trojaner vom forum verteilt

[Weltmeister 74]

Ich hab mal ganz schlechte Nachrichten für alle, die glauben, dass Win 7 sicher sei:

Ich hab nen Keylogger, n paar Backdoors und Trojans und den ganzen Kram, der da noch kommen konnte.

Norton findet die zwar, mag die aber nich beseitigen, weil sie vertrauenswürdig erscheinen (wie auch bei meinem Standrechner mit XP).

Alles was bisher gefunden wurde, war ne korrumpierte registry-datei und ganz viele verfolgende cookies.

 

[RoMa]

@Weltmeister 74
Windows7 kann per Definition auch nicht grundsätzlich sicherer als andere Betriebssysteme sein. Hier wurden ganz gezielt ungepatchte Programme/Plugins aufs Korn genommen, die prinzipiell auf jeder Kiste möglich sind.
Zudem ist Windows7 out of the box unsicherer als Vista eingestellt. Dazu ist zwingend die UAC auf die höchste Stufe zu stellen.


Die anderen Fragen rund um eine zusätzliche Armada an Virenscannern und sonstigem Summs, kann man getrost als "Viel hilft nicht viel" beantworten. Das erhöht höchstens die gefühlte Sicherheit, sorgt bestenfalls nur für eine enorme Systemlast und im Schlimmsten Fall äschert man dadurch sein System ein.
Und so oder so gilt: Jedes Programm ist ein Werkzeug mit dem ich mich auseinandersetzen muss, um es vernünftig bedienen zu können. Erst dann kann es überhaupt eine Hilfe sein. Ein "Installieren und sicher" funktioniert nicht. Leider.

 

[Slayer]

Norton ist laut meiner Erfahrung auch nicht gerade der sicherste Virenschutz .
Installier dir die ESET Nod32 Testversion und lass dir mal drüberlaufen.

 

[Lanzi]

Ich hab mal ganz schlechte Nachrichten für alle, die glauben, dass Win 7 sicher sei:

Ich hab nen Keylogger, n paar Backdoors und Trojans und den ganzen Kram, der da noch kommen konnte.

Norton findet die zwar, mag die aber nich beseitigen, weil sie vertrauenswürdig erscheinen (wie auch bei meinem Standrechner mit XP).

Alles was bisher gefunden wurde, war ne korrumpierte registry-datei und ganz viele verfolgende cookies.

hmm das überrascht mich jetzt, ich verwende ebenfalls die kombination windows 7 + norton (64bit, alles upgedated), bei mir wurde ein angriffsversuch geblockt und norton findet per systemscan gar nichts.

wie hast du diese backdoors etc denn gefunden? avast funktioniert bei mir nicht vernünftig wenn ichs installiere, das würd ich aber jetz bis auf weiteres mal auf 64-bit schieben da hatte ich von anfang an probleme mit einigen programmen.

 

[bigAl2]

wie schon von anderen angemerkt wurde (meist von roma), sollte es auch wichtig sein alle anderen programme auf dem rechner aktuell zu halten.
denn sie öffnen teilweise tür und tor.

ich weiss nicht ob die seite schon erwähnt wurde:
http://www.heise.de/security/dienste/Update-Check-843063.html
da werden viele installierte programme gecheckt, ob sie aktuell sind (was nicht unbedingt sicher heisst - aber immerhin).
ich hatte die gerade vor wenigen tagen abgearbeitet. erstaunlich was sich so ansammelt an sicherheitslöchern.

die desinfec´t CD von der atuellen c´t wurde ja schon erwähnt.
ganz nebenbei befindet sich auf der eine NOD32 vollversion für ein jahr!

und das ganze zum läppischen preis einer c´t - das sollte es wert sein

cheers

bigal

lanzi: 64 bit kann bei solchen viren tatsächlich einen unterschied machen.
habs an meinem winXP 64 mal gesehen, dass da einiges abprallt.

p.s.: so.. jetzt isses so weit. aus paranoia schreibe ich die bbCodes von hand :/ willkommen im 21. jahrhundert

 

[MasterJM]

- Waren alle Anwendungen und Windows zum Infektionszeitpunkt wirklich aktuell? Das schließt auch Plugins wie Flash, Java usw. mit ein. Test hier möglich: http://www.heise.de/security/dienste/Update-Check-843063.html

Selbst aktuelle Plugins / Programme etc. sind kein Garant.
Adobe z.B. hat Lücken, die seit Wochen bekannt sind noch
nicht gepacht. Da kann Windows / MS auch nichts gegen tun so direkt.

