Telekombrief Trojaner/Viren - reicht das neu aufsetzen des Systems?

[Dr. McCoy]

Reicht grds. ein sauberes Neuaufsetzen von Windows,

• Es reicht nicht, wenn andere Geräte im Netzwerk ebenfalls kompromittiert sind.
• Es reicht nicht, wenn sich Malware noch auf Wechseldatenträgern befindet, die später wieder angeschlossen werden.
• Es reicht kein Neuaufsetzen, wenn nicht alle Partitionen zuvor aufgelöst worden waren.
• Es reicht nicht, um etwaige Folgeschäden einzugrenzen, z.B., wenn im Web dringend Passwörter für bestehende Accounts geändert werden müssen.

Wie wollen die denn, dass man als einfacher Benutzer einen Router auf Virenbefall "prüft"? Geht das überhaupt?

Nein, so simpel ist das für den Normalanwender nicht. Man kann aber schon die Einstellungen durch schauen, ob dort etwas an der Konfiguration verändert wurde -- dazu muss man allerdings alle Konfigurationspunkte verstehen, z.B. geänderte DNS-Einträge. Auch das können die meisten normalen Anwender nicht. Sie können aber auf jeden Fall überprüfen, wie alt das Gerät ist, welche Firmware derzeit installiert ist, und ob es noch Sicherheitsupdates gibt.

Router, die keine Sicherheitsaktualisierungen mehr erhalten und für die evtl. sogar bereits ausgenutzte Sicherheitslücken bekannt sind, sollten daher frühzeitig durch etwas Neues ersetzt werden. Ein Vorbeugen ist hier also deutlich einfacher, als hinterher etwas nachzuprüfen. (Stets aktuell gehaltene Firmware, sicheres, individuelles Login-Passwort zur Router-Konfig-Oberfläche, sichere/lange, individuelle WLAN-Passphrase, idealer Weise WPA3, Fernwartungsfunktion aus, usw.)

Grundsätzlich empfehle ich jedem Internetnutzer, stets griffbereit mindestens einen aktuellen USB-Stick mit bootfähigem Live-System darauf vorbereitet in der Schublade liegen zu haben. Sollte mal etwas im Hinblick auf ein Malware- oder Malwareverdachts-Problem auftreten, kann man damit auf einer sichereren Basis agieren. Immer vorausgesetzt, der Router war möglichst gut abgesichert. Weil das Live-System ebenfalls den Router nutzt, um den Weg ins Web zu ebenen.

Eine sehr gute Router-Absicherung ist heutzutage elementar wichtig und darf nicht niederschwellig priorisiert werden! Dies gilt auch oder sogar gerade für den "Otto-Normalnutzer".

 

[Maitry]

Es muss halt sichergestellt sein, dass sich die Malware nicht ausgebreitet hat, z.B. auf einer Datensicherung.

In wieweit können sich Trojaner/Malware in "Daten" einnisten, also Dokumente, Musik, Bilder etc...?

 

[eigs]

@Maitry Ein Script könnte die Exploits in jedes Dokument, Musik, Bild oder Video kopieren.

 

[Konfekt]

In wieweit können sich Trojaner/Malware in "Daten" einnisten, also Dokumente, Musik, Bilder etc...?

Besonders in Exceldokumenten können sich bösartige VBA Makros befinden, die Schaden anrichten und Malware auf den Rechner laden. Daher bietet Excel nicht umsonst den geschützten Modus der auch unbedingt zu empfehlen ist, ganz besonders bei unbekannten Quellen. Auch Bilder können Schadcode enthalten, auch wenn das wohl selten ist. Auf Webseiten sind Bilder mit Code wohl gar nicht mal so ungewöhnlich.

Die hohe PUP Last im aktuellen Fall zeigt ja bereits, dass eine gewisse Sorglosigkeit vorliegt. Eine besonders ausgeklügelte Malware kann sich leider gut verstecken, auch gelten (oder galten) Rootkits mal als besonders schwer aufzufinden, gleichzeitig wohl aber auch als eher seltene Malware. Ich weiß aber auch nicht, wie aktuell die bei Windows 10 noch sind.

Was den Router angeht, wenn ich nicht ganz falsch liege, sollte der Hard-Reset über die Taste auf der Rückseite (sofern vorhanden) das Gerät auf die Werkeinstellung zurücksetzen und damit auch alles beseitigen, was sich eingenistet haben könnte. Aber vor Inbetriebnahme unbedingt prüfen, ob der Router wirklich noch aktuell genug ist und sonst durch neueres Gerät ersetzen. Sofort auf neuesten Stand patchen.

Sinnvoll wäre auch, einen kleinen Laptop zu haben, den man ausschließlich für ein Linux-System nutzt, am besten ein Live-System. Muss ja kein 3.000€ Zocker Gerät sein, ein einfacher reicht, damit man im Zweifel immer ein sauberes Gerät hat um die Life-Rettungs-Sticks aufzusetzen.

 

[Hauro]

also Dokumente, Musik, Bilder etc...?

Ein paar Beispiele:

Die Top 4 der gefährlichsten Datei-Anhänge | kaspersky

Wir erklären, welche Dateitypen Cyberkriminelle am häufigsten zum Verstecken von Malware verwenden und wie Sie eine Infektion vermeiden können.

Aktuelle Malware-Warnung: Emotet wird über PDF-Dokumente und Apple-Scam verteilt | GData

Eine neue Schadsoftware-Welle verbreitet Emotet, die Allzweckwaffe des Cybercrime, über PDF-Dokumente. Diese enthalten selbst keinen Schadcode, sondern einen Link zu einem Word-Dokument das wiederum Emotet herunterlädt, wenn Anwender die Makro-Funktion aktivieren. Bislang wurden meist direkt Word-Dateien an die Nutzer verschickt.

So identifiziert Microsoft Schadsoftware und potenziell unerwünschte Anwendungen | Microsoft Docs

Macro Virus: Ein Art von Schadsoftware, die sich über infizierte Dokumente wie Microsoft Word- oder Excel-Dokumente verbreitet. Der Virus wird ausgeführt, wenn Sie ein infiziertes Dokument öffnen.

Deshalb nie ein Dokument aus unbekannter Quelle öffnen.

 

[eigs]

Was den Router angeht, wenn ich nicht ganz falsch liege, sollte der Hard-Reset über die Taste auf der Rückseite (sofern vorhanden) das Gerät auf die Werkeinstellung zurücksetzen und damit auch alles beseitigen, was sich eingenistet haben könnte.

Werkseinstellungen bedeutet nur, dass die Einstellungen auf in der Firmware festgelegte Einstellungen zurück gesetzt werden. Eine Manipulation der Firmware lässt sich nur mit einer Wiederherstellung berichtigen (sofern die Schadsoftware diesen Prozess nicht manipuliert).

Bei Fritzboxen bekommt man die Recovery Firmwares von deren "FTP" Server (der über https erreichbar ist).