WinFuture-Forum.de: Anti-Viren-Programmen gehen mir auf die Nerven - WinFuture-Forum.de

Ich weiß, die Zeitung Stern ist nicht die ct und auch kein Fachforum.
Fand den Artikel aber trotzdem interessant.
Da Links leider oftmals nach einiger Zeit unbrauchbar werden oder verschwinden, habe ich alles zitiert.


http://www.stern.de/digital/online/gefaehr...ar-1701583.html
Zitat Anfang
1. Juli 2011
Gefährliches Bot-Netzwerk TDL-4: "Es ist praktisch unzerstörbar"

Mehr als vier Millionen PCs sind bereits infiziert, davon knapp 150.000 in Deutschland.
Sicherheitsexperten warnen vor einer neuen Schadsoftware, die sich extrem gut tarnt und sehr gefährlich ist. Einige halten sie sogar für unzerstörbar. Von Christoph Fröhlich

Der Sicherheits-Experte Sergey Golovanov hat schon viele gefährliche Programme gesehen. Er arbeitet für das russische Software-Unternehmen Kaspersky Lab einem der Marktführer für Sicherheitssoftware wie Firewalls und Antiviren-Programme. Doch die aktuelle Malware (zu deutsch "Schadsoftware") namens TDL-4, die Rechner infiziert und in Bot-Netzwerken für kriminelle Machenschaften versammelt, hat auch ihn beeindruckt: "Im Moment ist TDL-4 die größte Bedrohung im Internet. Das Bot-Netzwerk ist praktisch unzerstörbar", lautet das Fazit seines Berichts.

Was verbirgt sich hinter TDL-4?
Hinter dem Kürzel TDL-4 verbirgt sich eine besonders ausgeklügelte Schadsoftware. Es ist bereits die vierte Version der gefährlichen TDL-Reihe.

Sie versteckt sich anders als ihre Vorgänger nicht auf dem Rechner, sondern im so genannten Master-Boot-Record (MBR). Das ist der erste Datenblock einer Festplatte, der noch vor dem eigentlichen Betriebssystem geladen wird. Damit ist die Malware unsichtbar für aktuelle Antiviren-Programme. Hat sie sich einmal eingenistet, wird der Rechner Teil eines weltumspannenden Bot-Netzwerks.

Was ist ein Bot-Netzwerk?
Bei einem Bot-Netzwerk werden fremde Computer unbemerkt mit einer Art Trojaner infiziert, der den Rechner anschließend "versklavt". Experten bezeichnen diese Rechner als "Zombie", "Drohne" oder schlichtweg als Bot, die Kurzfassung von "Robot". Die infizierten Computer vernetzen sich untereinander und werden von einem zentralen Computer, dem Kommando-Server, ferngesteuert. Je mehr Computer sich zusammenschließen, desto größer ist die Schlagkraft des Netzwerks. Sind genügend Rechner infiziert, reicht ein Befehl des Besitzers, um alle Computer angreifen zu lassen.

Die Besitzer von Bot-Netzwerken führen die Angriffe selten persönlich aus, die meisten vermieten ihre "Zombie-Armee" an andere Kriminelle. Je größer das Gefahrenpotential des Netzwerks, desto höher ist der Preis. Deshalb versuchen die Besitzer, so viele Rechner wie möglich unter ihre Kontrolle zu bringen. Laut Kaspersky zahlen die Betreiber von TDL-4 zwischen 20 und 200 Dollar für 1000 Neuinfektionen, je nach Standort der Computer. Besonders wertvoll sind Rechner in Westeuropa und den USA.

Was unterscheidet TDL-4 von anderen Bot-Netzwerken?
Erst im April sorgte die Abschaltung des Coreflood-Netzwerk für Aufsehen. Die Betreiber spähten mit ihren Computerklaven die Online-Banking-Zugänge von ahnungslosen Nutzern aus und erbeuteten mehr als 100 Millionen Dollar.

Das FBI konnte nach jahrelangen Ermittlungen die Kommando-Server ausfindig machen und beschlagnahmen. Nur so können die kriminellen Computer-Armeen ausgeschaltet werden. Denn ohne den Hauptcomputer erhalten die Bots keine Befehle, sie werden wirkungslos.

Doch dieses Vorgehen ist bei TDL-4 nicht möglich. Das Problem: Die Malware funktioniert dezentral, sie benötigt keinen Kommando-Server, um ihre Befehle zu verbreiten.
Stattdessen nutzt sie eine sogenannte Peer-to-Peer-Verbindung zwischen den einzelnen Rechnern, die auch bei Tauschbörsen eingesetzt wird.

Hier verbinden sich die Rechner gleichberechtigt untereinander und tauschen sich unbemerkt aus.
"Die Art und Weise, wie Peer-to-Peer für TDL-4 genutzt wird, macht es unglaublich schwer, dieses Botnetz abzuschalten", sagt Kasperskys Sicherheitsverantwortlicher Roel Schouwenberg dem dem Technik-Blog Gizmodo.

Zwar existieren Kommando-Server als zusätzliche Kommunikationskanäle, um die Anweisungen schneller zu verbreiten - im Notfall kann das Bot-Netzwerk aber eigenständig weiterarbeiten.
"Jeder Versuch, das Netzwerk abzuschalten, kann von der TDL-Gruppe umgangen werden. Da sie zwei verschiedene Kanäle nutzen, wird ein Eingreifen sehr, sehr schwierig", sagt Schouwenberg.


Warum ist die Malware so gefährlich?
Ist ein Computer mit TDL-4 infiziert, lädt der Trojaner bis zu 30 weitere Schadprogramme herunter.
Einige davon spionieren Bank- und Kreditkartendaten aus, andere verschicken Spam-Mails oder versuchen den Nutzer mit Falschmeldungen einzuschüchtern.
Mittlerweile sind rund 4,5 Millionen PCs mit dem gefährlichen Trojaner infiziert, wie Kasperskys Virus-Analyst Stefan Ortloff bestätigt.
Rund ein Viertel der infizierten Rechner steht in den USA, in Deutschland sind knapp 150.000 Computer betroffen, und die Zahl der Neuinfektionen täglich, wie Ortloff betont.
Vor allem die raffinierte Tarnung sorgt für eine schnelle Verbreitung: Während die Nutzer ahnungslos an ihrem PC arbeiten, bleiben die Schadprogramme unsichtbar im Hintergrund.

"Ich würde nicht sagen, dass ein TDL-4 Botnetz vollkommen unzerstörbar ist, aber es ist ziemlich unzerstörbar. Es ist sehr gut darin, sich selbst am Leben zu erhalten", sagt Joe Stewart, Leiter der Malware-Forschungsabteilung bei Dell SecureWork dem Technik-Magazin Dailytech. Stewart gilt als Experte für Bot-Netwerke. Denn nicht nur der dezentrale Aufbau macht das Netzwerk unangreifbar, sondern auch die komplexe Verschlüsselung der Befehle.
Selbst wenn es die Polizei schafft, sich in das Netzwerk einzuklinken, sind die Befehle gut vor fremden Zugriffen geschützt. Die Befehle sind so verschlüsselt, dass nur der Urheber darauf zugreifen kann. Mit Peer-to-Peer-Verbindungen können sie die Malware auch jederzeit updaten.

Wie kann man sich schützen?
Ein Computer wird nur durch einen Befall von Viren, Trojanern oder anderer Schadsoftware in ein Bot-Netzwerk eingebunden. Um sich gegen die Schädlinge zu schützen, sollten eine aktuelle Antiviren-Software und eine Firewall auf dem Rechner installiert sein. Die meisten Bedrohungen aus dem Netz prallen dann wirkungslos an den Schutzmechanismen ab.
Allerdings gilt im Fall von TDL-4 erhöhte Vorsicht: Software wie das weit verbreitete Antivir sind gegen die neue Version noch machtlos. Nur Version 1 bis 3 werden von der Software erkannt, die vierte entzieht sich bisher den Blicken. Updates hat der Ersteller gegenüber stern.de angekündigt.

