DE60201430T2 - Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers - Google Patents

Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers Download PDF

Info

Publication number
DE60201430T2
DE60201430T2 DE60201430T DE60201430T DE60201430T2 DE 60201430 T2 DE60201430 T2 DE 60201430T2 DE 60201430 T DE60201430 T DE 60201430T DE 60201430 T DE60201430 T DE 60201430T DE 60201430 T2 DE60201430 T2 DE 60201430T2
Authority
DE
Germany
Prior art keywords
network
server
virus
computer
bait
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60201430T
Other languages
English (en)
Other versions
DE60201430D1 (de
DE60201430T8 (de
Inventor
Thomas Chefalas
Steven Mastrianni
Ajay Mohindra
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE60201430D1 publication Critical patent/DE60201430D1/de
Publication of DE60201430T2 publication Critical patent/DE60201430T2/de
Application granted granted Critical
Publication of DE60201430T8 publication Critical patent/DE60201430T8/de
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft ein System in einem Köderserver zur Erkennung eines Computervirus.
  • HINTERGRUND DER ERFINDUNG
  • Die Erkennung von Computerviren ist eine gängige Technologie. Es gibt eine Reihe größerer Unternehmen, darunter Symantec, McAffee, Shiva und Intel, die sich mit der Viruserkennung und -beseitigung befassen (Intel, Intel Inside, MMX und Pentium sind Warenzeichen der Intel Corporation in den Vereinigten Staaten und/oder anderen Ländern). Einige dieser Produkte, insbesondere die von Symantec, bieten eine Unternehmensversion ihrer Software zur Verwaltung von und zur Verwendung in Unternehmensnetzen, die auch als Intranets bezeichnet werden. Bei dieser Konfiguration ist die Client-Software zur Viruserkennung in jedem Client-Computer installiert, und die Virenprüfung wird in bestimmten Zeitintervallen gestartet, um im Client-Computer nach Viren zu suchen. Wenn ein Virus gefunden wird, informiert das Client-Programm den Benutzer darüber, dass ein Virus gefunden wurde, und wird automatisch aktiv oder fordert den Benutzer auf, in Abhängigkeit von den Netzwerkeinstellungen einzuschreiten.
  • Wenn ein Virus entdeckt wird, wird der Benutzer im Allgemeinen aufgefordert, die infizierte Datei oder Dateien unter Quarantäne zu stellen, d. h., sie in diesem System der Benutzung zu entziehen. Nachdem die Dateien isoliert wurden, kann der Benutzer mit dem System weiterarbeiten. Der Benutzer kann dann aufgefordert werden, sich mit dem Systemadministrator oder der IT-Abteilung in Verbindung zu setzen, um diese über den Virus in Kenntnis zu setzen.
  • In der Veröffentlichung „COMPUTER VIRUSES AND RELATED THREATS TO COMPUTER AND NETWORK INTEGRITY" von David M. CHESS wird das System zum Erkennen, Lokalisieren und Unschädlichmachen von Viren in Computernetzen beschrieben. Das zum Erkennen von Viren verwendete Verfahren überwacht Ladevorgänge und sucht nach verdächtigen Unregelmäßigkeiten.
  • Bei dieser Strategie besteht das Problem darin, dass das System bereits stark geschädigt worden sein kann, bevor der Virus entdeckt wurde. Manche als Würmer [Syman1] bezeichnete Viren sind in der Lage, Hunderte oder sogar Tausende Dateien zu zerstören, bevor sie entdeckt werden. Noch schlimmer ist jedoch, dass sich der Virus bis zu seiner Erkennung durch die Client-Maschine bereits auf einer anderen Maschine im Netz oder auf einer gemeinsam genutzten Ressource geklont (vervielfältigt) haben kann. Von der gemeinsamen Netzressource aus kann der Virus beginnen, Dateien zu löschen und sich in andere Client-Systeme zu klonen. Zur Suche nach der Quelle des Virus und zur Beseitigung seiner sämtlichen Spuren im Netz müssen normalerweise der Netzwerk-Server heruntergefahren, die gemeinsamen Netzressourcen entfernt und jede Client-Maschine desinfiziert werden, während sie vom Netz getrennt ist.
  • Um sicher sein zu können, dass ein Virus vollständig entfernt worden ist, möchte man gern wissen, woher der Virus stammt, damit diese betreffende Maschine richtig desinfiziert werden kann. Dies zu ermitteln kann jedoch schwierig sein, insbesondere bei großen Unternehmensnetzen, bei denen der Benutzer möglicherweise keine Antivirus-Software installiert hat, oder wo sich jemand eingewählt, ohne sein Wissen einen Virus eingeführt und sich wieder ausgewählt hat. Wenn das Netzwerk desinfiziert wird, wird es dann immer wieder neu infiziert, wenn sich der Angreifer erneut einwählt. Es ist wichtig, das angreifende System zu ermitteln, um eine Neuinfektion zu verhindern.
  • In den meisten Fällen verbreitet der Angreifer den Virus, ohne dass man dessen gewahr wird. Eine als „Würmer" bekannte Virenklasse wird dadurch aktiv, dass sie Dateien löscht oder deren Länge auf null setzt und sie dadurch unbrauchbar macht. Würmer werden durch Firewall-Software oder -Filter normalerweise nicht erkannt und sehen beim Eintreffen in der Maschine des Benutzers wie eine normale ausführbare Bild- oder Textdatei aus. Wenn der Benutzer die Datei anklickt, klont (vervielfältigt) sich diese sofort und sucht nach einem neuen System im Netzwerk, das als aufnahmebereiter Hostrechner für den Wurm dienen kann. Wenn dieser einen aufnahmebereiten Hostrechner findet, installiert er sich wieder und wird ausgeführt, wobei er nach einem anderen aufnahmebereiten Hostrechner sucht. Diese Würmer benötigen einen aufnahmebereiten und leicht zugänglichen Hostrechner, welcher sie mit den zur Ausführung ihrer schädlichen Tätigkeit erforderlichen Rechten ausstattet. Sie spähen diejenigen Systeme im Netzwerk aus, welche über Schreibzugriff auf Computer oder gemeinsame Netzressourcen verfügen, und nutzen dann diese Fähigkeit, um in anderen Systemen Dateien zu löschen.
  • In den meisten Netzwerken ist es üblich, dass die Systeme als gemeinsam genutztes Medium auf gemeinsam genutzte Speicher bestimmter Art zugreifen, z. B. auf die Festplatte eines anderen Computers. Diese wird als gemeinsame genutzte Einheit oder gemeinsam genutzte Netzressource bezeichnet und ermöglicht den Benutzern auf einfache Weise, Daten, Programme, Dateien und Dokumente gemeinsam zu nutzen, die an einer Stelle abgelegt sind. Jedes System, das auf diese gemeinsam genutzte Ressource zugreifen will, ist durch den Systemadministrator oder durch Richtlinien des Netzwerk-Servers dazu berechtigt. Systeme ohne Zugriff auf eine gemeinsam genutzte Ressource können diese weder lesen noch beschreiben. Der Lese- und Schreibzugriff kann für jedes System einzeln gewährt werden, das auf die gemeinsam genutzte Ressource zugreifen kann.
  • Im Fall von Viren, die sich in anderen Systemen vermehren, ist es wahrscheinlich, dass sich der Virus vor der Erkennung bereits vermehrt hat. In diesem Fall ist die Desinfektion nicht hilfreich, da sich der Virus anschließend wieder rasch auf diesem System vermehren wird. Um die Nachbarmaschinen wirksam desinfizieren zu können, muss jede Maschine vom Netz genommen, desinfiziert und dann erst nach Überprüfung und Desinfektion jedes Netzwerk-Clients wieder an das Netzwerk angeschlossen werden. Die Quelle des Wurms muss gefunden und beseitigt werden, da sonst die Gefahr der Neuinfektion überaus hoch ist.
  • Das kann eine langwierige Prozedur sein, die sich durch unerfahrene Benutzer oder Administratoren nur mit Mühe durchführen lässt. Obwohl die meisten Unternehmen über Strategien gegen das Herunterladen potenziell gefährlicher Inhalte verfügen, kommt es bei kleineren Unternehmen mit weniger erfahrenem Personal eher dazu, dass potenziell gefährliche Inhalte heruntergeladen werden. Daher sind ein Verfahren und ein System sowie ein Computerprogrammprodukt, mit dem Viren ohne besonders anspruchsvolle Kenntnisse des Administrators erkannt, lokalisiert und beseitigt werden können, außerordentlich wünschenswert.
  • BESCHREIBUNG DER ERFINDUNG
