Trojaner Anfang des Jahres

[AvP666]

Hi Leute,

ich habe neulich von dem Trojaner gehört, der Anfang des Jahres im Forum gewütet hat.

Da der diesbezügliche Thread sehr unübersichtlich und lang ist, frage ich bzgl. Vorbeugemaßnahmen nochmal hier.
Folgende Sachen interessieren mich besonders:
- Welche Betriebssysteme wurden befallen?
- Wurden auch auf aktuellem Stand gehaltene Betriebssysteme (upgedatete) befallen?
- Wurde ein eingeschränktes Konto ausgehebelt (welches Betriebssystem)?

Die letzte Frage ist dabei für mich die wichtigste. Bei Bericht bitte immer alle 3 Punkte angeben.

Gruss
AvP

 

[RoMa]

Mahlzeit.

Welche Betriebssysteme wurden befallen?

Bredolab funktioniert ganz ausgezeichnet auf Win2000/XP/Vista/Win7. Ob unter den Opfern nun wirklich jedes dieser Systeme zu finden war, kann ich Dir nicht sagen.
Allerdings erkenne ich den Sinn dieses Punktes nicht so recht. Gehe einfach davon aus, dass Schädlinge im Allgemeinen sehr gut auf allen gängigen Plattformen laufen.

Wurden auch auf aktuellem Stand gehaltene Betriebssysteme (upgedatete) befallen?

Angeblich ja, wobei die jeweiligen Rechner unsicher eingestellt waren.

Wurde ein eingeschränktes Konto ausgehebelt (welches Betriebssystem)?

Es war damals definitiv keine Lücke bekannt, die auf einen Dienst abzielten, um sich damit Systemrechte zu erschleichen, also nein (sofern Windows natürlich aktuell war).

Dem ganzen Spaß lagen Exploits bzw. Exploit-Packs zu Grunde. Hier gab es dazu einen interessanten Ausschlag. Bedeutet, u.a. der sehr verbreitete und gleichzeitig immer wieder von haarsträubenden Lücken betroffene AdobeReader wurde aufs Korn genommen.


Letztlich wird deine Liste nicht viel nützen, da du bzw. derjenige, der dir da antwortet, wissen müsste, welche Software und Plugins zum Infektionszeitpunkt in genau welcher Version installiert waren.
Zumal es auch auf Sachen wie z.B. den verwendeten Browser, Runlvl desselben und z.B. NoScript ankommt.
Jedenfalls wirst du durch deine Abfrageliste nicht wirklich etwas erreichen, da z.B. ein Rechner mit einer Lücke im AdobeReader befallen werden konnte oder auch nicht - je nachdem wie der Rechner eben ansonsten eingestellt war.

 

[AvP666]

Ich will keine Liste erstellen - wer damals welche Programme wie aktuell hatte, ist mir absolut Schnurz.

Normalerweise ist (ganz allgemein) folgendes Sicherheitskonzept ziemlich sicher:
- eingeschränktes Konto
- aktuelles System
- Hardwarefirewall
- Brain.exe (nicht wild auf alles klicken bzw. öffnen)
(- "optional": Javascript deaktivieren)

Und in dem angesprochenem Thread wird halt gesagt, dass ein eingeschränktes Konto eben nicht geholfen hat. Inzwischen bin ich aber der Meinung, dass das ein "Mißverständnis" war und eingeschränkte Rechte durchaus helfen bzw. geholfen hätten.

 

[Nai]

windows 7 nutzer waren unseres wissens nach nicht betroffen.

xp auf neuestem stand ohne adminrechte war betroffen.

 

[RoMa]

xp auf neuestem stand ohne adminrechte war betroffen.

Das ist generell so nicht richtig. Das eine System hat es halt erwischt. Mein XP-System komischerweise nicht.
Das ist der typische Apfel-Birnen-Vergleich, der für eine seriöse Aussage halt leider nicht weiterhilft.

Ein eingeschränktes Konto hilft hier z.B. genau gar nichts: http://www.heise.de/security/meldun...sche-Luecke-in-Reader-und-Acrobat-205748.html

Und genau deshalb sind pauschale Aussagen wie "Mit XYZ ist es passiert oder nicht" total sinnlos. Und dann wird auch aus dieser Aussage hier...

wer damals welche Programme wie aktuell hatte, ist mir absolut Schnurz.

...eben ein Schuh.