Sun, Adobe sind die "Größten Viren auf den PC Einlader", die es gibt.
Quicktime von Apple, WinAmp und Skype sind auch nicht viel besser.

Ich weiss schon, warum ein größer Teil dieser Programm nicht auf meinem PC ist.

btw: zeigt mir dieser Thread auch erschreckenderweise, wie wenig manche Leute für
die Sicherheit ihres PCs tun und wie wenig Ahnung sie davon haben.
Aber irgendwoher muss ja diese Quote kommen, die bei Schätzungen zu hören
ist. 30% der Rechner im Netz sind infiziert laut BSI Aussage.

 

[Mii]

Kann es sein, dass mein Laptop nicht befallen ist, obwohl ich zur besagten Zeit online war?

Ich hatte nur Antivir und die Windooffirewall an. Javaskript war auch aktiviert.

Nun haben aber weder avast, antivir noch hijackthis was gefunden (wobei avast einige Filme nicht prüfen konnte).

Ist mein Laptop nun befallen? Soll ich noch was anderes versuchen (System neu aufsetzen kommt erstmal nicht in frage)?

 

[bigAl2]

btw: zeigt mir dieser Thread auch erschreckenderweise, wie wenig manche Leute für
die Sicherheit ihres PCs tun und wie wenig Ahnung sie davon haben.
Aber irgendwoher muss ja diese Quote kommen, die bei Schätzungen zu hören
ist. 30% der Rechner im Netz sind infiziert laut BSI Aussage.

viel erschreckender finde ich die tatsache, dass leute die aktiv für ihre sicherheit sorgen und nicht gerade unbedarft sind trotzdem erwischt wurden.

und so lange ich den desinfec´t scan bei mir noch nicht laufen hatte (montag) zähle ich mich auch noch zu den möglichen opfern. :/

Mji:
wie bei allen anderen: schwer zu sagen.
die firewall ist egal. antivir schien ihn zu erkennen. kann sein, dass du verschont wurdest, muss aber nicht.
hat der virenscanner denn angeschlagen?

 

[KingKongo]

btw: zeigt mir dieser Thread auch erschreckenderweise, wie wenig manche Leute für
die Sicherheit ihres PCs tun und wie wenig Ahnung sie davon haben.
Aber irgendwoher muss ja diese Quote kommen, die bei Schätzungen zu hören
ist. 30% der Rechner im Netz sind infiziert laut BSI Aussage.

Das sowieso, es genügt ja wenn man weis wo der PC angeht und für was dieses komische Ovale Teil ist ach stimmt dann haben wir ja noch dieses rechteckige Dingends da wo die Buchstaben produziert.

So oder so ähnlich schauts dann aus, das sich die Leute mit ihren PC´s nicht auskennen bzw auskennen wollen(da kenne ich einige) ist mir unerklärlich. PC ist halt einfach kein simples Küchengerät wie ein Toaster.


MfG

Kongo

 

[swoptrok]

Kann mal einer der hier anwesenden "Experten" ne Stellungnahme dazu abgeben ab wann ich davon ausgehen kann, dass mein System nicht befallen ist.

->keinerlei "Symptome" (seltsame Prozesse etc.), avast, spybot und antivir finden nichts
Sytemleistung nach wie vor "gleich", alle programme (incl betriebssystem) auf dem aktuellsten stand...

Achja und Aussagen wie "Man kann nie sicher sein" etc helfen mir nicht wirklich...
Gibts irgendwas woran ich das evtl. festmachen kann?

@weltmeister wo war die korrumpierte datei?

Ahja, noch jemand nen Plan wie ich die History aus Firefox (der enhanced history manager läuft mit der aktuellsten version nicht) mit Datum und Uhrzeit auslesen kann?
Vielleicht war ich ja zur fraglichen Zeit mittagessen

Ah habs gefunden... von wann bis wann war nochmal der "Befall"?

 

[RoMa]

Anworten auf mehrere Fragen:
1.) Norton ist momentan der Einäugige unter den Blinden. Will sagen, das aktuell am wenigsten schlechte Programm.

