Bundeskriminlamt sperrt PC - Virus

Danny Crane

Ensign
Ersteller dieses Themas
Dabei seit
Apr. 2011
Beiträge
215
#21
Und was ist mit den Sachen von der letzten Woche? Ich mache natürlich auch Sicherungen, aber nicht jeden Tag. Und eben diese Daten wollte ich vorher noch sichern.
 
1

1668mib

Gast
#22
@Atkatla: Und dennoch machen sich viele Schädlingsautoren gar nicht die Mühe, selbst nach Sicherheitslücken zu suchen. Es reicht ja oft, Patch-Notes zu lesen... Siehe Blaster...

Ansonsten hat Yuuri schon recht. Wenn nichts ausgeführt wird, kann sich auch nichts verbreiten. Wenn Sicherheitslücken in Netzwerkdiensten genutzt werden, dann kommt der Schädling eben mit Hilfe des Dienstes zur Ausführung:..
 

Atkatla

Lt. Commander
Dabei seit
Dez. 2007
Beiträge
1.353
#23
Es wird aber gelesen. Das ist doch das Problem der ganzen Hintergrundprozesse in einem aktiven System. Die Vorstellung, dass eine bestimmte Datei/Anwendung ausgeführt werden muss, trifft nicht auf alle aktuellen Bedrohungsszenarien zu. Beispiel: LNK-Lücke. Es war der Link-Handler, der verwundbar war. Und LNK-Dateien der Überträger, egal ob auf USB-Stick oder Festplatte oder Netzlaufwerk.

Das sich viele Schädlingsautoren nicht die Mühe machen ist auch nicht nötig. Stichwort Zeroday-Attacken. Die Lücken sind bereits da und dokumentiert, und die Entwickler fangen erst an, den Patch/ReleaseNotes zu bauen.
 
Zuletzt bearbeitet:
1

1668mib

Gast
#24
Ach und der Schädlingsautor hat die Lücke entdeckt und dann brav gemeldet? oO
Gerade Zero-Day-Exploits zeigen, dass es nicht die Schädlingsautoren sind, die die Lücken finden, weil es gar nicht in ihrem Interesse sein kann, diese zu veröffentlichen.

Und wie ein Schädling sich mal kurz am Router vorbei auf meinem System einnistet will ich auch mal sehen...
 
Zuletzt bearbeitet:

Danny Crane

Ensign
Ersteller dieses Themas
Dabei seit
Apr. 2011
Beiträge
215
#25
Das läuft ja wohl ein wenig aus dem Ruder. Ich habs mal mit der AV-Rescue-CD probiert. Erfolg: negativ. Da ist also nicht mehr zu retten.
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
11.609
#26
Das hat man dir auch vorher indirekt gesagt und empfohlen. Einem einmal kompromittiertem System würde ich auch so nie über den Weg trauen. Setz das Ding neu lieber neu auf und gut ist, dann kannst du auch sicher sein, dass der Virus runter ist (dass er sich auf andere Laufwerke gelegt hat, wage ich zu bezweifeln).
 

Boogeyman

Vice Admiral
Dabei seit
März 2005
Beiträge
6.783
#27
Aha wie das? Ein Virus ist nichts als eine Datei und solange diese nicht ausgeführt wird, passiert überhaupt nichts.
Malware muss vom User selber nicht ausgeführt (gestartet/doppelklick) werden, damit sie aktiv werden kann, somit hat Atkatla Recht.

Und wie ein Schädling sich mal kurz am Router vorbei auf meinem System einnistet will ich auch mal sehen...
Du hast also keine Software auf dem Rechner, die Kontakt mit dem Internet haben kann? (Browser, Media Player, Flash usw.)

Kritische Lücken in aktueller VLC-Version

Durch zwei kritische Sicherheitslücken kann das System beim Öffnen von präparierten Mediendateien mit Schadcode infiziert werden.
Die Präparierte Datei bekommst du z.B. von einer Webseite, die dir bekannt und generell auch vertrauenswürdig ist, diese aber durch eine andere Schwachstelle (SQL-Injection-Schwachstelle) infiziert worden ist.
und es gibt natürlich noch andere Methoden, wo du überhaupt nicht verleitet werden musst, eine angeblich harmlose Datei zu starten.

