Malware von Webseiten

[nyxster]

Hallo,

mir ist bewusst, dass das einfache besuchen einer Website schon ausreichen kann, um Malware auf den PC zu bringen. Wo genau würde diese Malware denn abgelegt werden? Müsste ja in irgendeinem Ordner von Google Chrome sein oder? Bin grad auf einer Seite gewesen von der ich nicht sicher bin, ob sie nicht irgendwie verseucht war. Kann man dafür irgendwelche speziellen Ordner checken? Alle Tipps werden dankbar angenommen.

mfg

 

[Vollkorn]

https://www.virustotal.com/de/ (hier kannst du überprüfen ob die seite schadsoftware verteilt)

https://www.malwarebytes.com/adwcleaner/ (das programm herunterladen und dein system überprüfen lassen)

 

[wirelessy]

Heeey, jemand der vernünftig an die Sache rangeht

Hast du Adminrechte mit deinem User? Wenn ja, wegnehmen wenn irgend möglich! Adminrechte ermöglichen erst die meisten Exploits.
Kann man für alles außer schlecht programmierte Software auf ein zweites Konto auslagern.

Am schlimmsten kann es kommen, wenn eine Seite einen Exploit ausliefert, der in der Lage ist sich bei dir System-Rechte zu verschaffen. Dann bleibt dir nichts übrig außer alles gründlichst abzusuchen, weil du einfach nicht wissen kannst, was da evtl gelaufen ist oder nicht. Wenn du weißt "da war was", aber nichts findest, dann im Zweifelsfall neumachen.

Wenn da aber nur was mit Userrechten ausgeführt wird, dann schau mal in %temp%, %appdata%, %userprofile% etc nach. Dein Chrome fällt da auf jeden Fall auch irgendwo rein, aber in dem wirst du eher nichts finden. Malware lässt eher an selbst erstellten Ordnern, oder den oben genannten Systemvariablen niederm damit es nicht vom Zielsystem abhängt. Mit Adminrechten kommen dann auch noch %programfiles% und %programfiles(x86)% dazu, mehr in der Registry und dergleichen.

Schau auch mal mit Sysinternals Autoruns nach, was bei dir so startet. Malware will nen Reboot überleben, und muss also irgendne Form von Persistenz etablieren. Das kann aber auch nen Browserplugin u.ä. sein, gerade Adware macht sowas sehr gerne mal. Fies wirds dann bei Rootkits und ähnlichem, was außerhalb von Windows läuft, aber sowas ist selten und findet sich eher bei zielgerichteten Attacken.

Die "Wald und Wiesen"-Malware erkennt man meistens ganz gut, entweder an komischen Namen aus Zeichen- oder Wortketten, unsignierten Binaries, komischen anderen Dateien daneben im selben Ordner, dubiose Securitytools und ähnlichen.

Wenn du deinen Autostart und andere Software mit Funktionalität für 3rd party Komponenten komplett bereinigt hast, kannst du schon sehr sicher sein, dass zumindest kein aktiver Code läuft und du deinen Rechner benutzen kannst.


//e: Achja, und vergiss im Grunde genommen alle Software, bei der du auf "Entferne Viren!" drückst, und die dann behauptet alles ist wieder tuffig. Die Software kennt im Zweifel- und Ernstfall die Variante bei dir nicht, oder braucht noch Tage bis Wochen bis sie Signaturen für diese Variante hat.
Hängt natürlich immer davon ab, aber im Zweifelsfalls erkennst du als Mensch da einfach mehr.

 

[nyxster]

Danke für die Hilfe, werde mich durcharbeiten. Bisher nichts verdächtiges gefunden in den einzelnen Ordnern bzw. Autorun.

 

[engine]

...
Hast du Adminrechte mit deinem User? Wenn ja, wegnehmen ...

Damit sind geschätzt 90% der Malware unschädlich gemacht, die anderen 10% sind Verschlüsselungsmalware, die sich der Benutzer oft selber auf den PC holt oder eben "clevere" Malware, der man mit EMET begegnen kann, Windows 10 soll EMET bald ganz beinhalten.
Schließlich bleiben dann nur noch 1-2% ganz hinterhältige Malware (von Hacker-Organisationen), gegen die so oder so nichts hilft außer Glück im Internet.

Ohne Admin-Rechte muss man sich aber mit der Aufgabenplanung auseinander setzen und die Steinen wegräumen, die MS und die apps den Benutzern in den Weg legt.