  • Gemäß einem ersten Aspekt stellt die vorliegende Erfindung ein System in einem Köderserver zur Erkennung eines Computervirus bereit, wobei das System Folgendes umfasst: eine Überwachungseinheit im Köderserver, welche ein Netzwerk auf das Vorhandensein eines Computervirus überwacht, wobei der Köderserver eine unveröffentlichte Netzwerkadresse hat und der Zugriff durch die Netzwerkbenutzer auf den Köderserver nicht gestattet ist; eine Erkennungseinheit, die als Reaktion auf eine Feststellung, dass ein Computervirus gefunden wurde, die Identität eines angreifenden Systems innerhalb des Netzwerks ermittelt, von welcher der Computervirus in das Netzwerk gelangt ist; und eine Trennungseinheit zum Trennen des angreifenden Systems vom Netzwerk.
  • Vorzugsweise umfasst das System ferner ein Mittel zur Benachrichtigung aller Einheiten im Netzwerk, alle Anforderungen vom angreifenden System so lange zu ignorieren, bis das angreifende System desinfiziert wurde und wieder für die Netzwerkkommunikation zur Verfügung steht. Besonders bevorzugt umfasst der Köderserver ein Mittel zum Ignorieren aller Anforderungen vom angreifenden System so lange, bis das System desinfiziert wurde und wieder für die Netzwerkkommunikation zur Verfügung steht.
  • Bei einer bevorzugten Ausführungsart umfasst das System ferner: ein Mittel zum Benachrichtigen des lokalen Servers über das Vorhandensein eines Computervirus und die Identität des angreifenden Systems. Bei einer anderen bevorzugten Ausführungsart umfasst das System ein Mittel zum Benachrichtigen des angreifenden Systems vor dem Trennen dieses Systems vom Netzwerk, dass es durch einen Computervirus infiziert ist.
  • In geeigneter Weise umfasst das System ein Mittel, das als Reaktion auf eine Benachrichtigung, dass das angreifende System desinfiziert wurde, und als Reaktion auf eine erneute Verbindungsanforderung seitens des angreifenden Systems dieses wieder mit dem Netzwerk verbindet. Noch besser geeignet ist es, wenn das angreifende System in der Lage ist, die Verbindung zum Netzwerk selbst herzustellen.
  • Vorzugsweise umfasst das System ein Mittel zum Überwachen von Dateien innerhalb des Köderservers; und ein Mittel zum Benachrichtigen des lokalen Servers als Reaktion auf eine Veränderung in einer oder mehreren Dateien innerhalb des Köderservers, dass ein Virenangriff im Gange ist. Bei einer Ausführungsart beinhaltet die Veränderung in einer oder mehreren Dateien eine Veränderung der Bytezahl in einer oder mehreren dieser Dateien. Bei einer anderen Ausführungsart beinhaltet die Veränderung in einer oder mehreren dieser Dateien eine fehlende bzw. gelöschte Datei. Besonders bevorzugt umfassen das in einem der Ansprüche genannte System, in welchem der Köderserver einen Versuch vom angreifenden System empfängt, auf den Köderserver zuzugreifen, und der Versuch selbst: einen Versuch, auf den Köderserver zu schreiben; und/oder eine Anforderung, eine Funktion im Köderserver auszuführen.
  • Gemäß einem zweiten Aspekt stellt die vorliegende Erfindung ein Netzwerk-Datenverarbeitungssystem bereit, welches Folgendes umfasst: einen lokalen Server; eine Vielzahl von Client-Datenverarbeitungssystemen; ein Netzwerk und ein System in einem Köderserver gemäß der obigen Beschreibung. Vorzugsweise umfasst der Köderserver ferner ein Mittel zum Rundsenden eines Hinweises, dass ein Virenangriff auf die Vielzahl der Client-Datenverarbeitungssysteme im Gange ist.
  • Gemäß einem dritten Aspekt stellt die vorliegende Erfindung ein Verfahren in einem Köderserver zum Erkennen des Vorhandenseins eines Computervirus bereit, wobei das Verfahren die folgenden Schritte umfasst: Überwachen eines Netzwerks auf Computerviren vom Köderserver aus, wobei der Köderserver eine unveröffentlichte Netzwerkadresse hat und der Zugriff durch die Netzwerkbenutzer auf den Köderserver nicht gestattet ist; als Reaktion auf die Feststellung, dass ein Computervirus gefunden wurde, Ermitteln der Identität eines angreifenden Systems innerhalb des Netzwerks, von welchem aus der Computervirus in das Netzwerk gelangt ist; und Trennen des angreifenden Systems vom Netzwerk.
  • Gemäß einem vierten Aspekt stellt die vorliegende Erfindung ein Computerprogrammprodukt zur Verwendung in einem Köderserver zum Erkennen des Vorhandenseins eines Computervirus bereit, wobei das Computerprogrammprodukt Computerprogrammanweisungen umfasst, welche den Computer zur Ausführung der folgenden Schritte veranlassen: Überwachen eines Netzwerks auf das Vorhandensein eines Computervirus, wobei der Köderserver eine unveröffentlichte Netzwerkadresse hat und der Zugriff durch die Netzwerkbenutzer auf den Köderserver nicht gestattet ist; als Reaktion auf eine Feststellung, dass ein Computervirus erkannt wurde, Ermitteln der Identität eines angreifenden Systems innerhalb des Netzwerks, von welchem aus der Computervirus in das Netzwerk gelangt ist; und Trennen des angreifenden Systems vom Netzwerk.
  • Bei einer Ausführungsart enthält das angreifende System mehr als nur ein Datenverarbeitungssystem. Bei einer anderen Ausführungsart enthält das angreifende System einen lokalen Server. Bei einer weiteren Ausführungsart enthält das angreifende System ein Client-Datenverarbeitungssystem. Bei einer Ausführungsart ist der Computervirus ein Wurm. Bei einer weiteren Ausführungsart ist der Computervirus ein trojanisches Pferd.
  • Bei einer Ausführungsart beinhaltet das Datenverarbeitungssystem des Netzwerks einen lokalen Server, mehrere Client-Datenverarbeitungssysteme und einen Köderserver. Die Adresse des Köderservers ist den Client-Computern nicht bekannt. Somit würde jeder Versuch eines Zugriffs auf den Köderserver das Vorhandensein eines Virus in dem Cient-Computer anzeigen, welcher den Zugriff versucht. Der Köderserver überwacht sich selbst und verteilt als Reaktion auf einen Zugriffsversuch auf den Köderserver seitens eines Client-Computers durch Rundsenden eine Benachrichtigung an alle Einheiten des Netzwerks, dass ein Virenangriff im Gange ist. Der Köderserver ignoriert dann alle weiteren Zugriffsanforderungen seitens des angreifenden Client-Computers so lange, bis er eine Benachrichtigung erhält, dass der angreifende Client-Computer desinfiziert wurde, und trennt diesen angreifenden Client-Computer vom Netzwerk. Der Köderserver teilt auch dem lokalen Server-Computer und/oder einem Netzwerkadministrator das Problem und die Identität des angreifenden Client-Computers mit, damit entsprechende Maßnahmen zum Desinfizieren des angreifenden Client-Computers eingeleitet werden können.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Im Folgenden wird die vorliegende Erfindung beispielhaft unter Bezug auf deren bevorzugte Ausführungsarten beschrieben, die in den folgenden Zeichnungen dargestellt sind:
  • 1 zeigt eine bildliche Darstellung eines Netzwerks von Datenverarbeitungssystemen, in welchem die vorliegende Erfindung realisiert werden kann;
  • 2 zeigt ein Blockschaltbild eines Datenverarbeitungssystems, das als Server-Computer gemäß der vorliegenden Erfindung realisiert werden kann;
  • 3 zeigt ein Blockschaltbild, das ein Datenverarbeitungssystem zeigt, welches als Client-Computer gemäß der vorliegenden Erfindung realisiert werden kann;
  • 4 zeigt ein Ablaufdiagramm und eine Programmfunktion zur Ausführung in einem Köderserver zum Erkennen, Lokalisieren und Entfernen eines Computervirus gemäß der vorliegenden Erfindung; und
  • 5 zeigt ein Ablaufdiagramm und eine Programmfunktion, welche in einem Client-Computer zum Erkennen des Vorhandenseins eines Virus gemäß der vorliegenden Erfindung realisiert werden kann.
  • DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSART
  • 1 zeigt eine bildliche Darstellung eines Netzwerks von Datenverarbeitungssystemen, in denen die vorliegende Erfindung realisiert werden kann. Das Netzwerk-Datenverarbeitungssystem 100 ist ein Computernetz, in welchem die vorliegende Erfindung realisiert werden kann. Das Netzwerk-Datenverarbeitungssystem 100 enthält ein Netzwerk 102, welches das Medium zur Bereitstellung von Übertragungsleitungen zwischen verschiedenen Einheiten und Computern darstellt, die innerhalb des Netzwerk-Datenverarbeitungssystems 100 miteinander verbunden sind. Das Netzwerk 102 kann Verbindungen wie zum Beispiel Drähte, drahtlose Übertragungsverbindungen oder Lichtwellenleiterkabel beinhalten.
