Virus durch manipulierte Dateien?

[Gast_83543]

Viele vergessen hier scheinbar, dass der Browser nur eine Möglichkeit für einen Virus/Wurm/Trojaner ist. Jedes Programm, dass eine Verbindung herstellt, kann ein Weg sein. Dazu gehören das Betriebssystem (also Windows) oder Virenscanner. Messenger, Mail-Clients, Chat-Clients z.B. für IRC, RSS-Reader oder Multiplayer-Spiele. Alles, was irgendwie eine Verbindung herstellt. Conficker hat eine Lücke in Windows genutzt. Wer meint, es reicht, nur den Browser in eine Sandbox zu sperren, handelt doch ziemlich „naiv“.

 

[HENIC]

Wer meint, es reicht, nur den Browser in eine Sandbox zu sperren, handelt doch ziemlich „naiv“.

Brain. exe sollte immer aktiviert sein,
Ansonsten warte ich gerne auf eine kurze Erklärung von dir wie du meinst z.b. so ein Tool wie Sandboxie so leicht austricksen zu können...deine etwas lockere Bemerkung mit naiv ist mir da etwas zu mager.

Mit dem Tool haben sich schon viele beschäftigt und ausgetestet, bis jetzt mit wenig Erfolg die leicht zu umgehen, HIER mal ein Thread bei Rokop Security zum Thema Sandboxie, einer von vielen die sich mit diesem Tool beschäftigen.

Solltest du andere Erkenntnisse haben, gerne auch über PM an mich um das mal zu checken, so eine einfache Aussage wie von dir liest sich da aber doch eher etwas in Richtung Unkenntnis...zumindest zum Thema Sandbox.

 

[franconia]

mal eine Frage zum Verstaendnis: wieso sind eigentlich nur Windows Nutzer betroffen? Ich habe mir scorpios Link zum vbulletin forum durchgelesen, die server laufen ja wohl unter Linux/Unix und da finden selbst die Spezialisten nicht raus, wo die Schwachstellen genau sind. Es kann also auch nicht ausgeschlossen werden, dass sich ein Linuxrechner infiziert?

 

[Thunderclap]

mal eine Frage zum Verstaendnis: wieso sind eigentlich nur Windows Nutzer betroffen?

Du musst zwei Dinge auseinander halten:
Kompromittierung des Servers und Infektion der clients!

Wie ersteres erfolgt ist ist bisher nicht bekant.
Zweiteres erfolg sehr wahrscheinlich über einen Java-Exploit der für eine bestimmte JRE-Version unter Windows existiert.

 

[laurooon]

mal eine Frage zum Verstaendnis: wieso sind eigentlich nur Windows Nutzer betroffen? Ich habe mir scorpios Link zum vbulletin forum durchgelesen, die server laufen ja wohl unter Linux/Unix und da finden selbst die Spezialisten nicht raus, wo die Schwachstellen genau sind. Es kann also auch nicht ausgeschlossen werden, dass sich ein Linuxrechner infiziert?

Ein Linuxrechner kann tausende Viren beherrbergen, die dem Linux-Server nicht weh tun. Wenn aber ein Windows-Rechner auf diesen Server zugreift, geht der Spaß los (am Windowsrechner, der Linux ist immun).

Also selbst wenn dein Linuxsystem total verpestet ist, macht das dem Linux nix. Darfst nur nie in ein Netzwerk gehen, wo auch Windowsrechner sind.

 

[Gast_83543]

HENIC, damit Conficker dich infizieren konnte, musstest du den Browser noch nicht mal ausführen. Eine Sicherheitslücke in Verbindung mit Adminrechten hat gereicht. Wenn der Browser noch nicht mal nötig ist, was hast du für einen Sicherheitsgewinn, wenn du den Browser schützt? In diesem Fall hätte es vielleicht geschützt. In vielen anderen halt nicht.

Eine Sandbox kann auch Möglichkeiten enthalten, das System zu infizieren. So wie jede Software. Auch Personal Firewall und Virenscanner. Ich hatte doch schon erwähnt, dass jede Software ein Weg für Viren sein kann.

Daher ist es das Sinnvollste, nicht als Admin zu arbeiten. Dann kann das System nicht beschädigt werden. Ist quasi wie eine Sandbox für das Betriebssystem und alle Programme. Und nicht nur für ein Programm von hunderten.

 

[HENIC]

Eine Sandbox kann auch Möglichkeiten enthalten, das System zu infizieren. So wie jede Software. Auch Personal Firewall und Virenscanner. Ich hatte doch schon erwähnt, dass jede Software ein Weg für Viren sein kann.