Microsoft schließt kritische Lücke in Windows Media Player und Center

laut Microsoft genügt dazu der Besuch einer manipulierten Webseite.
Opera 11.01 schließt kritische Lücke

durch die Angreifer einen Rechner unter ihre Kontrolle bekommen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von HTML-Dokumenten, die Select-Elemente mit einer sehr großen Zahl von Child-Elementen enthalten. Dadurch lässt sich mit weiteren Tricks Code einschleusen und ausführen.
Das Lücken oft sehr gut dokumentiert und auch schon monatelang bekannt sind, ist auch kein Geheimnis. Das lässt sich natürlich hervorragend ausnutzen, da diese Lücke immer noch offen ist.

Über zwei Jahre und kein Fix für Java
 

Atkatla

Lt. Commander
Dabei seit
Dez. 2007
Beiträge
1.353
#28
Ach und der Schädlingsautor hat die Lücke entdeckt und dann brav gemeldet? oO
Nein. Behaupte ja auch nicht dasser das tut. Zeroday-Exploits habe ich als Beispiel dafür gebracht, dass Patche nicht 100% vor Sicherheitslücken schützen.
Und wie ein Schädling sich mal kurz am Router vorbei auf meinem System einnistet will ich auch mal sehen...
Oh mein Gott. :freak: Es sollte mittlerweile doch absolut jedem klar sein, dass ein Router absolut nichts gegen Angriffe auf Applikationsebene ausrichten kann.
 
Dabei seit
Sep. 2006
Beiträge
3.897
#29
Oh mein Gott. Es sollte mittlerweile doch absolut jedem klar sein, dass ein Router absolut nichts gegen Angriffe auf Applikationsebene ausrichten kann.
Richtig.

Maleware die sich über USB Geräte verbreitet koppelt sich an Treiber, Dienste oder simpel als Autostartmanager per Registry.

Noch ein paar Punkte:
- Maleware kann absolut unsichtbar sein, sprich nicht erkannt werden (auch bereits existente Varianten)
- Maleware kann über Zero Day Lücken - wie erwähnt - auf Softwareebene auch direkt ein System kompromittieren. Ohne dass je eine spezifische Anwendung ausgeführt wird
- Es gibt genügend Exploits in Adobe Software, egal ob Flash, Shockwave oder Reader. Folglich kann jede Website die mit Maleware belastet ist - diese auch weitergeben.

Und das passiert nicht nur auf Hobbyseiten. Es waren bereits große Treiberarchive von führenden Unternehmen verseucht.

Der schönste Mythos von Allen ist allerdings der, dass Antivirenprogramme Maleware "entfernen".
Sie versuchen lediglich diese unschädlich zu machen.

Baut man nun spezifische minimalistische Aufgaben ein, wie z.B. "mach diese an geraden Tagen, das andere an ungeraden", dann würde man binen einer Woche warscheinlich 2-3 verschiedene Maleware Definitionen von verschiedenen Antivirus Herstellern vorfinden.

Erweitert man diese Routine mit sagen wir mal einer eigenen simplen Verschlüsselung und nicht statischen Aktivitäten, dann kann man sich ziemlich sicher sein dass die Basismaleware mehrere Wochen teils unentdeckt wüten kann.

Sollte man Maleware gezielt einsetzen wollen, so reichen kleinere Änderungen per Hex Editor bereits aus.
Selbstverständlich kann man weiter gehen, z.B. verschiedene Crypt Alogarythmen anwenden oder ein bisschen mit .Net Anwendungen experimentieren ... Da gibt es genügend Möglichkeiten.

Wenn die Maleware, bzw. deren Definitions(Erkennungs-)Punkt verändert wird, wird eine kompromittierte Datei auch von jedem Scanner wieder als Sauber dargestellt.

Ich habe das bereits selbst versucht.
Mit einem Filesplitter eine kompromittierte Datei gesplittet und den Definitionsradius eingegrenzt.
Im Endeffekt hast du vllt. 10x 10kb Splits, 9 sauber und einer kompromittiert - der wurde in 1kb gesplitted wovon wieder 9 sauber sind - einer war es nicht. Dann "Hext" man ein wenig rum, fügt alle Teilchen wieder schön zusammen - und tata - saubere Maleware.