2.) Den AdobeReader installieren sich in der Tat nur noch die ganz mutigen. Haarsträubende Lücken aktuell und diese z.B. in der Vergangenheit: http://www.heise.de/security/meldun...sche-Luecke-in-Reader-und-Acrobat-205748.html


Damit ich mir nicht nachsagen muss, nur destruktiv zu schreiben, hier ein paar Möglichkeiten.

Update-Checks:
http://www.heise.de/security/dienste/Update-Check-843063.html (IM Browser, erfordert Java)
http://secunia.com/vulnerability_scanning/personal/ (Auf dem Desktop, startet automatisch falls gewünscht).

Onlinevirenscanner, also mehrere Meinungen gleichzeitig:
http://virusscan.jotti.org/de/
http://virscan.org/
http://scanner.novirusthanks.org/
http://www.virustotal.com/de/

Linkscanner (was hier aber natürlich nicht geholfen hätte, da PlanetDiablo ja bewusst angesurft wurde):
http://linkscanner.explabs.com/linkscanner/default.aspx
http://safeweb.norton.com/
http://www.novirusthanks.org/services/scan-websites-for-iframes/

Sandboxing (mache Schädlinge erkennen das aber und stellen sich tot, was btw. Bredolab, also der Schädling um den es hier geht, auch kann und bei TE auch getan hat):
http://www.threatexpert.com/submit.aspx
http://www.sunbeltsecurity.com/Submit.aspx?type=cwsandbox&cs=A41CD150B37359889A553671CBFD2360
http://anubis.iseclab.org/

Anubis ist IMO das mächtigste Werkzeug (inkl. Linkscanner), will aber natürlich bedient werden können. Zudem muss man in der Lage sein, die Ergebnisse aller Dienste zu interpretieren. Das ist nicht so ganz ohne...

Sicheres Online-Banking:
http://www.heise.de/software/download/ct_bankix/57557

Sichere Passwörter:
http://www.kuno-kohn.de/crypto/passw.htm

Browser:
Firefox tieferlegen (unter Vista): http://www.heise.de/security/artikel/Vistas-Integrity-Level-Teil-2-271520.html
Noscript: http://noscript.net/


Bei der Liste besteht natürlich kein Anspruch auf Vollständigkeit. Grüße.

 

[RoMa]

Und damit niemand meint, diese Geschichte auf PlanetDiablo und inwow wäre einzigartig und etwas ganz besonderes:

http://www.heise.de/security/meldung/Schaedliche-Werbebanner-bei-der-New-York-Times-788720.html
http://www.heise.de/security/meldun...er-Abendblatts-infiziert-2-Update-204533.html
http://www.heise.de/security/meldun...schaedlichem-JavaScript-infiziert-202675.html
http://www.heise.de/security/meldung/Trojaner-auf-dem-Samsung-Telecom-Server-160465.html
http://www.heise.de/newsticker/meldung/Vorsicht-in-AMD-Foren-Update-170595.html
http://www.heise.de/security/meldung/eWeek-verteilte-schaedliche-Werbebanner-200474.html
http://www.heise.de/security/meldun...-auf-Web-Anwender-im-Gange-Update-176774.html
http://www.heise.de/security/meldun...en-als-Asprox-Trojaner-Schleudern-189594.html

So viel zu dem leider immer noch vorherrschenden Irrglauben "Ich war ja nur auf sicheren Seiten".

Auch interessant:
http://www.heise.de/security/meldung/Ansteckende-USB-Sticks-von-HP-197378.html

 

[RAT]

Apropos Adobe: Bei mir kam noch vor dem Nachladen (reset-Button sei Dank) dies hier:
%Temp%\plugtmp\plugin-ChangeLog.pdf

Avast sagt:

Bin am 5.1. erst gegen 20:30 Uhr ins Forum gekommen. Dachte, das restore wäre zu dem Zeitpunkt schon abgeschlossen. Gegen 20:35 Uhr sah ich aus dem Augenwinkel "Download von www.bank-of-america.....ru...." in der Statuszeile des FF und habe sofort den reset-Button gedrückt. Nach dem Start in den abgesicherten Modus ohne Netz etc. fand ich mehrere komische Dateien im %temp%-Ordner und mehrere plugtmp-Ordner. In den Dateien fand Clam dann ein JS-Exploit und in der oa pdf-Datei wurde Avast dann fündig. Ansonsten wurde nichts gefunden, ich gehe zZt. davon aus, daß ich rechtzeitig den reset-Button drückte, bevor Schadcode nachgeladen werden konnte.