Ich bleibe bei meiner Aussage, Sandboxie richtig konfiguriert verhindert das Ausbrechen von Schädlingen sehr wohl sehr wirkungsvoll, zumindest die Schadstoffware mit denen man fast immer zu tun hat, 100% Sicherheit gibt es nur mit einem gezogenem Netzstecker. Das es unmöglich ist habe ich ja nicht gesagt, kann man auch nicht. Man muß schon die Kirche im Dorf lassen, für die CIA Datenserver herrschen sicher andere Schutzanforderungen wie für den Multimedia-PC von Onkel Willi bei ihm zu Hause und professionelle Datenklauer die sich gezielt auf bestimmte Systeme stürzen haben sicher auch noch andere Werkzeuge.
Zu einer Abwehr gehört auch immer Vorsorge, also auch z.b. immer ein möglichst aktuelles Image des Systems, wenn ein System erst einmal befallen wurde, ist es unwahrscheinlich das ein Virentool alles wieder zu 100% in Ordnung bringt.
Bei den heute günstigen Optionen um aktuelle Images vom System anzufertigen sollte das keine große Hürde mehr sein, zumal Win7 das von zu Hause aus durch eine eigene Option schon anbietet.

Aber noch einmal, ich habe auf einem extra geschlossenen Testsystem die "wildesten Biester" auf Sandboxie losgelassen und das Tool hat sich hervorragend bewährt und falls dir das Wildersforum ein Begriff ist wo sich auch viele Experten tummeln, kannst du viel zum Thema Sandboxie finden.
Ich bin gerne bereit die Option bei mir zu checken die es deiner Ansicht nach ermöglicht Sandboxie leicht zu umgehen...zumindest so leicht das man dann hinterher tatsächlich so naiv ist wenn man dann noch weiter auf Sandboxie vertraut.

Daher ist es das Sinnvollste, nicht als Admin zu arbeiten. Dann kann das System nicht beschädigt werden. Ist quasi wie eine Sandbox für das Betriebssystem und alle Programme. Und nicht nur für ein Programm von hunderten.

Das habe ich ja auch gesagt und sollte eigentlich mittlerweile selbst bei Leuten auf Interesse stoßen die erst durch Vorfälle wie diese hier im Thread schmerzlich daran erinnert werden.

 

[Manni1]

Ich komm nochmal auf den in #240 beschriebenen Malware-Befall zu sprechen.

Im August 2010 erschien plötzlich in der Taskleiste eines eingeschränkten Users eine "Security Suite Demo" welche verlangte, ich möge sie aus Sicherheitsgründen gleich starten. Da ich nicht ganz unbedarft bin, ließ ich das natürlich bleiben. Tags drauf konnte User "abc" kein Programm mehr starten - stets kommt eine Fehlermeldung der "Security Suite Demo".

Die Suche zeigte drei befallene Stellen:

C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Anwendungsdaten\...
...\opcsvpxer\liftiyashdw.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “[random]”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “[random]”

Und das Problem ist folgendes: auch beschränkte Benutzer haben auf diese Objekte Schreibberechtigungen. Nur dadurch konnte sich die Malware dort einnisten.
Das schlichte Umbenennen von ...\opcsvpxer\liftiyashdw.exe behob zunächst den Fehler; danach hab ich ein sauberes Image eingespielt.

Anschließen hab ich mit dem c't Tool KAFU für alle Benutzer die Schreibrechte auf diese kritischen Objekte entfernt. Die Zeitschrift ist ihr Geld wert!

mal eine Frage zum Verstaendnis: wieso sind eigentlich nur Windows Nutzer betroffen?

Weil sie am verbreitetsten sind. Anfällig ist jedes OS, aber Spaß macht es wohl nur, wenn möglichst viele infiziert werden. Und wer damit Geld verdient, der sucht sich kein OS mit geringer Verbreitung aus...

Manfred

 

[IcheBins]

Hi,

http://www.chip.de/downloads/Radix-Antirootkit_33955330.html

Rootkitscanner wären: .......

Gerne

Ich hatte mal Probleme, da hat mir der Rootkit Scanner Gmer geholfen:
==> http://www.heise.de/software/download/gmer/40824
......

vielen Dank für die Links.

Ich werde jetzt mal zwei davon für einen Scan nutzen. Ich habe zwar keine Hinweise darauf, durch die aktuelle Lücke "infiziert" worden zu sein. Aber wer weiß schon wirklich, was alles auf diesen komplexen Maschinen im Hintergrund geschieht.


------------------------------------
Edit - nun die Scan-Resultate

- Rootkit Buster von Trend Micro http://downloadcenter.trendmicro.co...sult_page&clkval=drop_list&catid=6&prodid=155

- speziell für den hier wütenden TDSS von Kaspersky der TDSSKiller http://support.kaspersky.com/faq/?qid=208283363

Der Rootkit Buster von Trend Micro läuft leider nicht x64-Systemen. Der Scan mit dem TDSSKiller war negativ.

==> http://www.heise.de/software/download/gmer/40824

Die "how-to-use"-Infos auf http://www.gmer.net sind ja eher spärlichst. Bei mir waren per Default auch nur die Scan-Targets Services, Registry und Files aktiviert, die anderen Optionen blieben dauerhaft unaktivierbar.
Der Scan über all meine Partitionen inklusive der RAM-Disk für Lightroom hat sich dann just bei letzterer aufgehängt. Da die RAM-Disk aber bei jedem Boot "neu" angelegt wird und technisch via Treiber auch "tiefer" im System erzeugt wird, vermute ich hier als Ursache einfach einen technischen Konflikt. Ein Rescan unter Aussparung dieser Partition war dann auch negativ.

Frage: Installiert GMER bei erstmaliger Ausführung eigentlich irgendwas im System?

Mein Fazit: Eingedenk des immer noch vorhandenen Restrisikos (kein Scan via bootbarem ISO-Medium) bewerte ich mein System dennoch als sauber.
------------------------------------


Grüße,
IcheBins

 

[Gast_83543]

Und das Problem ist folgendes: auch beschränkte Benutzer haben auf diese Objekte Schreibberechtigungen. Nur dadurch konnte sich die Malware dort einnisten.

C:\Dokumente und Einstellungen\abc\ ist das Home-Verzeichnis, natürlich hat der User darauf schreibrechte, irgendwo müssen ja Einstellungen und Dateien gespeichert werden. Aber andere Konten sollten darauf nicht zugreifen können so dass es nur das Konto ABC betrifft, andere Konten sind nicht betroffen. Das Selbe gilt für HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE sollte AFAIK keine Schreibrechte für User haben.

Um die Rechte zu ändern, brauchst du keine C't. Das kannst direkt in Windows machen.

 

[Gast_108416]

Um die Rechte zu ändern, brauchst du keine C't. Das kannst direkt in Windows machen.

Die meisten Anwender wissen das nicht. Wie oft zählen wir hier schon "XP mit Admin-Rechnten"? Auch das sollten die Anwender wissen.

 

[Gast_248107]

Eine Sandbox kann auch Möglichkeiten enthalten, das System zu infizieren. So wie jede Software. Auch Personal Firewall und Virenscanner. Ich hatte doch schon erwähnt, dass jede Software ein Weg für Viren sein kann.

Daher ist es das Sinnvollste, nicht als Admin zu arbeiten. Dann kann das System nicht beschädigt werden. Ist quasi wie eine Sandbox für das Betriebssystem und alle Programme. Und nicht nur für ein Programm von hunderten.

aha, und diese art admin-sandbox ist dann nicht zu knacken oder wat? ich hab in meiner grenzenlosen dummheit als kind selbst ring0 plagen in assembler geschrieben --- natürlich nur um die ollen lehrer in der ausbildung zu nerven, aber sag niemals nie. was henic da vorschlägt macht schon sinn, eine sandbox ist einfach und simpel und verhindert mit hoher warscheinlichkeit die bedrohung hier und woanders. wer angst vorm dslr-forum hat soll das installieren und fertig - wenn ich mich nicht täusche installiert das sogar gleich ne verknüpfung auf den browser mit. http://www.sandboxie.com/

 

[Gast_99693]

genau... natürlich kann sich Malware auch über eingeschränkte Benutzer im Betriebssystem einnisten, falls es entsprechende Sicherheitslücken (oder Konfigurationsfehler) aufweist.

Und das gleiche gilt für Sandboxes und sogar virtuelle Maschinen - irgendwo bei heise gab es mal einen Artikel, dass bestimmte Malware erkennen konnte, ob der Rechner eine virtuelle Maschine ist, und falls ja sich "totgestellt" hat. Und in der nächsten Entwicklungsstufe hat diese Malware dann über eine Lücke in der VM auf das reale Betriebsystem übergegriffen.

Sicher ist gar nichts. Aber trotzdem sind alle diese Maßnahmen sinnvoll, da sie das Risiko einer Infektion dramatisch senken. Ist halt wie im richtigen Leben und der Quantenphysik: Es dreht sich alles nur um Wahrscheinlichkeiten

 

[Manni1]

C:\Dokumente und Einstellungen\abc\ ist das Home-Verzeichnis, natürlich hat der User darauf schreibrechte, irgendwo müssen ja Einstellungen und Dateien gespeichert werden.

Hier wurde aber ein (Schad)-Programm abgelegt...
Nebenbei - nachdem ich mit dem KAFU-Tool diese Hintertür durch Entzug des Schreibrechts geschlossen habe gab's noch nie ein Problem mit legalen User-Aktionen.

Um die Rechte zu ändern, brauchst du keine C't. Das kannst direkt in Windows machen.

Das ist richtig - aber wer weiß schon alle Stellen, in denen solche offenen Türchen & Tore versteckt sind? Ich nicht... und da bin ich nicht alleine.

 

[Brool]

aha, und diese art admin-sandbox ist dann nicht zu knacken oder wat?

Auch eine Sandbox sowie eine Virtual Machine sind nicht 100% sicher. Auch damit kann das Gastsystem beeinträchtigt werden, auch wenn es aufwändiger ist.

Vor allem wenn man seinen Virenschutz mal gezielt testen will und viele verschiedene Viren draufhetzt passiert das schon mal.

Im normalen Betrieb dürfte es aber selten sein.

Wobei aber hochkomplizierte Trojaner wie SpyEye nicht zu unterschätzen sind. Das Zeugs wird immer raffinierter.

 

[fewe]

Auch eine Sandbox sowie eine Virtual Machine sind nicht 100% sicher. Auch damit kann das Gastsystem beeinträchtigt werden, auch wenn es aufwändiger ist.

Ich will nicht den Teufel an die Wand malen, aber ich habe den Verdacht, dass erst recht alle diese Sicherheitsmaßnahmen die Viren und den ganzen Mist anlocken. Ich verwende Windows XP, SP1 ohne Sicherheitsupdates, ohne Firewall, ohne Virenschutz mit Administrator-Rechten, seit etwa 7 Jahren zumindest 10 Stunden täglich permanent online (Browser Opera und Mailprogramm mit Nur-Text-Anzeige, keine relevanten Dokumente im Ordner "Eigene Dateien") und habe seit DOS 3.3 - Ende der 1980er-Jahre einmal einen Virus gehabt, der einfach zu löschen war. Ich empfehle das ausdrücklich niemandem zur Nachahmung, aber das ist jedenfalls meine Erfahrung in dieser Richtung.

1x1px große Elemente werden allerdings generell ausgefiltert, weil die immer unnötig sind.

Mein Dank an die Forenleitung für ihr Engagement. Die Aufregerei wegen zu langsamen Reagierens halte ich bei einem kostenlosen Dienst für unverschämt.

Praktisch wäre es aber sicherlich irgendeine schnelle Möglichkeit zu schaffen entweder das Board vom Netz zu nehmen oder gezielt nur Werbungen oder Scripte auszuschalten. Je nachdem worin das Problem liegt, kann dann unmittelbarer reagiert werden. Das kann ja auch ein Moderator auslösen und die Anweisung dazu kann ja von einem Administrator auch telefonisch kommen.

 

[Cimba]

1x1px große Elemente werden allerdings generell ausgefiltert, weil die immer unnötig sind.

Auch wenn da drüber Viren nicht einfallen können: wie filterst du die?

 

[me_too]

Ich verwende Windows XP, SP1 ohne Sicherheitsupdates, ohne Firewall, ohne Virenschutz mit Administrator-Rechten, seit etwa 7 Jahren

Willkommen im Botnetz Deiner Wahl...

 

[Lennart456]

...

Was versprichst du dir daraus, noch nicht einmal neue Servicepacks zu installieren und Sicherheitsupdates zu machen?
Woher willst du wissen, dass du erst ein mal einen Virus hattest, wenn du kein Anti-Viren-Programm hast?

 

[Thunderclap]

Ich will nicht den Teufel an die Wand malen, aber ich habe den Verdacht, dass erst recht alle diese Sicherheitsmaßnahmen die Viren und den ganzen Mist anlocken.

Ja.. klar... die locken Viren an... sicher... Ein Virus hat bestimmt kein interesse an einem zu leicht infizierbaren Rechner

Ich verwende Windows XP, SP1 ohne Sicherheitsupdates, ohne Firewall, ohne Virenschutz mit Administrator-Rechten, seit etwa 7 Jahren zumindest 10 Stunden täglich permanent online

[...]

1x1px große Elemente werden allerdings generell ausgefiltert, weil die immer unnötig sind.

Aha... und wie filterst du diese Elemente aus? Vor allem mit Opera das so etwas weder nativ noch per Plugin kann...

Praktisch wäre es aber sicherlich irgendeine schnelle Möglichkeit zu schaffen entweder das Board vom Netz zu nehmen

Einen grossen Sicherheitsgewinn für alle würde es schon bringen Leuten wie dir den Internetzugang zu kappen...

Ich garantiere (!) dir, dass dein Rechner zu 90% fleissig Viren, Spam und DDoS-Pakete in die Welt hinausbläst und du hast nicht den blassesten schimmer davon!