Der einzige Grund wesshalb man soetwas nie in Wannabe-IT-Zeitschriften liest ist der, dass die Deals mit Antivirensoftware-Herstellern am Laufen haben. Die können nicht einfach erzählen "tolles Programm, findet aber wie alle anderen auch nix was nicht gefunden werden will". Da klingen so sachen wie 99% Erkennungsrate doch viel besser und wirtschaftlicher.
 

nobodo

Lt. Commander
Dabei seit
Juni 2008
Beiträge
1.624
#30
Hallo @Danny Crane,

wenn Du ein entsprechendes Kabel für den Anschluss einer Festplatte als USB-Laufwerk (extern) hast, würde ich die besagte Festplatte über einen anderen Rechner anschließen und vorher sicherheitshalber die autorun-Funktion deaktivieren. Ein vorheriges Image des Anschluss-Rechners wäre mit Sicherheit auch nicht schlecht. Bitte aber die Festplatte erst dann anschließen, wenn der Rechner bereits hochgefahren ist. Die Festplatte soll wie ein USB-Stick erkannt werden.

Der größte Teil von Spyware, Malware, Scareware, Viren, etc. benötigt die Start-Routine von dem BS. Durch den vorgenannten Vorschlag nimmst Du schon die Möglichkeit, dass eines dieser netten ungewünschten Programme selbstständig arbeiten kann. Wie auch? Es ist nichts anderes als ein Programm. Wenn der Installations-Pfad nicht mehr zu finden ist, wie bei anderen Programmen auch, kann nichts mehr ausgeführt werden. Der Laufwerksbuchstabe hat sich ja durch den externen Anschluss geändert und eventuelle Registry-Einträge sind ja auch nicht mehr dort, wo sie mal gewesen waren.

Selbst wenn die bestehende Installation nicht mehr zu retten ist, hast Du zumindest immer noch die Möglichkeit, Deine wichtigen Daten zu sichern.

Ich wünsche Dir viel Erfolg und drücke Dir die Daumen

Gruß
nobbinator
 
1

1668mib

Gast
#31
@Atkatla und Boogeyman: Wer lesen kann ist klar im Vorteil.

Es geht mir darum, dass der Angreifer am Router vorbei aktiv meinen Rechner befällt. Das will ich mal sehen. Ich habe nirgends geschrieben dass ein Router Malware-Befall unterbindet. Wenn doch entschuldige ich mich höflichst, ansonsten muss ich den Kopf schütteln über Leute, die mehr als zwei Sätze zusammen nicht in einen gemeinsamen Kontext bringen können.

Das was ich sagte ging überwiegend darum zu zeigen, dass ein Schädling ohne die Möglichkeit, in irgendeiner Form auf dem Rechner ausgeführt zu werden, sich gar nicht verbreiten kann.
 
F

Freak-X

Gast
#32
So lange man wirklich ALLE Autostart-Optionen für externe Datenträger jeglicher Art abschaltet, kann sich KEIN Schädlidng der Welt ohne Hilfe von alleine starten. Auch diese LNK-Lücke kann so NICHT ausgenutzt werden. Das sollte Jedem klar sein, der über sowas redet...
 

Atkatla

Lt. Commander
Dabei seit
Dez. 2007
Beiträge
1.353
#33
@Atkatla und Boogeyman: Wer lesen kann ist klar im Vorteil.

Es geht mir darum, dass der Angreifer am Router vorbei aktiv meinen Rechner befällt. Das will ich mal sehen. .... ansonsten muss ich den Kopf schütteln über Leute, die mehr als zwei Sätze zusammen nicht in einen gemeinsamen Kontext bringen können.
Das was ich sagte ging überwiegend darum zu zeigen, dass ein Schädling ohne die Möglichkeit, in irgendeiner Form auf dem Rechner ausgeführt zu werden, sich gar nicht verbreiten kann.
Dein Szenario trifft nur auf Rechner zu, die keine Dienste und Applikationen ausführen.
Um mal bei deiner Methode zu bleiben, die folgenden zwei in diesem Thread getätigten Aussagen sind in einen Kontext zu betrachten:
- Ein Router blockt Verbindungen von außen nach innen ab, (ausser Anfragen auf den Ports die weitergeleitet werden, sei es durch Nutzerkonfiguration oder über uPnP geöffnete Ports).
- Unsichere Anwendungen (die der Nutzer nicht alle selbst steuert und ausführt) von deinem Rechner bauen Verbindungen von innen nach außen auf. (Ein Beispiel hab ich dir in der PN geschrieben).