  • Beim dargestellten Beispiel ist ein Server 104 zusammen mit der Speichereinheit 106 mit dem Netzwerk 102 verbunden. Außerdem sind auch Client-Computer 108, 110 und 112 sowie der Köderserver 150 mit dem Netzwerk 102 verbunden. Diese Client-Computer 108, 110 und 112 können zum Beispiel Personal Computer oder Netzwerk-Computer sein. Im dargestellten Beispiel stellt der Server-Computer 104 den Client-Computern 108 bis 112 Daten wie Bootdateien, Betriebssystemdarstellungen und Anwendungen zur Verfügung. Das Netzwerk- Datenverarbeitungssystem 100 kann auch noch weitere nicht gezeigte Server-Computer, Client-Computer und andere Einheiten enthalten. Im dargestellten Beispiel ist das Netzwerk-Datenverarbeitungssystem 100 ein Intranet, ein lokales Netz (LAN) oder eine andere Art von vertraulichem Netzwerk, wie es zum Beispiel durch ein Unternehmen oder eine Universität verwendet werden kann. Das Netzwerk 102 stellt eine Ansammlung von Netzwerken und Gateway-Computern dar, welche eine Vielzahl von Protokollen wie zum Beispiel das TCP/IP-Protokoll oder Protokolle zum Kommunizieren untereinander benutzen. Der Server-Computer 104 stellt auch eine Verbindung zwischen dem Netzwerk-Datenverarbeitungssystem 100 und einem äußeren Netzwerk 180 bereit, bei dem es sich zum Beispiel um das Internet handeln kann.
  • Wenn es sich bei dem äußeren Netzwerk 180 um das Internet handelt, stellt dieses eine weltweite Ansammlung von Netzwerken und Gateway-Computern dar, welche die Vielzahl von TCP/IP-Protokollen zum Kommunizieren miteinander verwenden. Den Kern des Internets stellt eine aus Hochgeschwindigkeits-Datenübertragungsleitungen bestehende Zentralleitung zwischen Hauptknoten oder Host-Computern dar, welche aus Tausenden von Unternehmens-, Regierungs-, Universitäts- und anderen Computersystem bestehen, die Daten und Nachrichten weiterleiten.
  • Im Netzwerk 102 ist ein als „Köderserver" 150 bezeichneter spezieller Server-Computer installiert, der als leicht zugänglicher Host-Computer für einen Wurmvirus im Netzwerk fungiert. Der hier verwendete Begriff Virus beinhaltet Viren, Würmer, trojanische Pferde und andere böswillige Programme, welche den normalen Betrieb eines Datenverarbeitungssystems oder Netzwerks stören sollen. Der Köderserver 150 ist so konfiguriert, dass er den gesamten Netzwerkverkehr und alle Anmeldungen bei ihm mittels einer Sicherheitssoftware überwacht. Der Maschinenname oder die IP-Adresse des Köderservers ist nach außen nicht bekannt, und kein Benutzer ist berechtigt, sich bei der Maschine 150 anzumelden. Wenn eine Netzwerk- oder Anmeldeanforderung an den Köderserver 150 gerichtet wird, kann der Köderserver 150 aus der Tatsache, dass die Anforderung unerwartet kam und aus dem Netzwerk 102 stammte, schließen, dass die Anforderung von einem Wurmvirus kam, der sich von einer infizierten Maschine in den Köderserver 150 zu kopieren versucht.
  • Wenn der Virus von einem Client-Computer 108 bis 112 kommt, macht er im Netzwerk rasch ein leicht zugängliches System mit Schreibzugriff auf andere ferne Dateisysteme oder gemeinsam genutzte Netzressourcen ausfindig. Der Virus versucht sich zwar in den Köderserver 150 zu kopieren, aber das Überwachungssoftwarepaket im Köderserver 150 erkennt den Versuch des infizierten Systems, auf den Köderserver 150 zu schreiben und fängt die Daten ab. Der Köderserver 150 benachrichtigt sofort den Server-Computer 104, der die Verbindung zum angreifenden System unterbricht, und wehrt jeden weiteren Versucht es angreifenden Systems ab, sich anzumelden oder in das Netzwerk 102 zu gelangen. Dann benachrichtigt der Server-Computer 104 den fernen Administrator über ein Geschäftsereignis und den Systemmanager per eMail und/oder Funkruf.
  • Als zusätzliche Vorsichtsmaßname überwacht der Köderserver 150 ständig den Zustand der Köderserverdateien und stellt laufend ihre Größe und Gültigkeit fest. Wenn der Köderserver 150 feststellt, dass sich die Größe einer oder mehrerer seiner Dateien verändert hat oder dass die Datei überhaupt nicht mehr vorhanden ist, benachrichtigt er durch Senden eines Ereignisses den lokalen Server-Computer 104, dass ein Virus erkannt worden ist, worauf dieser alle Verbindungen unterbricht und mit dem Desinfektionsprozess für sich und die anderen Computer und gemeinsam genutzten Ressourcen im Netzwerk beginnt. Obwohl der Köderserver 150 die Quelle des Virus nicht immer ermitteln kann, bevor erste Schäden eingetreten sind, ermittelt er den Angreifer doch innerhalb kurzer Zeit und verhindert somit größeren Schaden.
  • Somit stellt die vorliegende Erfindung eine automatisierte Lösung dieses Problems durch eine Gesamtheit von Hardware- und Softwarekomponenten bereit, welche die Aufgabe der Identifizierung der Quelle eines im Netzwerk befindlichen Computervirus ausführen, ohne hierfür hochqualifizierte Netzwerkadministratoren oder Techniker zu benötigen. Diese automatisierte Funktion kann außer durch den Köderserver 150 durch eine im Netzwerkserver 102 und den Client-Computern 108112 oder durch eine kommerzielle Dienstleistung bereitgestellt werden, welche durch die Benutzer abonniert werden kann.
  • Wenn der Köderserver 150 oder die Antivirussoftware des Client-Computers einen Virus entdeckt hat und es sich dabei um einen Wurm handelt, muss der Server-Computer die Quelle des Virus ausfindig machen und sicherstellen, dass die Maschine, von welcher der Virus stammt, desinfiziert wird, bevor sie wieder mit dem Netzwerk 102 oder den gemeinsam genutzten Netzwerkressourcen verbunden wird.
  • Wenn die vorliegende Erfindung als kommerzielle Dienstleistung bereitgestellt wird, benachrichtigt der Köderserver 150 sofort den fernen Administrator durch Senden eines Geschäftsereignisses „Virus erkannt" und durch Senden einer entail-Nachricht zum fernen Administrator mit Informationen über die Art des erkannten Virus, den Namen des Client-Computers, auf welchem der Virus entdeckt wurde, und die zum Desinfizieren des Systems eingeleiteten Schritte. Der Köderserver 150 kann auch einen Techniker über Funkruf informieren bzw. einen Telefonanruf zu einem Servicetechniker herstellen. Nach dem Empfang dieser Benachrichtigung kann das Ereignis-Routingsystem des Administrators wiederum andere Geschäftsereignisse erzeugen, einen Vor-Ort-Service oder einen Anruf zum Kunden organisieren, über Funkruf einen Techniker informieren oder im Extremfall den lokalen Server-Computer und/oder das gesamte lokale Netz abschalten.
  • Um den angreifenden Computer zu lokalisieren, ist der Köderserver 150 gemäß dem oben Gesagten im Netzwerk 102 installiert, um als „Köder" und als Magnet für den Computervirus zu dienen. Diese Art Viren, die auch unter der Bezeichnung Würmer bekannt sind, wandern durch das Netzwerk und suchen nach einem Computer mit Schreibberechtigung für gemeinsam genutzte Systemressourcen, der den Virus aufnehmen kann. Zum Auffinden von Netzwerk-Servern verwenden die Viren verschiedene Techniken einschließlich von NETBIOS-Rundsendenachrichten. Mittels des NETBIOS-Protokolls macht der Virus einen Server-Computer im Netzwerk mit Schreibzugriff auf andere Computer oder Netzwerkressourcen ausfindig. Dann kopiert er sich in den Server-Computer, installiert sich als Dienst und startet diesen Dienst jedes Mal, wenn das Betriebssystem gestartet wird oder sich ein Benutzer anmeldet.
  • Wenn der Virus aktiv ist, beginnt er, lokale Dateien, ferne Dateien und Dateien auf Netzwerkressourcen zu löschen. Wenn nicht sofort eingegriffen wird, kann der Virus Tausende von Dateien in der Minute löschen oder unbrauchbar machen.
  • Der Köderserver 150 ist so konfiguriert, dass er Anmelde- und Netzwerkanforderungen von Maschinen innerhalb des Netzwerks 102 überwacht. Da der Köderserver 150 den Benutzer des Netzwerks 102 unbekannt ist, kann als System, welches überhaupt versuchen könnte, sich beim Köderserver 150 anzumelden und seine Daten über das Netzwerk 102 zu senden, nur der Virus selbst infrage kommen. Der Köderserver 150 ist so konfiguriert, dass die Sicherheitsüberwachung aktiviert ist und alle Netzwerk- und Sicherheitsanforderungen überwacht werden. Der Köderserver 150 ist so offen wie möglich konfiguriert und verfügt über die Schreibberechtigung auf eine isolierte öffentliche Netzwerkressource, bei der es in Wirklichkeit um ein lokales Plattenlaufwerk handelt.