 

[chrigu]

malware wird bestimmt nicht in ein bestimmten ordner abgelegt. das wäre ja einfach.. den ordner löschen und wieder virenfrei....
nein, malware wird oft als manipulierter systemdatei versteckt oder an einer willkürlichen datei "angedockt" inkl. eintrag in die registry, damit bei jedem pc-start das ding wieder installiert wird.

 

[wirelessy]

Chrigu: Genauso sieht die Realität aber aus.
Und das sage ich mit gutem Gewissen, weil ich als Mitglied eines SOC täglich doch etwas viel mit der Malwarerealität zu tun hab.

Und nein, manipulierte Systemdateien kommen eher ganz selten vor, und erst recht nicht in der Malware, die man sich so als Normalbenutzer einfängt.

 

[chrigu]

dann sind also alle virenjäger (norton, kaspersky, avg, avira usw.) überflüssig weil es reicht, einen ordner zu löschen, um malware zu beseitigen?

 

[engine]

wirelessy, eigentlich kann ich dir nicht ganz folgen, ausführlicher wäre besser.
So kenne ich es aber von Malware, die hängen sich an bekannte .dll, oder ersetzen Systemdateien oder kopieren sich in Systemverzeichnisse oder oder ... und kopieren auch code aus der Registry.
Letztes Beispiel, der ccleaner32. Exaktes obiges vorgehen.

 

[wirelessy]

dann sind also alle virenjäger (norton, kaspersky, avg, avira usw.) überflüssig weil es reicht, einen ordner zu löschen, um malware zu beseitigen?

Überflüssig nicht, aber die machen auch nichts anderes als die Dateien wegzuschmeißen. Wenn böser Code weg, dann System gut, da sind wir uns aber einig? Auch Autostarteinträge sind dann nutzlos, weil die ins Leere zeigen.
Was denkst du denn, was Virenscanner für ne Magie treiben? Die sind blöd wie Holz!

Virenscanner sind wie Spamfilter. Die schmeißen dir nen Haufen (alter und damit bekannter) Malware weg, ohne dass ich nachdenken muss. Die lassen aber unbekannten Spam/Malware durch oder erzeugen False-Positives.
Überflüssig sind die genau dann, wenn ich a) keine Compliance-Vorgaben zu erfüllen habe und b) immer selbst in der Lage bin mein System zu kontrollieren - da brauchts aber KnowHow für. Alle anderen können gerne weiter Virenscanner benutzen, mit all ihren Vor- und Nachteilen.


Ich rede ja nicht von "einem, immer dem selben Ordner", sondern von den oben in meinem Post beschriebenen. Und ja, wenn ich die Ordner auf Verdacht alle komplett wegschmeiße, bin ich auch die meiste Malware los. Mein System tut dann nicht mehr richtig, aber die Malware ist weg.

wirelessy, eigentlich kann ich dir nicht ganz folgen, ausführlicher wäre besser.
So kenne ich es aber von Malware, die hängen sich an bekannte .dll, oder ersetzen Systemdateien oder kopieren sich in Systemverzeichnisse oder oder ... und kopieren auch code aus der Registry.
Letztes Beispiel, der ccleaner32. Exaktes obiges vorgehen.

Im Falle vom CCleaner wurde ein kompromitiertes Update verteilt. Es wurden keine Systemdateien kompromitiert, sondern der Installer hat zusätzlich eine *eigene* .dll mitgebracht und gestartet. Diese wurde geladen. Systemdateien wurden _keine_ angefasst. Exakt NICHT obiges Vorgehen.

Und ja, die .dll ist in Systemverzeichnissen gelandet. Nämlich eine der Umgebungsvariablen, die ich oben gepostet hab. Evtl. wars auch %windir%\System32, steht nicht oben, gilt aber das selbe Prinzip für. Der Rest steht hier: http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

Natürlich gibt es die fiesen Ausnahmen, aber bisher haben wir Glück, dass die verbreiteten Malwarevarianten alle nicht sonderlich hoch entwickelt sind. I repeat: Ordner/böse Datei löschen reicht.
Ich behaupte aber nicht, dass jeder dazu in der Lage ist. Oder, dass es dann nicht schon längst zu spät sein kann. Nur, dass man die meisten bösen Codereste recht einfach finden und löschen kann.

 

[engine]

wirelessy, hier ist es besser analysiert:
https://blog.avast.com/progress-on-ccleaner-investigation

.dll werden manipuliert, in Systemverzeichnisse kopiert und Schadcode aus der Registry nachgeladen.
Stümperhafte Malware macht es halt andere, aber egal jetz.
Jedenfalls würde ich mich bei Malware im Allgemeinen nicht aufs bloße Löschen verlassen.
Malware kann etwas manipuliert haben, dass gar nicht zu überblicken ist.