Deine These basiert allein auf der ersten Aussage, aber die Realität ist die Summe aller Einflüsse. Richtig ist, dass der Initiator des Befalls auf der LAN-Seite sitzen muss. Falsch ist jedoch, dass der Nutzer dazu selbst aktiv werden muss oder das Deaktivieren von Autorun-Funktionen in jedem Falle helfen würde (es reduziert die Angriffspunkte, daher ist es schon nicht schlecht, wenn man es tut). Die Möglichkeit der Verbreitung ergibt sich aus dem Einbau der Platte in einen Rechner mit einem Betriebssystem/Applikationen, die dieselben Lücken aufweisen, wie der ursprünglich befallene Rechner.
Aus dem Grund sind verdächtige Platten/Datenträger stets mit einem anderen, idealerweise von einem Read-Only-Datenträger gestarteten Betriebssystem zu scannen und eigentlich die Daten aus einem Backup zu recovern. In der aktuellen C't ist wieder eine desinfec't-Version drin, obwohl der Name etwas unpassend ist. Denn eine Desinfektion kann nie garantiert werden.

So lange man wirklich ALLE Autostart-Optionen für externe Datenträger jeglicher Art abschaltet, kann sich KEIN Schädlidng der Welt ohne Hilfe von alleine starten. Auch diese LNK-Lücke kann so NICHT ausgenutzt werden. Das sollte Jedem klar sein, der über sowas redet...
Die erste Welle der LNK-Schädlinge ging über USB-Datenträger. Es kam noch mehr, bis sie geschlossen wurde. Es reichte, dass dem Nutzer eine LNK-Datei in einem Filesystem angezeigt wurde. Siehe http://www.heise.de/newsticker/meldung/Notfall-Patch-schliesst-LNK-Luecke-in-Windows-1049468.html
Ursache des Problems: Autorun-Programme sind nicht die einzigen Programme, die die Daten auf angeschlossenen Datenträgern lesen! Zudem ging es hier doch um die Frage, ob eine Platte zum Testen/ Daten retten an einen PC angeschlossen werden kann. Das ist dann kein externer Datenträger mehr.
 
Zuletzt bearbeitet:

Bob.Dig

Lt. Junior Grade
Dabei seit
Dez. 2006
Beiträge
332
#34
Wenn der TE nun seine Daten sichern will, dann soll er es tun. Platte in einen anderen PC und nicht davon booten, dann kopieren. Mit ner Linux Live CD ist man auf der ganz sicheren Seite, keine Explorer Exploits. ;)
 
1

1668mib

Gast
#35
Aus dem Grund sind verdächtige Platten/Datenträger stets mit einem anderen, idealerweise von einem Read-Only-Datenträger gestarteten Betriebssystem zu scannen
Als ob das Yuuri nicht schon vorher gesagt hätte... oO
Mir ging's die ganze Zeit doch nur darum, das was Yuuri gesagt hat zu bekräftigen... Auch wenn manche es anders sehen, aber er hat schon recht. Aber irgendwie scheinen hier dann noch einige Leute, die durchaus Ahnung haben, dann noch Nonsens in der Form von Sobald die Festplatte in einen anderen Rechner kommt und sich anmeldet wird der Virus aktiv und verteilt sich auf die anderen Laufwerke zu bekräftigen.

Es gibt auch nicht die Malware im Allgemeinen. Es hängt von der Malware ab, wie sie sich verbreitet, ob Nutzer-Zutun nötig ist oder nicht. Gerade von Leuten mit Ahnung würde ich eine differenziertere Betrachtung erwarten.