  • In dieser Netzwerkressource sind Dateien mit Erweiterungen wie .DOC, .PPT, .H, .CPP, .ASM, und .XLS installiert, die normalerweise durch den Wurmvirus angegriffen werden. Sobald in der Köderservermaschine 150 eine Anmeldeanforderung eintrifft, trennt der Köderserver 150 sofort die Verbindung zum anfordernden Computer und erzeugt ein Geschäftsereignis für den fernen Administrationsserver und sendet eine dringende entail-Nachricht zum Systemadministrator. Jede Nachricht enthält Informationen zum Zeitpunkt, zum Datum, zur IP-Adresse und zum Namen der angreifenden Maschine sowie die Benutzerkennung und das Kennwort, welches der Virus zu benutzen versucht. Der Köderserver 150 verbreitet dann durch Rundsenden eine Mitteilung durch das Netzwerk, dass ein Virenangriff im Gange ist.
  • Dieselben Maßnahmen werden ergriffen, wenn bei der gemeinsam genutzten Ressource des Köderservers 150 eine Schreibanforderung eintrifft. Auch in diesem Fall werden wieder die IP-Adresse der sendenden Maschine, der Name der Maschine, der Virentyp sowie weitere Informationen gesammelt und zur Weiterleitung zum lokalen Server-Computer 104 gesendet. Eine Bedingung für das ordnungsgemäße Funktionieren der vorliegenden Erfindung besteht darin, dass die Viren „schlau" genug sind, zuerst die am leichtesten zugänglichen Maschinen aufzusuchen und sich somit frühzeitig zu enttarnen.
  • Sobald die angreifende Maschine vom Netzwerk 102 genommen wurde, wird ihr Anmeldekonto gesperrt. Alle durch den Virus erzeugten nachfolgenden Anforderungen nach der IP-Adresse oder dem Maschinennamen werden so lange ignoriert, bis feststeht, dass der Virus aus dem Netzwerk entfernt und die angreifende Maschine desinfiziert wurde. Dann wird die angreifende Maschine wieder mit dem Netzwerk 102 verbunden, und der Netzwerkbetrieb geht normal weiter.
  • 1 dient nur als Beispiel und soll hinsichtlich der Architektur keine Einschränkung für die vorliegende Erfindung darstellen.
  • 2 zeigt ein Blockschaltbild eines Datenverarbeitungssystems gemäß der vorliegenden Erfindung, das als Server-Computer, wie zum Beispiel als „Köder"-Server 150 oder als Server-Computer 104 in 1, realisiert werden kann. Das Datenverarbeitungssystem 200 kann ein symmetrisches Multiprozessorsystem (SMP) mit einer Vielzahl mit dem Systembus 206 verbundener Prozessoren 202 und 204 sein. Alternativ kann auch ein Einprozessorsystem verwendet werden. Mit dem Systembus 206 sind auch eine Speichersteuereinheit/ein Cachespeicher 208 verbunden, der eine Schnittstelle zum lokalen Speicher 209 bereitstellt. Die E/A-Busbrücke 210 ist mit dem Systembus 206 verbunden und stellt eine Schnittstelle zum E/A-Bus 212 bereit. Die Speichersteuereinheit/der Cachespeicher 208 und die E/A-Busbrücke 210 können wie in der Abbildung eine Einheit bilden.
  • Die mit dem E/A-Bus 212 verbundene PCI-Busbrücke 214 (peripheral component interconnect bus, Verbindungsbus für Erweiterungskomponenten) stellt eine Schnittstelle zum lokalen PCI-Bus 216 bereit. An den PCI-Bus 216 kann eine Anzahl von Modems angeschlossen werden. Typische PCI-Bus-Ausführungen unterstützen vier PCI-Erweiterungssteckplätze. Die Datenübertragungsleitungen zu den Netzwerk-Computern 108 bis – 112 in 1 können durch den Modem 218 und den über Steckkarten mit dem lokalen PCI-Bus 216 verbundenen Netzwerkadapter 220 bereitgestellt werden.
  • Weitere PCI-Busbrücken 222 und 224 stellen Schnittstellen für weitere PCI-Busse 226 und 228 bereit, die weitere Modems oder Netzwerkadapter unterstützen können. Auf diese Weise ermöglicht das Datenverarbeitungssystem 200 Verbindungen zu zahlreichen Netzwerkcomputern. Gemäß der Darstellung können an den E/A-Bus 212 direkt oder indirekt auch ein Grafikadapter 230 mit Speicher und eine Festplatte 232 angeschlossen werden.
  • Dem Fachmann ist klar, dass die in 2 dargestellte Hardware auch anders beschaffen sein. Zum Beispiel können zusätzlich oder anstelle der dargestellten Hardware auch andere Peripherieeinheiten wie zum Beispiel optische Plattenlaufwerte oder Ähnliches verwendet werden. Das dargestellte Beispiel soll hinsichtlich der Architektur keine Einschränkung der vorliegenden Erfindung darstellen.
  • Das in 2 dargestellte Datenverarbeitungssystem kann zum Beispiel ein IBM RISC/System 6000 (RS/6000) sein, auf welchem das Betriebssystem AIX (Advanced Interactive Executive) läuft (IBM, RS/6000 und AIX sind eingetragene Warenzeichen der International Business Machines Corporation).
  • 3 zeigt ein Blockschaltbild eines Datenverarbeitungssystems gemäß der vorliegenden Erfindung, das als Client-Computer realisiert werden kann. Das Datenverarbeitungssystem 300 ist ein Beispiel für einen Client-Computer wie beispielsweise einen der Client-Computer 102 bis 110 in 1. Das Datenverarbeitungssystem 300 verwendet eine lokale PCI-Busarchitektur. Obwohl bei dem dargestellten Beispiel ein PCI-Bus Anwendung findet, können auch andere Busarchitekturen wie beispielsweise AGP (Accelerated Graphics Port) oder ISA (Industry Standard Architecture) eingesetzt werden. Der Prozessor 302 und der Hauptspeicher 304 sind über die PCI-Brücke 308 mit dem lokalen PCI-Bus 306 verbunden. Die PCI-Brücke 308 kann auch eine eingebaute Speichersteuerung und einen Cachespeicher für den Prozessor 302 enthalten. Weitere Verbindungen zum lokalen PCI-Bus 306 durch direkten Anschluss von Komponenten oder durch Steckkarten hergestellt werden. Beim dargestellten Beispiel sind der LAN-Adapter 310 (Local Area Network), SCSI-Hostbusadapter 312 (Small Computer System Interface) und die Erweiterungsbusschnittstelle 314 durch direkten Anschluss der Komponenten mit dem lokalen PCI-Bus 306 verbunden. Der Audioadapter 316, der Grafikadapter 318 und der Audio/Videoadapter 319 hingegen sind durch Steckkarten in den Erweiterungssteckplätzen mit dem lokalen PCI-Bus 306 verbunden. Die Erweiterungsbusschnittstelle 314 stellt eine Verbindung für einen Tastatur- und Mausadapter 320, einen Modem 322 und einen Zusatzspeicher 324 bereit. Der SCSI-Hostbusadapter 312 stellt eine Verbindung für das Festplattenlaufwerk 326, das Bandlaufwerk 328 und das CD-ROM-Laufwerk 330 bereit. Typische PCI-Bus-Ausführungen unterstützen drei oder vier PCI-Erweiterungssteckplätze.
  • Ein im Prozessor 302 laufendes Betriebssystem wird zur Verwaltung und Steuerung der verschiedenen Komponenten im Datenverarbeitungssystem 300 in 3 verwendet. Bei dem Betriebssystem kann es sich ein handelsübliches Betriebssystem wie beispielsweise Windows 2000 handeln (Microsoft, Windows, Windows NT und das Windows-Zeichen sind Warenzeichen der Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern). Zusammen mit dem Betriebssystem kann ein objektorientiertes Programmiersystem wie beispielsweise Java laufen (Java und alle mit Java zusammenhängenden Warenzeichen sind Warenzeichen von Sun Microsystems, Inc. in den Vereinigten Staaten und/oder anderen Ländern) und Aufrufe der im Datenverarbeitungssystem 300 laufenden Java-Programme oder -Anwendungen an das Betriebssystem richten. Anweisungen für das Betriebssystem, das objektorientierte Betriebssystem und Anwendungen oder Programme befinden sich in Speichervorrichtungen wie beispielsweise einem Festplattenlaufwerk 326 und können zur Ausführung durch den Prozessor 302 in den Hauptspeicher 304 geladen werden.
  • Dem Fachmann ist klar, dass die Hardware in 3 je nach Ausführung verschieden ausfallen kann. Zusätzlich zu der in 3 dargestellten Hardware oder an deren Stelle können auch andere interne Hardware- oder Peripherieeinheiten wie beispielsweise ein Flash-ROM-Speicher (oder ein ähnlicher nichtflüchtiger Speicher) oder optische Plattenlaufwerke oder Ähnliches verwendet werden. Außerdem können die Prozesse der vorliegenden Erfindung auch auf ein Multiprozessor-Datenverarbeitungssystem angewendet werden.
