weitere Informationen finden Sie unter FSOCS – Ereignisbenachrichtigungen.

Beim Installieren oder Aktualisieren von FSOCS ist das Feature zum Entfernen von Würmern in der Standardeinstellung aktiviert. "WormPrge.dat" ist im FSOCS-Installationsverzeichnis unter folgendem Ordner installiert:

Data\Engines\x86\Wormlist\Bin

Sie müssen den Registrierungsschlüssel "IMPurge" auf 0 setzen, um das Feature zum Entfernen von Würmern für den IM-Scanauftrag zu deaktivieren. Weitere Informationen zu diesen Schlüsseln (einschließlich des Speicherorts) finden Sie unter FSOCS – Registrierungsschlüssel.

HinweisHinweis:
Nach jeder Änderung dieser Registrierungswerte müssen Sie im Anschluss den ForefrontRTCProxy-Dienst wiederverwenden, damit die Änderungen in Kraft treten. Wenn die Dienste nicht wiederverwendet werden sollen, kann stattdessen der Scanauftrag mithilfe von FSCStarter deaktiviert und anschließend neu aktiviert werden. (Weitere Informationen zu FSCStarter finden Sie unter FSOCS – Vorlagen.

Wenn eine neue Wurmbedrohung erkannt wird, wird die Wurmidentifikationsliste von Microsoft aktualisiert und das Update kann heruntergeladen werden. Hierbei handelt es sich um denselben Vorgang wie beim Aktualisieren von Virusscanmodulen. Updates können geplant oder manuell durchgeführt werden. Nach einem erfolgreichen Update befindet sich die neueste Version der Datei "WormPrge.dat" im folgenden Ordner:

Data\Engines\x86\Wormlist\Bin

Die vorherige Datei "WormPrge.dat" befindet sich in folgendem Ordner:

LastKnownGood

Weitere Informationen zum Durchführen von Updates finden Sie unter FSOCS – Aktualisieren des Dateiscanners.

Administratoren können eine benutzerdefinierte Wurmlöschliste ("CustPrge.dat") erstellen, um entweder zusätzliche Virusnamen anzugeben, die noch nicht in der Datei "Wormprge.dat" enthalten sind, oder um eine Liste zu erstellen, mit der sämtliche Nachrichten entfernt werden, die als virusinfiziert erkannt wurden. Infizierte Nachrichten und Dateien werden dann sowohl mit der Wurmlöschliste als auch mit der benutzerdefinierten Wurmlöschliste verglichen.

So erstellen Sie eine benutzerdefinierte Wurmlöschliste
  1. Erstellen Sie einen neuen Ordner mit dem Namen CustomList innerhalb des folgenden Ordners: Microsoft Forefront Security\Office Communications Server\Data\Engines\x86\Wormlist

  2. Erstellen Sie im Ordner CustomList eine Datei mit dem Namen CustPrge.dat.

  3. Geben Sie mithilfe eines Texteditors in "CustPrge.dat" die Namen der Viren ein, die entfernt werden sollen. Jede Zeile sollte nur einen Virusnamen enthalten, gefolgt von einem Wagenrücklauf. Die Namen erhalten Sie in Benachrichtigungen zu Antivirusmodul-Updates oder auf den Websites von Antivirusmodul-Anbietern. Einträge können Sternchen (*) als Platzhalter enthalten.

    HinweisHinweis:
    Wenn unterschiedliche Antivirusanbieter verschiedene Bezeichnungen für denselben Virus verwenden, sollten alle Namen in die Datei "CustPrge.dat" aufgenommen werden.
  4. Wenn Sie alle virusinfizierten Nachrichten entfernen möchten, geben Sie eine einzelne Zeile mit einem Sternchen (*) gefolgt von einem Wagenrücklauf ein. Dies führt dazu, dass sämtliche Nachrichten entfernt werden, die als infiziert erkannt wurden.

    HinweisHinweis:
    Diese Vorgehensweise wird nicht empfohlen, da dabei sämtliche infizierten Nachrichten entfernt werden und nicht wiederhergestellt werden können. Verwenden Sie stattdessen für Nichtwurmviren die Option Löschen oder Bereinigen, da dadurch infizierte Nachrichten und Dateien unter Quarantäne gestellt werden können.
  5. Verwenden Sie den ForefrontRTCProxy-Dienst wieder.

 
Anzeigen: