Verseuchte Seite

[oldmen]

Alle Cookies werden bei mir immer automatisch beim Beenden von FF gelöscht, ich war aber trotzdem mehrfach von den Warnmeldungen betroffen.
Daran kanns also nicht gelegen haben.

Habe JavaScript abgeschaltet, nun ist Ruhe!

 

[overdriverdh21]

So um mich zu schützen habe ich diesmal eine externe Hardware Firewall mit AV Scanner, IDP , doppelter NAT und sonstigem Sicherheitsfeature gerüstet . Es dient mir Persöhnlich als zusätzlichem schutz und hoffe das ich zusätzlich geschützt bin sowie die anderen Usern hier im Netzwerk .

 

[Newbie0815]

Falls man die schädlichen Seiten auf dem Rechner hatte.. evtl. ...

Wer evtl. die Schädlinge auf sein System bekam.. für den lohnen sich vielleicht die 9 Euro für Knoppicillin : https://www.heise.de/kiosk/special/ct/09/06/

Die Signaturen sollten noch bis Herbst aktualisierbar sein.. meine Knoppicillin habe ich vor 2-3 Wochen zum (bisher) letzten mal eingesetzt...

Knoppicillin bootet von der DvD, lädt (am besten über das LAN.. WLAN
Einrichtung erfordert evtl. Linuxkenntnisse) vom Internet Signaturen runter und scant den Rechner mit drei Virenscannern... damit werden auch Stealth Viren zuverlässig erkannt sofern die Signaturen den Herstellern bekannt sind.

Für wen LAN ungünstig ist: die DvD enthält auch ein Windows Programm das die Aktualisierungeun unter Windows herunterlädt und auf C:\ speichert.. dann kann man Knoppicillin im Menü anweisen die Aktualisierungen von de C Platte zu nehmen...

 

[andino]

Knoppicilin und Konsorten (generell BootCD AV Scans, die on-the-fly Signaturen aktualisieren können) sind stets eine Empfehlung wert, aber diese Aussage:

[...] damit werden auch Stealth Viren zuverlässig erkannt sofern die Signaturen den Herstellern bekannt sind.

ist schlichtweg Humbug.
Viren, für die Signaturen existieren, sind per Definition nicht mehr "stealth".
Auch Heuristik wird oft überschätzt, da sie oft nur bestimmte Packer erkennt und viele false-positives ausspuckt.
Sind Details über das System des Opfers bekannt (eingesetzter AV, FW, etc.) lässt sich Malware sehr leicht individuell Stealthen.
Globales Stealthen (gegen alle bekannten Scanner) ist auch nicht unüblich, wenn auch meist mit etwas mehr Aufwand (Skilltechnisch oder finanziell von jedem n00b z. B. durch käuflich erwerbliche individuelle Crypter und Rootkits) verbunden.

Der beste Ansatz um Malware von vornherein zu vermeiden, ist es beim täglichen Surfen brain_v1.0.exe einzusetzen und sinnvolle Sicherheitsmaßnahme zu implementieren.
Sollte dies einmal tatsächlich scheitern, so lässt sich Schadsoftware imho am besten anhand ihrer Startaufrufe von einem Drittsystem (z. B. unter einem WinPE mit Sysinternals AutoRuns - auch ActiveX Startup, Events, Services und Konsorten beachten) oder falls keine Rootkit-ähnlichen Funktionen zum Einsatz kommen, vom infizierten System selbst anhand von Prozess- und Trafficanalyse aufspüren.

Runtimeanalyse (z. B. in modifizierten Sandboxen, die von einem potentiellen Schädling nicht als solche erkannt werden können; sind sie erkennbar, so enthalten viele moderne Schädlinge auch Routinen um ihr Verhalten entsprechend zu verändern) ist in der Regel der nächste logische Schritt, sowohl vor dem Auführen von verdächtigen Dateien als auch nach dem identifizieren einer verdächtigen Datei, um jegliche Spuren und Nachwirkungen von ihr zu beseitigen.

Das Scannen eines kompromittierten Systems von selbigem aus wird in der Regel, bei schlauer Schadsoftware, auch nicht von Erfolgt gekrönt sein.
Ist ein System erst einmal infiziert, so gibt es zig Möglichkeiten einen AV auszutricksen - von einfachem Killen bis zu guten Rootkits, etc.
Bei guten Firewalls mit Behavioral Analysis, IDS, etc. wird es schwerer aber nicht unmöglich.


Sorry fürs OT.
Lange Rede, kurzer Sinn:
Wer hier von der verseuchten Werbung infiziert worden ist, sollte dies als Anstoß nehmen sich einige Gedanken bezüglich IT Security im Allgemeinen und Besonderen zu machen.
Ein paar einfache Sicherheitsmaßnahmen und derlei Infektionen wären um einiges unwahrscheinlicher und oft nur bei sehr gezielten Angriffen auf 0day Lücken bedingt möglich.
Wer tatsächlich von dem hier eingesetzten primitiven Schädling überrannt worden ist, hat sicherheitstechnisch noch einiges nachzubessern.

Ich möchte das Ärgernis, dass in einem Expertenforum ein derartiges Problem, auch nach mehrfacher Meldung viele Tage lang bestehen bleibt, jedoch nicht schönreden. Das Mindeste wäre ein Quick&Dirty Fix (z. B. das komplette Runternehmen der Werbung bis zur Identifizierung und Behebung des "Leaks") gewesen, der die sicherheitstechnisch unbedarfteren User vor eventuellem Schaden schützt.
Aber wir sind schließlich alle nur Menschen


Ich verbleibe interessiert wartend auf die weiteren Details zur Lücke abonniert - Gruß,
andino

 

[LediesH2k]

Ist ja schön, dass du mit so viel Fachwissen glänzen kannst aber 99% der Forenbesucher haben damit 2 Probleme mehr.
1. Verstehen sie nur Bahnhof von dem was du erklärt hast.
2. Wüssten die gar nicht wie sie deine Sicherheitsstufe mit einem normalen Familienbudget und ihrem geringen IT-Wissen erreichen könnten. Bräuchten sie eigentlich nicht, da man im allgemeinen davon ausgeht, das seriöse Seiten wie die unseres Forums nicht mit irgendwelchem Sch... infiziert sind.
Kein Privatuser setzt sich einenPproxy, Hardwarefirewall oder sonst was auf um mal ein bisschen zu surfen. Ist einfach oversized. Ich geh auch nicht mit einer kugelsicheren Weste angeln.
Also wenn du noch einen Tipp für Otto Normal hast der nicht die IT-security eines mittelständischen Unternehmens voraussetzt und das noch in verständlicher Sprache hast, her damit.
Bei mir hat das installieren des Noscript-Adon für Firefox eigentlich gereicht. seit dem ist Ruhe. Vom IE würde ich eh abraten.

 

[RalfFriedl]

Viren, für die Signaturen existieren, sind per Definition nicht mehr "stealth".

Die Definition von "stealth" in diesem Zusammenhang ist nicht, daß der Virus dem Scanner nicht bekannt ist, sondern daß der Virus im laufenden System sich selbst vor allen laufenden Programmen versteckt, auch vor dem Scanner. Deswegen kann der Virus nur gefunden werden, wenn von einem sauberen System gebootet wurde und der Virus nicht läuft.

Du schreibst das auch selber, hast aber übersehen, daß genau das die Definition von "stealth" ist:

Das Scannen eines kompromittierten Systems von selbigem aus wird in der Regel, bei schlauer Schadsoftware, auch nicht von Erfolgt gekrönt sein.

 

[sven@mainz]

Nö, die Hardwarfirewall nütz Dir in diesem Falle gar nichts, weil die Sachen per Port 80 über http reinkommen, mit den normalen Daten, die der Webbrowser erhält. Um das abzustellen, müßtest Du Port 80 ein- und ausgehend sperren und damit gleich den gesamten Zugang zum Webbrowser.

 

[andino]

Also wenn du noch einen Tipp für Otto Normal hast der nicht die IT-security eines mittelständischen Unternehmens voraussetzt und das noch in verständlicher Sprache hast, her damit.

Verwechselst Du mich eventuell mit "overdriverdh21" oder fühle ich mich nur zu Unrecht angesprochen?
Denn ich dachte die Ansätze, welche ich hier gegeben habe, wären einfach umzusetzen und verständlich? Sie erfordern weder sehr hohen technischen Sachverstand, finanzielle Mittel oder übermäßig viel Zeit.
Falls es dazu im Einzelnen spezifische Fragen gäbe, welche nicht per Internetrecherche zu beantworten wären, würde ich natürlich versuchen diese in einem diesbezüglichen Forumsthread oder via PM zu beantworten.

P.S.: Auch ich setze trotz meiner berufsbedingten Paranoia privat keine Hardwarefirewall ein
Nicht, dass die in diesem Fall irgendwas genützt hätte..

[...] Bräuchten sie eigentlich nicht, da man im allgemeinen davon ausgeht, das seriöse Seiten wie die unseres Forums nicht mit irgendwelchem Sch... infiziert sind.

Dem kann ich so nicht ganz zustimmen. Sicherheit sollte einem immer am Herzen liegen, erst recht auf vertrauenswürdigen Seiten. Denn auch und gerade diese können gehacked und gezielt verändert werden, um den Usern, die der Seite blind vertrauen, Schadsoftware unterzujubeln.
Andererseits hast Du Recht, dass - wie bereits mehrfach auch von anderen Usern ausgeführt - die Reaktion der Forenbetreiber in dieser Situation ein wenig unvorteilhaft bezüglich der Reaktionszeit war.


@RalfFriedl
Zumindest im entsprechenden Jargon ist "stealth" eben genau das im Bezug auf Viren/Schadsoftware: die Nichterkennung eines Schadprogramms anhand von Signaturen und/oder Heuristik und automaticher Verhaltensanalyse. Sogenanntes "stealthen" ist das Unkenntlichmachen eines Programms gegenüber Antiviren Software, z. B. anhand von einfachen Hex Veränderungen (sog. "Hexxen"), Crypten oder kompletten Rewrites wenn das Programm im Source vorliegt.
Hier werden dann meist (oft selbstbetriebene - um ein automatisches Submit zu umgehen) Multi-AV-Scanner à la Virustotal als Maßstab herangezogen.

Was Du beschreibst und auch ich beschrieben habe, sind klassische Rootkit Funktionen, die z. B. bestimmte Windows APIs hooken und sich damit "verstecken".
Was für den Laien Haarspalterei sein mag, ist afaik in der "Szene" klar definiert.

In der Retrospektive und nach nochmaligen Durchlesens von Newbie0815's Post, ist mir nun durchaus klar, dass mein Post letztendlich nur das Ergebnis eines Missverständnisses bezüglich der Terminologie von "stealth" war.


Falls ich mit meinem langen Post also für mehr Verwirrung gesorgt, als geholfen haben sollte, so tut mir das leid. Dies war nicht mein Anliegen :/
War noch bei meinem ersten Kaffee heute morgen und dachte ich würde mit der längeren Ausführung für etwas mehr Klarheit sorgen, was letztendlich scheinbar stattdessen alle Klarheiten [sic] beseitigt hat..
Mea culpa

 

[RalfFriedl]

Viren, die von Virenscannern nicht erkannt werden, gibt es schon so lange, wie es Virenscanner gibt. Warum sollte man das als "stealth" bezeichnen?

Wann man dazu Google befragt, kommt man unter anderem zu folgenden Seite, die alle "stealth" als ein Verhalten des Virus beschreiben, sich vor Virenscannern zu verstecken.
http://de.wikipedia.org/wiki/Computervirus#Stealth-Viren
http://www.bullhost.de/s/stealth-virus.html
http://www.hgb-leipzig.de/~hilko/boot_sector/tarnka.htm

In dieser Bedeutung wird der Begriff schon seit Jahrzehnten verwendet.
Wenn in der "Szene" jetzt "stealth" nur noch bedeutet, daß der Virus von einem konkreten Scanner mit einer konkreten Signatur nicht erkannt wird, statt daß sich der Virus vor jedem Anwendungsprogramm und somit jedem Scanner und jeder Signatur versteckt, dann haben die wohl zwei verschiedene Bedeutungen vermischt.

 

[overdriverdh21]

@sven@mainz: Deswegen hat der auch ein Anti Virenscanner von F-Secure mit drinnen

 

[sparkie]

Der beste Ansatz um Malware von vornherein zu vermeiden, ist es beim täglichen Surfen brain_v1.0.exe einzusetzen und sinnvolle Sicherheitsmaßnahme zu implementieren.

nein. Der beste Ansatz waere ein OS != MICROS~1 zu verwenden

 

[kwark]

Leider zieht das nicht bei korrumpierten PDFs, die dann durch das Acrobat-Plugin doch den Weg ins System finden. Und damit sind wir wieder bei dem bequemen User, der leider immer alles als Admin macht.

Ich hab den Adobe Reader schon lange von meinen Rechner verbannt. Statt dessen nehme ich pdf-xchange von Tracker Software. Ist um Ecken praktischer als das Zeugs von Adobe.

lg,
Thorsten

 

[MikeB]

Das mag vielleicht sein, aber das "Zeug" von Adobe ist halt das Original, deshalb öffne ich auch nur PDFs aus vertrauenswürdigen Quellen.

 

[Newbie0815]

RalfFriedl hat Recht, ich meinte "Stealth" im Sinne von "Rootkit Techniken".

Für Laien wie mich ist "Stealth" als "sich vor der Radarortung versteckend" leichter zu verstehen / zu verwenden als "Rootkit".

Dass ein Scanner nicht alle Signaturen kennen kann ist selbst für mich als IT Laie verstehbar und erwartet..


Das schreibe ich übrigens nicht ohne Grund: auf dem Rechner eines Verwandten fand ich mit Knoppicillin mal ein Schadprogramm dass ca. drei Jahre auf diesem Rechner aktiv gewesen sein musste. Als ich es unter Linux einfach umbenannte fand der installierte AV Scanner es nach seinem Start "auf Anhieb".

Das Schadprogramm muss sich also eingenistet haben als die Signaturen des Scanners es noch nicht kannten.. und sich dann recht lange erfolgreich versteckt haben...

Tut mir Leid dass ich evtl. zur Begriffsverwirrung beigetragen habe. Für Leute die sich fragen ob sie sich evtl. etwas eingefangen haben bleibt der Tipp mit dem Knoppicillin Scan .. drei Scanner für 9 Euro .. ist OK.. und das neue Knoppicillin lässt sich auch von Nicht-Linux Fans ganz passabel bedienen.

 

[RalfFriedl]

Der Begriff "stealth" wurde schon mal anhand von DOS-Viren erklärt als ein Virus, der sich vor laufenden Programmen versteckt, und ich weiß nicht, ob die Idee damals neu war oder schon älter. Laie oder nicht Laie, in dieser Bedeutung wird das Wort schon seit langer Zeit verwendet.

 

[andino]

Im Laufe der Zeit können Begriffe durchaus ihre Bedeutung ändern
Aber letztendlich ist das ja auch egal, solange nun jeder (ich eingeschlossen) weiß, was gemeint war.
Außerdem hast Du ausreichend belegt, dass "stealth" im allgemeinen Sprachgebrauch etwas anderes bedeutet, als was ich (bzw. ein kleiner Kreis) darunter verstehe.


Viel interessanter fände ich eine abschließende Analyse der hier vorgefundenen Lücke.
Gibt es hierzu schon Neuigkeiten?

 

[Novize]

Wir wühlen uns gerade durch ~20GB Log-Files... Deshalb bitte noch etwas Geduld.
Arbeiten, grillen und Bierchen nebenbei muss ja auch noch sein.

 

[Feuer-Fritz]

An der Stelle noch ein herzliches Dankeschön für Eure Arbeit, ihr Mod´s und Admin´s etc. :groesste:

 

[3949354]

Wenn es Erfolg bringt, habt Ihr alle Zeit, die Ihr braucht.

Ich kann mich meinem Vorredner/-schreiber nur anschliessen :groesste:

 

[Sandra-T]

Und bei der Hitze arbeitet es sich ja ohnehin langsamer... :mrgreen:

Gruß
Sandra