  • Ein weiteres Beispiel für das Datenverarbeitungssystem 300 stellt ein Einzelplatzrechner dar, der ohne jegliche Netzwerkschnittstelle gebootet werden kann, unabhängig davon, ob das Datenverarbeitungssystem 300 eine Netzwerkschnittstelle umfasst. Ein weiteres Beispiel für das Datenverarbeitungssystem stellt eine PDA-Einheit (Personal Digital Assistent) dar, die mit einem ROM und/oder einem Flash-ROM ausgestattet ist, um einen nichtflüchtigen Speicher zum Speichern von Betriebssystemdateien und/oder Benutzerdateien bereitzustellen.
  • Das in 3 dargestellte Beispiel und die oben beschriebenen Beispiele sollen hinsichtlich der Architektur keine Einschränkungen bedeuten. Zum Beispiel kann das Datenverarbeitungssystem 300 auch ein Notebookcomputer oder ein Taschencomputer sowie ein PDA sein. Das Datenverarbeitungssystem 300 kann auch eine Ladeneinrichtung oder ein Internetrechner sein.
  • In 4 sind ein Ablaufdiagramm und eine Programmfunktion gemäß der vorliegenden Erfindung zur Ausführung in einem Köderserver zum Erkennen, Lokalisieren und Beseitigen eines Computervirus dargestellt. Der Prozess 400 kann zum Beispiel im Köderserver 150 in 1 ausgeführt werden. Zuerst wird der Köderserver eingeschaltet 402 und beginnt seinen Normalbetrieb mit Virusüberwachung 404. Wenn der Strom abgeschaltet wird (Schritt 406), endet der Prozess. Bis zum Abschalten überwacht sich der Köderserver jedoch ständig, um zu ermitteln, ob ein Virusereignis festgestellt worden ist (Schritt 408).
  • Der Köderserver kann ein Virusereignis zum Beispiel dadurch erkennen, dass er einen versuchten Zugriff auf den Köderserver beobachtet, bei dem beispielsweise versucht wird, Daten auf den Köderserver zu schreiben. Da die Adresse nach außen nicht bekannt ist und im Netzwerk keine andere Funktion hat, ist jeder Zugriffsversuch auf den Köderserver verdächtig und zeigt das Vorhandensein eines Virus im Netzwerk an. Als zusätzliche Vorsichtsmaßnahme kann der Köderserver ständig den Zustand seiner Dateien überwachen, indem er ihre Größe und Gültigkeit überprüft. Wenn der Köderserver feststellt, dass die Größe einer seiner Dateien sich verändert hat oder sie nicht mehr existieren, kann dies das Vorhandensein eines Virus anzeigen. Der Standort des angreifenden Computers, von welchem aus der Virus auf den Köderserver zuzugreifen versucht, wird durch Registrieren der Adresse des Computers ermittelt, der den Zugriff auf den Köderserver anfordert.
  • Wenn kein Virusereignis festgestellt wird, setzt der Köderserver seinen Normalbetrieb und die Virusüberwachung fort (Schritt 404). Wenn ein Virusereignis festgestellt wird, sendet der Köderserver eine Nachricht zum fernen Administrator (Schritt 410) und informiert ihn, dass ein Virus und die Identität des Computers im Netzwerk, von welchem der Virus stammt, erkannt wurden. Dann trennt der Köderserver die Verbindungen und die gemeinsam genutzten Netzwerkressourcen vom angreifenden Computer (Schritt 412) und weist ihn an, sich vom Virus zu desinfizieren (Schritt 414).
  • Dann wartet der Köderserver auf eine Anforderung vom angreifenden Computer, wieder angeschlossen zu werden. Solange noch keine Wiederverbindungsanforderung eingetroffen ist (Schritt 418), wartet der Köderserver weiter (Schritt 416). Allerdings überwacht sich der Köderserver weiterhin auf Virusereignisse, während er einen angreifenden Computer ermittelt, von welchem ein Virus gekommen ist, während er einen Administrator benachrichtigt, den angreifenden Computer trennt und auf eine Wiederverbindungsanforderung wartet. Wenn eine Wiederverbindungsanforderung empfangen wird, schließt der Köderserver den angreifenden Computer wieder an (Schritt 420) und setzt seinen Normalbetrieb und die Virusüberwachung fort (Schritt 404).
  • Somit ermöglicht der Köderserver das relativ schnelle Erkennen und Beseitigen von Viren, sodass normalerweise schwerere Schäden oder Netzwerkunterbrechungen verhindert werden. Außerdem kann die Identität des Computers, von welchem aus der Virus zuerst in das Netzwerk gelangt ist, festgestellt, dieser Computer vom Netzwerk getrennt und desinfiziert werden, bevor der Virus viele weitere Computer innerhalb des Netzwerks infizieren konnte.
  • Wenn der lokale Server-Computer der angreifende Computer ist, von welchem aus der Virus in das Netzwerk gelangt ist, ist die Verfahrensweise genauso wie beim Client-Computer. Der Köderserver sendet eine Mitteilung über einen Virusangriff an die Client-Computer, woraufhin diese sich vom Netzwerk trennen und ihre Verbindungen schließen, der lokale Server-Computer sich vergewissert, dass alle Verbindungen aufgehoben sind, sich desinfiziert und dann die Verbindung zu den Client-Computern wiederherstellt, sobald diese wieder verfügbar sind.
  • 5 zeigt ein Ablaufdiagramm und eine Programmfunktion gemäß der vorliegenden Erfindung, die in einem Client-Computer zum Erkennen des Vorhandenseins eines Virus realisiert werden kann. Der Prozess 500 kann zum Beispiel in einem der Client-Computer 108 bis 112 in 1 realisiert werden. Zuerst wird der Computer eingeschaltet und mit dem Netzwerk verbunden (Schritt 502). Dann nimmt der Computer seinen Normalbetrieb auf (Schritt 504). Wenn der Strom abgeschaltet wird (Schritt 506), ist der Prozess beendet. Bis zum Abschalten des Stroms setzt der Computer seine normalen Operationen fort und ermittelt, ob durch den Köderserver ein Virus erkannt wurde, indem er auf eine Benachrichtigung aus dem Netzwerk wartet (Schritt 508). Wenn keine Benachrichtigung empfangen wird, die das Vorhandensein eines Virus im Computer anzeigt, setzt der Computer seinen Normalbetrieb fort (Schritt 504).
  • Wenn eine Benachrichtigung empfangen wird, die das Vorhandensein eines Virus im Computer anzeigt, kann der Computer eine Benachrichtigung an seinen Besitzer senden, indem er zum Beispiel eine Nachricht auf einem Bildschirm anzeigt oder den Besitzer oder Benutzer über Funkruf informiert (Schritt 510). Dann wird der Computer vom Netzwerk getrennt (Schritt 512), und anschließend desinfiziert er sich (Schritt 514). Der Computer kann sich selbst desinfizieren, indem er automatisch ein Viruserkennungs- und – beseitigungsprogramm laufen lässt, das eins aus einer Vielzahl handelsüblicher Produkte sein kann. Alternativ kann der Desinfektionsprozess umfangreiche Benutzereingriffe und möglicherweise sogar die Dienste eines Fachmanns wie zum Beispiel eines Netzwerkadministrators erfordern.
  • Nach dem Desinfizieren des Computers vom Virus sendet der Computer eine Anforderung nach Wiederverbindung mit dem Netzwerk (Schritt 516) und wartet auf Bestätigung der Anforderung. Dann ermittelt der Computer, ob die Anforderung bestätigt wurde (Schritt 518) und wartet weiter, wenn diese Bestätigung nicht eintrifft. Wenn die Anforderung bestätigt wird, stellt der Computer die Verbindung zum Netzwerk wieder her und setzt seinen Normalbetrieb fort (Schritt 504).
  • Die vorliegende Erfindung wurde zwar in bezug auf ein voll funktionstüchtiges Datenverarbeitungssystem beschrieben, dem Fachmann ist jedoch klar, dass die Prozesse der vorliegenden Erfindung auch in Form von Anweisungen auf einem computerlesbaren Medium oder in vielerlei Formen verbreitet werden können und dass die vorliegende Erfindung auch unabhängig von der jeweiligen Art des zur Verbreitung verwendeten signaltragenden Mediums angewendet werden kann. Beispiele für computerlesbare Medien sind Speichermedien wie zum Beispiel eine Diskette, ein Festplattenlaufwerk, ein RAM-Speicher und CD-ROMs sowie Datenübertragungsmedien wie zum Beispiel digitale und analoge Datenübertragungsleitungen.
  • Die Beschreibung der vorliegenden Erfindung dient lediglich der Veranschaulichung und Erläuterung, erhebt jedoch nicht den Anspruch der Vollständigkeit und der Beschränkung der Erfindung auf die beschriebene Form. Dem Fachmann sind viele Änderungen und Abwandlungen geläufig. Die Ausführungsart wurde ausgewählt und beschrieben, um die der Erfindung zugrunde liegenden Prinzipien und ihre praktische Anwendung möglichst gut zu erläutern und anderen Fachleuten das Verständnis der Erfindung zur Realisierung weiterer Ausführungsarten mit verschiedenen Änderungen zu erleichtern, die für die beabsichtigte Verwendung geeignet sind.

Claims (15)

  1. System in einem Köderserver (150) zum Entdecken eines Computervirus, wobei das System dadurch gekennzeichnet ist, dass es Folgendes umfasst: eine Überwachungseinheit, welche ein Netzwerk auf das Vorhandensein eines Computervirus überwacht, wobei der Köderserver eine nicht veröffentlichte Netzwerkadresse hat und der Zugriff durch Netzwerkbenutzer auf den Köderserver nicht zugelassen ist; eine Erkennungseinheit (2), welche als Reaktion auf eine Mitteilung, dass ein Computervirus festgestellt wurde, die Identität eines angreifenden Systems innerhalb des Netzwerks ermittelt, von welchem der Computervirus in das Netzwerk gelangt ist; und eine Trenneinheit, welche das angreifende System vom Netzwerk trennt.
  2. System nach Anspruch 1, welches ferner Folgendes umfasst: ein Mittel zum Benachrichtigen aller Einheiten innerhalb des Netzwerks, dass alle Anforderungen vom angreifenden System so lange zu ignorieren sind, bis der Virus aus dem angreifenden System entfernt wurde und dieses wieder für die Netzwerkkommunikation zur Verfügung steht.
  3. System nach Anspruch 1, welches ferner Folgendes umfasst: ein Mittel zum Ignorieren aller vom angreifenden System kommenden Anforderungen durch den Köderserver so lange, bis der Virus aus dem angreifenden System entfernt wurden und dieses wieder für die Netzwerkkommunikation zur Verfügung steht.
  4. System nach einem der vorangehenden Ansprüche, welches ferner Folgendes umfasst: ein Mittel zum Benachrichtigen eines lokalen Servers (104) über das Vorhandensein des Computervirus und die Identität des angreifenden Systems.
  5. System nach einem der vorangehenden Ansprüche, welches ferner Folgendes umfasst: ein Mittel zum Benachrichtigen des angreifenden Systems vor dem Trennen des angreifenden Systems, dass dieses durch einen Computervirus infiziert ist.
  6. System nach einem der vorangehenden Ansprüche, welches ferner Folgendes umfasst: ein Mittel zum erneuten Verbinden des angreifenden Systems mit dem Netzwerk als Reaktion auf eine Mitteilung, dass der Virus aus dem angreifenden System entfernt wurde, sowie als Reaktion auf eine Anforderung zum erneuten Verbinden des angreifenden Systems.
  7. System nach einem der vorangehenden Ansprüche, wobei das angreifende System in der Lage ist, die Verbindung zum Netzwerk wiederherzustellen.
  8. System nach einem der vorangehenden Ansprüche, welches ferner Folgendes umfasst: ein Mittel zum Überwachen von Dateien innerhalb des Köderservers; und ein Mittel zum Benachrichtigen eines lokalen Servers, dass gerade ein Virenangriff erfolgt, als Reaktion auf eine Änderung in einer oder mehreren Dateien innerhalb des Köderservers.
  9. System nach Anspruch 8, wobei die Änderung in einer oder mehreren Dateien eine Änderung der Anzahl der Bytes in einer oder mehreren der Dateien beinhaltet.
  10. System nach Anspruch 8, wobei die Änderung in einer oder mehreren der Dateien eine fehlende oder eine gelöschte Datei beinhaltet.
  11. System nach einem der vorangehenden Ansprüche, wobei der Köderserver einen Versuch des angreifenden Systems empfängt, auf den Köderserver zuzugreifen, und der Versuch einen oder mehrere Versuche, auf den Köderserver zu schreiben bzw. einen oder mehrere Anforderungen umfasst, eine Funktion auf dem Köderserver auszuführen.
  12. Datenverarbeitungssystem (180) in einem Netzwerk, wobei das Datenverarbeitungssystem Folgendes umfasst: einen lokalen Server (104), eine Vielzahl von Client-Datenverarbeitungssystemen (108, 110, 112) eines Netzwerks und ein System in einem Köderserver (150) nach einem der Ansprüche 1 bis 11.
  13. Datenverarbeitungssystem in einem Netzwerk nach Anspruch 12, wobei der Köderserver ferner Folgendes umfasst: ein Mittel zum Rundsenden eines Hinweises an die Vielzahl der Client-Datenverarbeitungssysteme, dass gerade ein Virenangriff erfolgt.
  14. Verfahren in einem Köderserver (150) zum Erkennen des Vorhandenseins eines Computervirus, wobei das Verfahren dadurch gekennzeichnet ist, dass es die folgenden Schritte umfasst: Überwachen eines Netzwerks auf das Vorhandensein eines Computervirus durch den Köderserver, wobei der Köderserver eine nicht veröffentlichte Netzwerkadresse hat und der Zugriff durch Netzwerkbenutzer auf den Köderserver nicht zugelassen ist (404); Ermitteln der Identität eines angreifenden Systems innerhalb des Netzwerks, von welchem aus das Computervirus in das Netzwerk gelangt ist (410), als Reaktion auf die Feststellung, dass ein Computervirus entdeckt wurde (408); und Trennen des angreifenden Systems vom Netzwerk (414).
  15. Computerprogrammprodukt zur Verwendung in einem Köderserver (150) zum Entdecken eines Computervirus, wobei das Computerprogrammprodukt Computerprogrammanweisungen auf einem durch Computer lesbaren Medium umfasst und die Anweisungen dadurch gekennzeichnet sind, dass sie den Computer zum Ausführen der folgenden Schritte veranlassen: Überwachen eines Netzwerks auf das Vorhandensein eines Computervirus, wobei der Köderserver eine nicht veröffentlichte Netzwerkadresse hat und der Zugriff durch Netzwerkbenutzer auf den Köderserver nicht zugelassen ist (404); Ermitteln der Identität eines angreifenden Systems innerhalb des Netzwerks, von welchem aus der Computervirus in das Netzwerk gelangt ist (410), als Reaktion auf die Feststellung, dass ein Computervirus entdeckt wurde (408); und Trennen des angreifenden Systems vom Netzwerk (414).
DE60201430T 2001-04-10 2002-04-09 Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers Expired - Fee Related DE60201430T8 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US829761 2001-04-10
US09/829,761 US7089589B2 (en) 2001-04-10 2001-04-10 Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait
PCT/US2002/011239 WO2002084459A1 (en) 2001-04-10 2002-04-09 Detection of computer viruses on a network using a bait server