Was Yuuri sagte ist, dass egal was ist, die Malware irgendwie durch eine andere Anwendung "gestartet" werden muss - sei es ein Index-Dienst, sei es ein VLC, ... . Im Übrigen sind Lücken in Opera schön und gut, aber hat mit dem Thema hier auch relativ wenig zu tun. Bei der offensichtlichen Bedrohungslage frage ich mich allerdings, wieso die Malware-Ist-Unaufhaltbar-Warner hier überhaupt noch online sind, aber das ist wohl ein anderes Thema.

Jedenfalls wollte Yuuri - das nehme ich mal an - sagen, dass nicht der Schädling sich dann aktiv verbreitet, weil er auf der Festplatte ist. Wenn der Schädling Glück hat kommt er irgendwie zur Ausführung. Wenn dort die Software auf einem aktuellen Stand ist, der Benutzer eventuell sogar mit eingeschränkten Rechten arbeitet, dann dürfte er es auf jeden Fall schwer haben.

Sicher ist ein desinfec't hier vorzuziehen, würde ich auch machen. Auch mir wäre es nicht so wohl, eine virenversuchte Festplatte in mein Hauptsystem einzubauen.
 

Bob.Dig

Lt. Junior Grade
Dabei seit
Dez. 2006
Beiträge
332
#36
Indexdienst oder Explorer, das sind Teile des Windows Betriebssystems und können unter Umständen, die ich in diesem Fall für nicht für wahrscheinlich halte, halt doch zum Problem werden, obwohl nichts selbst ausgeführt wurde. Das hatte jemand hier kategorisch abgelehnt und lag damit falsch.
 
Dabei seit
Sep. 2006
Beiträge
3.897
#37
So lange man wirklich ALLE Autostart-Optionen für externe Datenträger jeglicher Art abschaltet, kann sich KEIN Schädlidng der Welt ohne Hilfe von alleine starten. Auch diese LNK-Lücke kann so NICHT ausgenutzt werden. Das sollte Jedem klar sein, der über sowas redet...
Dass Maleware eine eigene "Listen" Methode benutzen kann ist dir dabei wohl entgangen.
Deine Aussage ist falsch.
 

Atkatla

Lt. Commander
Dabei seit
Dez. 2007
Beiträge
1.353
#38
Es gibt auch nicht die Malware im Allgemeinen. Es hängt von der Malware ab, wie sie sich verbreitet, ob Nutzer-Zutun nötig ist oder nicht. Gerade von Leuten mit Ahnung würde ich eine differenziertere Betrachtung erwarten.
Hm? Malware ist der Sammelbegriff für die von dir angesprochenen Subgruppen.

Was Yuuri sagte ist, dass egal was ist, die Malware irgendwie durch eine andere Anwendung "gestartet" werden muss - sei es ein Index-Dienst, sei es ein VLC, ... .
Die Aussage von yuuri: "Malware muss gestartet werden" ist richtig. Problem ist, dass sie durch Applikationen des laufenden Systems bereits geladen werden kann. Seine zweite Aussage, dass ohne Autorun nix passieren kann ist daher falsch, denn es kann dennoch was passieren. Und diesem Punkt wurde ihm widersprochen.
 
Zuletzt bearbeitet:

aliriza

Lt. Commander
Dabei seit
Dez. 2010
Beiträge
1.133
#39
oh das gleiche problem hatte meine nachbarin auch gestern :D aufen ersten blick sieht das echt aus als wäre das von der BKA aber als ob die sowas machen. Höchsens kriegt man post aber net sowas...

hab ihr einfach win 7 neuinstalliert und fertig ist ;D
 
Zuletzt bearbeitet:

.thomaZ

Lieutenant
Dabei seit
Dez. 2010
Beiträge
527
#40
sers leute,

habe mir den Virus ebenfalls gestern eingefangen, mit Avira Rescue kein Erfolg, dafür mit ner Notfall-CD aus der Computer Bild. Ich check grade nochma Antivir, Windows und Spybot auf Updates, scheint aber alles aktuell zu sein.
Soll ich mein System trotzdem nochmal plätten oder kann man schon davon ausgehen, das das Teil weg ist?

lG
 
Top