...
The second part of the payload is responsible for persistence. Here, a different mechanism is used on Windows 7+ than on Windows XP. On Windows 7+, the binary is dumped to a file called “C:\Windows\system32\lTSMSISrv.dll” and automatic loading of the library is ensured by autorunning the NT service “SessionEnv” (the RDP service). On XP, the binary is saved as "C:\Windows\system32\spool\prtprocs\w32x86\localspl.dll” and the code uses the “Spooler” service to load.

Structurally, the DLLs are quite interesting because they piggyback on other vendors’ code by injecting the malicious functionality into legitimate DLLs. The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product. Most of the malicious code is delivered from registry (the binary code is saved directly in registry in keys “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]”). Again, all of these techniques demonstrate the attacker’s high level of sophistication.
...

 

[wirelessy]

Tatsache, ist ja doch etwas cleverer. Nun muss man aber auch dazu sagen, dass das vermutlich ein gezielter Angriff war. Genauso wie Notpetya.
Trivial ist das nicht, und hat hier "nebenbei" auch mehr Leute getroffen.

Naja, was heißt bloßes Löschen. Löschen ist Ende, und wenn man dann alles gelöscht hat, ist halt auch alles zuende . Man sollte nicht nur löschen, man sollte auch weiter recherchieren was man da grad gelöscht hat und was es evtl noch getan hat was man beseitigen muss.
Zu überblicken ist das schon, nur eben mit KnowHow und dem Willen dazu. Manchmal braucht es dazu auch KnowHow oder Ideen, die man als Verteidiger noch nicht hatte und erst drauf kommen muss.

Wenn nun aber irgendeine Software Signaturen dafür hat, dann finde ich auch ohne Software heraus was das Ding macht. Zu eigentlich allem findet sich ja was, und wenn nicht, dann schmeißt man die Software in ne Sandbox und guckt zu was sie so treibt (Ich hab neulich https://www.joesandbox.com entdeckt, die ist mal geil für schnell reingucken!).
Und dann mache ich es lieber selbst, einfach damit ich nicht die Verantwortung in die Hände potenziell anfälliger Software lege.

Ich sag ja nur. Ich verteile auch Virenscanner, einfach um bei nicht so vorsichtigen Leuten Warnungen zu kriegen. Spamfilter eben.

Aber sich bei der Entfernung im Endeffekt auf Tools zu verlassen, ist nicht der Weg zur Sicherheit. Wisst ihr was die Tools so treiben? Ich nicht.
Tools wie Sysinternals, Sandboxen etc. meine ich dabei nicht, sondern nur Tools, die versprechen Malware zu entfernen.

Ich mache beim Löschen auch nichts anderes als die Virenscanner.



Um den Bogen nochmal zum Anfang zu schlagen - Ich fands gut wie der TE da dran gegangen ist. Genau so sollte man an Malware rangehen, das ist auch nur Software. Was muss die Malware machen, um zu tun was sie tut - und wenn ich grob weiß wo sie hergekommen sein kann, dann erleichtert das schon enorm die Suche.
Das ist nichts für Laien, aber wenn er den Weg mit manuell gründlich gucken gehen will - ich befürworte das und halte es für das potenteste Mittel zur Rechnerbereinigung.

 

[chrigu]

Überflüssig nicht, aber die machen auch nichts anderes als die Dateien wegzuschmeißen. Wenn böser Code weg, dann System gut, da sind wir uns aber einig? Auch Autostarteinträge sind dann nutzlos, weil die ins Leere zeigen.
Was denkst du denn, was Virenscanner für ne Magie treiben? Die sind blöd wie Holz!

nicht ganz. virenjäger suchen nicht nach dateinamen oder ordner mit bestimmten namen.
virenscanner suchen jede datei nach einem bestimmten programmiermerkmal/code ab, egal ob systemdateien, dll oder exe. deshalb dauert es ja so lange. dazu durforsten diese auch die registry nach verdächtigen zeichenketten und nicht normalen einträgen.
dazu gibt es für jedem guten virenscanner eine tägliche aktualisierung dieser schadcodes. ein antivirentool ist eigentlich nichts anderes als ein "suchtool", das daten vergleicht und bei unstimmigkeit eine bestimmte aktion auslöst. dumm wie holz ist der pc, nicht der virenjäger.