Publications (3)

Publication Number Publication Date
DE60201430D1 DE60201430D1 (de) 2004-11-04
DE60201430T2 true DE60201430T2 (de) 2006-03-02
DE60201430T8 DE60201430T8 (de) 2006-06-08

Family

ID=25255481

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60201430T Expired - Fee Related DE60201430T8 (de) 2001-04-10 2002-04-09 Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers

Country Status (9)

Country Link
US (1) US7089589B2 (de)
EP (1) EP1377892B1 (de)
JP (1) JP3947110B2 (de)
KR (1) KR100553146B1 (de)
CN (1) CN1256634C (de)
AT (1) ATE278212T1 (de)
DE (1) DE60201430T8 (de)
TW (1) TW565762B (de)
WO (1) WO2002084459A1 (de)

Families Citing this family (102)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
CN1147795C (zh) * 2001-04-29 2004-04-28 北京瑞星科技股份有限公司 检测和清除已知及未知计算机病毒的方法、系统
US7107618B1 (en) 2001-09-25 2006-09-12 Mcafee, Inc. System and method for certifying that data received over a computer network has been checked for viruses
US7257630B2 (en) * 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7243148B2 (en) * 2002-01-15 2007-07-10 Mcafee, Inc. System and method for network vulnerability detection and reporting
US20030154394A1 (en) * 2002-02-13 2003-08-14 Levin Lawrence R. Computer virus control
JP4088082B2 (ja) * 2002-02-15 2008-05-21 株式会社東芝 未知コンピュータウイルスの感染を防止する装置およびプログラム
FI113499B (fi) * 2002-09-12 2004-04-30 Jarmo Talvitie Turvajärjestelmä, menetelmä ja laite tietokonevirusten torjumiseksi sekä tiedon eristämiseksi
US7278019B2 (en) * 2002-11-04 2007-10-02 Hewlett-Packard Development Company, L.P. Method of hindering the propagation of a computer virus
US7418730B2 (en) * 2002-12-17 2008-08-26 International Business Machines Corporation Automatic client responses to worm or hacker attacks
US7624422B2 (en) * 2003-02-14 2009-11-24 Preventsys, Inc. System and method for security information normalization
US7627891B2 (en) 2003-02-14 2009-12-01 Preventsys, Inc. Network audit and policy assurance system
US7386719B2 (en) * 2003-07-29 2008-06-10 International Business Machines Corporation System and method for eliminating viruses at a web page server
US20050028010A1 (en) * 2003-07-29 2005-02-03 International Business Machines Corporation System and method for addressing denial of service virus attacks
US7552473B2 (en) * 2003-08-12 2009-06-23 Symantec Corporation Detecting and blocking drive sharing worms
US20050086526A1 (en) * 2003-10-17 2005-04-21 Panda Software S.L. (Sociedad Unipersonal) Computer implemented method providing software virus infection information in real time
EP1528452A1 (de) * 2003-10-27 2005-05-04 Alcatel Rekursive Erkennung, Schutz und Entfernen von Computerviren in Knoten eines Datennetzwerks
US7636716B1 (en) 2003-12-03 2009-12-22 Trend Micro Incorporated Method and architecture for blocking email spams
CN100395985C (zh) * 2003-12-09 2008-06-18 趋势株式会社 强制设置防毒软件的方法及网络系统
US7647631B2 (en) * 2003-12-10 2010-01-12 Hewlett-Packard Development Company Automated user interaction in application assessment
US20050201297A1 (en) * 2003-12-12 2005-09-15 Cyrus Peikari Diagnosis of embedded, wireless mesh networks with real-time, flexible, location-specific signaling
US7370361B2 (en) 2004-02-06 2008-05-06 Trend Micro Incorporated System and method for securing computers against computer virus
US7716726B2 (en) * 2004-02-13 2010-05-11 Microsoft Corporation System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication
US8458797B1 (en) 2004-03-25 2013-06-04 Trend Micro Incorporated System and method for securing computers against computer viruses
US20050216957A1 (en) * 2004-03-25 2005-09-29 Banzhof Carl E Method and apparatus for protecting a remediated computer network from entry of a vulnerable computer system thereinto
US8201257B1 (en) 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
US7519954B1 (en) 2004-04-08 2009-04-14 Mcafee, Inc. System and method of operating system identification
US7472288B1 (en) 2004-05-14 2008-12-30 Trend Micro Incorporated Protection of processes running in a computer system
US7624445B2 (en) * 2004-06-15 2009-11-24 International Business Machines Corporation System for dynamic network reconfiguration and quarantine in response to threat conditions
JP4050253B2 (ja) * 2004-06-22 2008-02-20 株式会社ラック コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
US7448085B1 (en) 2004-07-07 2008-11-04 Trend Micro Incorporated Method and apparatus for detecting malicious content in protected archives
US20060015939A1 (en) * 2004-07-14 2006-01-19 International Business Machines Corporation Method and system to protect a file system from viral infections
KR100611679B1 (ko) 2004-07-30 2006-08-10 주식회사 뉴테크웨이브 컴퓨터 바이러스의 조기방역 시스템 및 방법
US8495144B1 (en) 2004-10-06 2013-07-23 Trend Micro Incorporated Techniques for identifying spam e-mail
US20060075493A1 (en) * 2004-10-06 2006-04-06 Karp Alan H Sending a message to an alert computer
US7716527B2 (en) * 2004-11-08 2010-05-11 International Business Machines Corporation Repair system
US7765596B2 (en) 2005-02-09 2010-07-27 Intrinsic Security, Inc. Intrusion handling system and method for a packet network with dynamic network address utilization
KR100599084B1 (ko) * 2005-02-24 2006-07-12 삼성전자주식회사 이동 통신 네트워크에서의 바이러스 치료 방법
US7690038B1 (en) 2005-04-26 2010-03-30 Trend Micro Incorporated Network security system with automatic vulnerability tracking and clean-up mechanisms
US7636943B2 (en) * 2005-06-13 2009-12-22 Aladdin Knowledge Systems Ltd. Method and system for detecting blocking and removing spyware
US7571483B1 (en) * 2005-08-25 2009-08-04 Lockheed Martin Corporation System and method for reducing the vulnerability of a computer network to virus threats
US8082586B2 (en) * 2005-11-22 2011-12-20 International Business Machines Corporation Snoop echo response extractor
US7756535B1 (en) 2006-07-07 2010-07-13 Trend Micro Incorporated Lightweight content filtering system for mobile phones
US7971257B2 (en) * 2006-08-03 2011-06-28 Symantec Corporation Obtaining network origins of potential software threats
US7788576B1 (en) 2006-10-04 2010-08-31 Trend Micro Incorporated Grouping of documents that contain markup language code
US7797746B2 (en) 2006-12-12 2010-09-14 Fortinet, Inc. Detection of undesired computer files in archives
US8756683B2 (en) * 2006-12-13 2014-06-17 Microsoft Corporation Distributed malicious software protection in file sharing environments
US8898276B1 (en) * 2007-01-11 2014-11-25 Crimson Corporation Systems and methods for monitoring network ports to redirect computing devices to a protected network
WO2008097780A2 (en) * 2007-02-02 2008-08-14 Websense, Inc. System and method for adding context to prevent data leakage over a computer network
US7861305B2 (en) * 2007-02-07 2010-12-28 International Business Machines Corporation Method and system for hardware based program flow monitor for embedded software
US8023974B1 (en) 2007-02-15 2011-09-20 Trend Micro Incorporated Lightweight SVM-based content filtering system for mobile phones
CN101022459B (zh) * 2007-03-05 2010-05-26 华为技术有限公司 预防病毒入侵网络的系统和方法
US8099785B1 (en) 2007-05-03 2012-01-17 Kaspersky Lab, Zao Method and system for treatment of cure-resistant computer malware
US8256003B2 (en) * 2007-05-10 2012-08-28 Microsoft Corporation Real-time network malware protection
US8181245B2 (en) * 2007-06-19 2012-05-15 Microsoft Corporation Proxy-based malware scan
US7949771B1 (en) 2007-09-05 2011-05-24 Trend Micro Incorporated Authentication of unknown parties in secure computer communications
US20090144822A1 (en) * 2007-11-30 2009-06-04 Barracuda Inc. Withholding last packet of undesirable file transfer
US8181249B2 (en) 2008-02-29 2012-05-15 Alcatel Lucent Malware detection system and method
US8407784B2 (en) 2008-03-19 2013-03-26 Websense, Inc. Method and system for protection against information stealing software
US9015842B2 (en) * 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US9130986B2 (en) * 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
US8819823B1 (en) * 2008-06-02 2014-08-26 Symantec Corporation Method and apparatus for notifying a recipient of a threat within previously communicated data
US9130972B2 (en) 2009-05-26 2015-09-08 Websense, Inc. Systems and methods for efficient detection of fingerprinted data and information
US8949988B2 (en) * 2010-02-26 2015-02-03 Juniper Networks, Inc. Methods for proactively securing a web application and apparatuses thereof
US8595840B1 (en) 2010-06-01 2013-11-26 Trend Micro Incorporated Detection of computer network data streams from a malware and its variants
US8352522B1 (en) 2010-09-01 2013-01-08 Trend Micro Incorporated Detection of file modifications performed by malicious codes
US8838992B1 (en) 2011-04-28 2014-09-16 Trend Micro Incorporated Identification of normal scripts in computer systems
CN102761535A (zh) * 2011-04-29 2012-10-31 北京瑞星信息技术有限公司 病毒监测方法和设备
US8516592B1 (en) 2011-06-13 2013-08-20 Trend Micro Incorporated Wireless hotspot with lightweight anti-malware
US9811664B1 (en) 2011-08-15 2017-11-07 Trend Micro Incorporated Methods and systems for detecting unwanted web contents
US8700913B1 (en) 2011-09-23 2014-04-15 Trend Micro Incorporated Detection of fake antivirus in computers
US8776235B2 (en) * 2012-01-10 2014-07-08 International Business Machines Corporation Storage device with internalized anti-virus protection
US9043914B2 (en) 2012-08-22 2015-05-26 International Business Machines Corporation File scanning
CN103294950B (zh) * 2012-11-29 2016-07-06 北京安天电子设备有限公司 一种基于反向追踪的高威窃密恶意代码检测方法及系统
US9241259B2 (en) 2012-11-30 2016-01-19 Websense, Inc. Method and apparatus for managing the transfer of sensitive information to mobile devices
US9152808B1 (en) * 2013-03-25 2015-10-06 Amazon Technologies, Inc. Adapting decoy data present in a network
US9300720B1 (en) 2013-05-21 2016-03-29 Trend Micro Incorporated Systems and methods for providing user inputs to remote mobile operating systems
US9444912B1 (en) 2013-05-21 2016-09-13 Trend Micro Incorporated Virtual mobile infrastructure for mobile devices
US9225799B1 (en) 2013-05-21 2015-12-29 Trend Micro Incorporated Client-side rendering for virtual mobile infrastructure
US9049169B1 (en) 2013-05-30 2015-06-02 Trend Micro Incorporated Mobile email protection for private computer networks
US9058488B2 (en) 2013-08-14 2015-06-16 Bank Of America Corporation Malware detection and computer monitoring methods
US9507617B1 (en) 2013-12-02 2016-11-29 Trend Micro Incorporated Inter-virtual machine communication using pseudo devices
CN103763324A (zh) * 2014-01-23 2014-04-30 珠海市君天电子科技有限公司 一种病毒程序传播设备监控的方法以及服务器
CN104091123B (zh) * 2014-06-27 2017-04-12 华中科技大学 一种社区网络的层次病毒免疫方法
JP2016015676A (ja) * 2014-07-03 2016-01-28 富士通株式会社 監視装置、監視システム、および、監視方法
CN104484605A (zh) * 2014-12-10 2015-04-01 央视国际网络无锡有限公司 云存储环境病毒源检测方法
JP2016181191A (ja) * 2015-03-25 2016-10-13 富士通株式会社 管理プログラム、管理装置及び管理方法
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US9553885B2 (en) 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
KR101726160B1 (ko) 2016-03-11 2017-04-12 고려엠지주식회사 무동력 자동세척 필터링장치용 임펠러
CN106709344B (zh) * 2016-08-09 2019-12-13 腾讯科技(深圳)有限公司 一种病毒查杀的通知方法及服务器
US10169581B2 (en) 2016-08-29 2019-01-01 Trend Micro Incorporated Detecting malicious code in sections of computer files
KR102000369B1 (ko) * 2017-12-28 2019-07-15 숭실대학교산학협력단 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템
US10333976B1 (en) 2018-07-23 2019-06-25 Illusive Networks Ltd. Open source intelligence deceptions
US10404747B1 (en) 2018-07-24 2019-09-03 Illusive Networks Ltd. Detecting malicious activity by using endemic network hosts as decoys
US10382483B1 (en) 2018-08-02 2019-08-13 Illusive Networks Ltd. User-customized deceptions and their deployment in networks
US10333977B1 (en) 2018-08-23 2019-06-25 Illusive Networks Ltd. Deceiving an attacker who is harvesting credentials
US10432665B1 (en) 2018-09-03 2019-10-01 Illusive Networks Ltd. Creating, managing and deploying deceptions on mobile devices
US11196759B2 (en) * 2019-06-26 2021-12-07 Microsoft Technology Licensing, Llc SIEM system and methods for exfiltrating event data
CN112506699A (zh) * 2020-11-25 2021-03-16 江苏恒信和安电子科技有限公司 一种数据安全备份方法、设备和系统
US11777989B1 (en) * 2023-05-01 2023-10-03 Raymond James Financial, Inc. Automated deployment of decoy production networks