 

[Nai]

Das ist generell so nicht richtig. Das eine System hat es halt erwischt. Mein XP-System komischerweise nicht.
Das ist der typische Apfel-Birnen-Vergleich, der für eine seriöse Aussage halt leider nicht weiterhilft.

es ist sehr wohl richtig, dass xp ohne adminrechte betroffen war. ich sage nicht, dass alle betroffen waren, ich sage aber, dass der trojaner dort sehr wohl reinkommen konnte. und diese aussage hilft weiter wenn jemand denkt "ich hab aktuelles xp, ich bin auf der sicheren seite", denn das ist ein irrglaube gewesen.

 

[RoMa]

(- "optional": Javascript deaktivieren)

Das ist nicht Realitätsnah. Wenn du eine Seite wie z.B. dieses Forum komfortabel benutzten möchtest, dann musst du JS selbstverständlich erlauben. Und da du ja hier gepostet hast....

@Nai
Natürlich kann dieses System betroffen gewesen sein und war es wohl offensichtlich auch. Nur dann war es halt leider nicht sicher eingestellt - trotz Benutzerrechten.

Ich habe damals folgendes in den Raum geworfen:

- Waren alle Anwendungen und Windows zum Infektionszeitpunkt wirklich aktuell? Das schließt auch Plugins wie Flash, Java usw. mit ein. Test hier möglich: http://www.heise.de/security/dienste...ck-843063.html
- Hatte sonst noch jemand (administrativen) Zugriff auf das System bzw. kann das sicher ausgeschlossen werden?
- Wird und wurde unter dem Benutzeraccount mit Geschichten wie "Ausführen als" gearbeitet?
- Wurde ein starkes (sicheres) Adminpasswort verwendet?

Es geht mit hier nicht darum ein wenig "TamTam" zu machen, nur kann man AvP666 so pauschal eben keine "Ja-Nein"-Antwort geben.

 

[DonKrawallo]

Hallo AvP666,

ich hab deine Nachricht erhalten. (Der Spam-Filter ist also genau richtig eingestellt)
Alles was zu dem Fall zu sagen ist, wurde schon in diesem Thread hier gesagt.
Welcher Exploit hier bei mir speziell zugeschlagen hat, konnte ich nie in Erfahrung bringen.
Mein AVG Antivir Free, konnte dieses Rootkit nicht identifizieren und somit auch nicht beseitigen.
Ich habe mich auch nicht allzulange damit aufgehalten, sondern die Systempartition platt gemacht und und vom Backup neu installiert.
System war Windows XP Home 32 Bit
System und SW waren so aktuell wie es der Heise Security-Scan eben anbietet.
War als eingeschränkter User mit dem FireFox mit aktiviertem Java-Script unterwegs. Java war wohl mein Verhängnis.

An der Stelle einmal eine Frage an die Community hier: Habt ihr aus der Panne hier etwas gelernt ?

Ich persöhnlich war eine Zeit lang nur noch mit NoScript ohne white-listed pages unterwegs.
Aber jetzt 3 Monate später sieht meine White-List ganz genauso aus, wie zu dem Zeitpunkt als der Trojaner zugeschlagen hat.
Es würde also die gleiche Schweinerei wieder passieren.

 

[AvP666]

Vielen Dank für die Beteiligung.

Pauschalisieren wollte ich gar nicht, nur kann nicht auf jeden Einzelfall (Programm x, y, z) eingegangen werden. Nun wurde man also doch mit eingeschränkten Rechten unter XP befallen. Manche. Echt übel.

Das ist nicht Realitätsnah. Wenn du eine Seite wie z.B. dieses Forum komfortabel benutzten möchtest, dann musst du JS selbstverständlich erlauben.

Ich weiss, deshalb schrub ich "optional" ja auch in Anführungszeichen und wollte damit ausdrücken, dass das heutzutage auf vielen Seiten Probleme nach sich zieht. Ich nutze zB auch den Google Reader - ohne JS geht da aber absolut gar nichts. Dieses Forum geht durchaus ohne grosse Probleme ohne JS (hab ich die letzten Tage versucht).

@Don:
Danke für die Rückmeldung. Ja, ich kenn das, irgendwann siegt die Bequemlichkeit und man ist wieder bei alten Gewohnheiten.


Das Gnaze bringt einen schon zum nachdenken, wenn selbst Benutzerrechte ausgehebelt werden. Ich bin zwar meistens mit Linux online, aber für D2 brauche ich halt XP. Und meine Bequemlichkeit hat mich dazu gebracht, den anfangs immer nur deaktivierten Inetzugang unter XP zu aktivieren. Evtl. sollte ich das wieder rückgängig machen, spiele eh nur SP.