Sollte der Rechner bereits infiziert sein, empfiehlt Stefan Ortloff eine Neuinstallation von Windows: "Zunächst sollte man den Rechner mit einer Boot-CD oder einen Boot-USB-Stick starten, um den Master-Boot-Record zu umgehen, indem sich die Malware befindet. Anschließend sollte Windows neu installiert werden."
Die Daten können beim Start von einer Boot-CD aber noch gesichert werden. Sicherheitshalber sollten die aber auf einem sauberen System von einer Antiviren-Software überprüft werden.
Das TDL-4 unbesiegbar ist, bezweifelt auch Roger Grimes von Infoworld Today "Seit 24 Jahren kämpfe ich gegen Schadsoftware, und ich kann mit absoluter Sicherheit sagen, dass es keine Bedrohung gibt, die nicht in den Griff zu kriegen ist. Es kann Monate dauern, sogar Jahre, aber am Ende werden die Guten gewinnen."
Zitat Ende

@Sina: Informativ.

@Moviemaster: Nachträglich Willkommen auf WinFuture-Forum.de - auch wenn es einem manche Leute nicht leicht machen

Dieser Beitrag wurde von Volume Z bearbeitet: 24. Juli 2011 - 01:29

Zitat (Ecce Homo: 03.07.2011, 17:09)

Dieser Tag wird nicht nur deiner Meinung nach nie kommen, sondern ganz sicher nicht. Lass dir bitte hier nicht den Bären aufbinden, "Malware zerstört CPU" oder ähnlichen Blödsinn.

So ein Quatsch geistert bereits seit Erfindung des Computervirus durch die Welt, ist aber am Ende nichts als eine sich hartnäckig haltende Urban Legend, um Unwissenden einen Schreck einzujagen.

Dieser Thread scheint nur bisher keinem der Forumbewohner mit einem gesunden Pensum an Grundwissen aufgefallen zu sein, ansonsten hätte unser Moviemaster bereits längst sein Fett wegbekommen.

Zitat (Ecce Homo: 02.07.2011, 05:10)

Wenn das system dementsprechen konfiguriert ist (e.g. "hardening"), kein thema. Dann reicht ein on-demand scanner wie etwa ClamWin absolut aus, um downloads oder mobile datentraeger zu ueberpruefen.

Bin selbst jahrelang aehnlich verfahren, da das hauptsystem hinter einer hardwarefirewall mitsamt webwasher-proxy haengt. Und ehrlich, wenn da noch etwas durch kommt 'spect an den malwareprogrammierer.
Seit 2009 ist nun auch noch Forefront installiert, eigentlich "nur mal so" weil es gratis zum OS kam. Ist sehr schlank und man sieht und hoert nichts davon, von daher... Schaden kann es ja auch nicht

@DON666, weshalb denn nicht? Bei der heutigen hardware mit all ihren schutzmechanismen sicher sehr schwer, aber frueher? Per software auf die PLL zugreiffen, Vcore und/oder VVRM schoen anheben -> poof!

Zitat (Leshrac: 04.07.2011, 12:04)

Ach komm! Da oben stand was von "Datenstau in der CPU -> gebraten". Das klingt irgendwie nach Horrormärchen aus dem Sandkasten. Gegen den Blödsinn wollte ich angehen. Dein Szenario ist zu spekulativ, um als reale Bedrohung angesehen werden zu können. Außerdem ist die Zielsetzung heutiger Malware ja auch schon lange nicht mehr, den User zu ärgern, sondern an schnöden Zaster zu gelangen.