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5440723A (en) * 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
US5414833A (en) 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US6658465B1 (en) * 1997-08-25 2003-12-02 Intel Corporation Method and apparatus for monitoring and controlling programs in a network
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5960170A (en) 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
DE19734585C2 (de) 1997-08-09 2002-11-07 Brunsch Hans Verfahren und Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6647400B1 (en) * 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
US6701440B1 (en) * 2000-01-06 2004-03-02 Networks Associates Technology, Inc. Method and system for protecting a computer using a remote e-mail scanning device
US6567808B1 (en) * 2000-03-31 2003-05-20 Networks Associates, Inc. System and process for brokering a plurality of security applications using a modular framework in a distributed computing environment
GB2364142A (en) 2000-06-28 2002-01-16 Robert Morris Detection of an email virus by adding a trap address to email address lists
AU2001278328A1 (en) 2000-07-26 2002-02-05 David Dickenson Distributive access controller
US6886099B1 (en) 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection

Also Published As

Publication number Publication date
WO2002084459B1 (en) 2002-12-12
KR20030095396A (ko) 2003-12-18
ATE278212T1 (de) 2004-10-15
JP3947110B2 (ja) 2007-07-18
CN1256634C (zh) 2006-05-17
KR100553146B1 (ko) 2006-02-22
US7089589B2 (en) 2006-08-08
TW565762B (en) 2003-12-11
DE60201430D1 (de) 2004-11-04
US20020147915A1 (en) 2002-10-10
WO2002084459A1 (en) 2002-10-24
JP2004531812A (ja) 2004-10-14
CN1514964A (zh) 2004-07-21
DE60201430T8 (de) 2006-06-08
EP1377892A1 (de) 2004-01-07
EP1377892B1 (de) 2004-09-29

Similar Documents

Publication Publication Date Title
DE60201430T2 (de) Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers
DE69722266T2 (de) Anit-virus-agent zur verwendung mit datenbanken und postserver
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE112004000428B4 (de) Verfahren und Systeme zum Verwalten von Sicherheitsrichtlinien
DE69922857T2 (de) Rechnersicherheit durch Virusuntersuchung
DE202012013609U1 (de) System zur Verteilung der Verarbeitung von Computer-Sicherheitsaufgaben
US20090228973A1 (en) Techniques for automatic discovery and update of client environmental information in a virtual private network (vpn)
DE102011056502A1 (de) Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE69918026T2 (de) Gesicherte "keep alive" Nachricht über das Internet
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE102015217359A1 (de) Netzgestütztes elektronisches Therapieüberwachungssystem
DE102019203773A1 (de) Dynamische Firewall-Konfiguration und -Steuerung zum Zugreifen auf Dienste, die in virtuellen Netzwerken gehostet werden
DE60315284T2 (de) Verfahren und Arrangement zum automatischen Steuern eines Zugriffs zwischen einem Computer und einem Kommunikationsnetzwerk
DE102006036111B3 (de) Verfahren und Prüfsystem zum sicheren Übertragen einer Nachricht von einer ersten Zone in eine zweite Zone
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
DE102014107793B9 (de) Verfahren zur Weiterleitung von Daten zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
DE69919560T2 (de) Verfahren und system zur vorbeugung von unerwüschten betätigungen von ausführbaren objekten
DE10241974B4 (de) Überwachung von Datenübertragungen
DE102016206739A1 (de) Systeme und Verfahren zum Absichern einer Remotekonfiguration
EP3152660A1 (de) Verfahren zur verteilung von tasks zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE112021000455T5 (de) Deep packet analyse
DE602004008847T2 (de) Detektion und Blockierung von Laufwerksaufteilungswürmern

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: LENOVO (SINGAPORE) PTE. LTD., SINGAPUR/SINGAPO, SG

8339 Ceased/non-payment of the annual fee