Aber wie gesagt ... das war um 20:35 Uhr und ich war vorher auf der Arbeit und nur morgens zwischen 7°° und 8°° Uhr im Forum, dann bis 20:35 Uhr nicht mehr ...

 

[RoMa]

Hier noch ein interessanter Link, der zeigt wie es um die Erkennungsraten bei einigermaßen frischen Schädlingen bestellt ist: http://winnow.oitc.com/malewarestats.php

Bei ganz frischer Malware ist das natürlich noch schlechter.

 

[Kobra331]

Aber wie gesagt ... das war um 20:35 Uhr und ich war vorher auf der Arbeit und nur morgens zwischen 7°° und 8°° Uhr im Forum, dann bis 20:35 Uhr nicht mehr ...

das heisst ja es müsste entweder davor oder danach immer noch eiun virus hier auf der seite sein...

 

[swoptrok]

Onlinevirenscanner, also mehrere Meinungen gleichzeitig:
http://virusscan.jotti.org/de/
http://virscan.org/
http://scanner.novirusthanks.org/
http://www.virustotal.com/de/

Naja dafür müsste man erstmal wissen, welche Datei man scannen lassen soll, nicht wahr?

Übrigens ist die Informationspolitik von ingame momentan ja nicht so pralle...
auf inwow steht garnichts, auf india nur die eine (inzwischen wohl veraltete) News... Inzwischen wirds ja wohl noch "neue" Erkenntnisse diesbezüglich geben, oder?
Zeitpunkt, welches System ist wie/wo betroffen, Auswirkungen... es will ja sicher auch nicht jeder erstmal hier die 19 Seitden durchkauen um zu wissen was Sache ist.

Auch wenn ihr sonst nen top Job macht, hier bekleckert sich grad keiner mit Ruhm...

 

[RAT]

Auf der Seite ... soweit würde ich nicht gehen. Ich denke schon, daß das restore gegen 18:30 Uhr (weitgehend?) abgeschlossen war. Allerdings weiß ich nicht, welche Seiten wo cached wurden. Also nicht nur bei all-inkl, sondern auch bei zB der Tkom oder anderen Netzknoten. Das die bei mir selbst infiziert im cache lagen schließe ich aus. Es sei denn, sie waren schon morgens um 8°° oder früher infiziert. Das glaube ich aber nicht, dann wäre es viel früher aufgefallen.

 

[Kobra331]

ist es eigentlich möglich sich den gleichen virus 2 zu bekommen?
Also wenn man die infizierte seite aktualisiert oder so? weil bin trotz der sicherheitswarnung nochn paar mal im forum rumspaziert ...

 

[bigAl2]

Hier noch ein interessanter Link, der zeigt wie es um die Erkennungsraten bei einigermaßen frischen Schädlingen bestellt ist: http://winnow.oitc.com/malewarestats.php

Bei ganz frischer Malware ist das natürlich noch schlechter.

mein lieber.. wenn du so weitermachst, wirst du für mehrere herzinfarkte bei nicht so versierten computer benutzern sorgen!

um das mal ganz deutlich zu sagen: das war schon immer so, und das wird auch immer so bleiben, so lange man mit dem marktführenden betriebssystem unterwegs ist.

in deiner schönen liste hast du vielleicht noch eins vergessen: firefox aus der sandbox starten:
http://www.heise.de/software/download/sandboxie/34297

fast keine umgewöhnung und ein deutlicher sicherheitsgewinn

 

[Nai]

auf inwow steht garnichts, auf india nur die eine (inzwischen wohl veraltete) News... Inzwischen wirds ja wohl noch "neue" Erkenntnisse diesbezüglich geben, oder?
Zeitpunkt, welches System ist wie/wo betroffen, Auswirkungen... es will ja sicher auch nicht jeder erstmal hier die 19 Seitden durchkauen um zu wissen was Sache ist.

auf inwow gabs keinen befall. PlanetDiablo hats dick erwischt, aber neue erkenntnisse haben wir auch nicht.