Zitat (DON666: 04.07.2011, 14:19)

Hui, gar nicht gelesen diesen bloatpost, aber das ist ja wirklich gut

Yo, gesehen habe ich solch ein ding auch noch nie, aber wie gesagt, rein theoretisch waere es durchaus machbar. Zwar nicht mehr mit der CPU, aber man koennte zum beispiel darauf hoffen, dass ab einer gewissen spannung das VRM selbst oder zumindest seine caps aufgeben. Der sinn dahinter sei nun einmal ausser acht gelassen; wie auch immer ist es jedenfalls durchaus moeglich ein system mittels einer schadsoftware physisch zu beschaedigen.

Zitat (DON666: 04.07.2011, 08:36)

Oh, nicht, dass ich daran glauben würde, nur wäre dies die einzige Möglichkeit, mich zu überzeugen. Genauso wie die einzige Möglichkeit mich von meinem Atheismus zu "befreien" ist, wenn Gott höchstpersönlich mir einen Besuch abstattet


mfg
Ecce Homo

Es wird so viel von Virenschutz und Firewall geschrieben und es ist so einfach einen normalen Schutz zu erhalten.

Router mit Firewall, den Windows Firewall und NOD 32, nicht jeden *Mist* im Internet anklicken und der PC läuft ohne zu bremsen mit einem genügenden Schutz.

Selbstverständlich gibt es Virenschutzprogramme welche alles enthalten, aber man muss immer wieder Anpassungen machen und der PC wird auch noch ausgebremst.

Walter

Obwohl ich nicht direkt angesprochen wurde, habe ich den Drang, mich einzumischen. Man möge mir bitte verzeihen:

Zitat (Moviemaster: 03.07.2011, 16:05)

Zu dieser Zeit waren auch sog. Serverdienste auf dem PC von Microsoft per se eingeschaltet gewesen - aus dieser Aktion hat Microsoft dann aber auch die Konsequenzen gezogen und seitdem erheblich an ihrem Sicherheitskonzept geschraubt.

Kleines Netzwerk-Einmaleins: Man braucht zwangsläufig einen offenen Port, der auf eingehende Verbindungen lauscht, um Angriffe durchführen zu können. Zu Zeiten des Sasser-Debakels waren noch Modem- oder Direktverbindungen (Fachchinesisch: Also noch wenig NAT-Router) weit verbreitet, und ebenjener Virus schlich sich durch diesen Dienst ein.

Heutzutage wehrt schon ein einfachster Router mit NAT-Funktionalität diese Angriffe konzeptionsbedingt mit Links ab. Aber selbst ohne NAT-Router hat Microsoft mittlerweile sämtliche Dienste so ausgearbeitet, dass z.B. ein Zugriff von einem anderen Netz schlicht ins Leere laufen - wenn solche Dienste auf Heimrechnern denn überhaupt noch laufen.

Zitat

Na klar, die suchen nach ebenjenen Schwachstellen, die Rechner vor 10 Jahren mal hatten. Nichts Ungewöhnliches, weil es leider immernoch Rechner gibt, die seitdem nicht mit Sicherheitsupdates auf dem Laufenden gehalten werden.

Zitat

Kurze Klärungsgrundlage: Das, was du ansprichst, sind Software-Firewalls. Denen wird ebenjenes Problem unterstellt, dass diese u.U. selbst zum Virenschleuder wird, wenn diese Sicherheitslücken enthält. Bei Hardware-Firewalls sieht die Sache wieder etwas anders aus... Ich pers. bin auch kein Freund von Software-Firewalls der Marke ZoneAlarm & Co...

Zitat

Vorsicht, du zählst versehentlich 1 und 1 falsch zusammen . Wahrscheinlicher ist, dass dein Freund selbst einen Virus hatte, ohne von dessen Existenz zu wissen - solche Viren gibt es, die sich die Adressdaten eines Mail-Programms nehmen und dann meist wahllos Mails an diese Adresspools senden, die den Virus enthalten. Ich hatte aber auch tatsächlich denselben Fall wie du: Ein etwas intelligenter programmierter Virus, der wartet, bis das Opfer eine Mail schreibt und dann völlig unbemerkt den Anhang austauscht.

Generell gilt: Es gibt "reine" Viren, die man mehr oder weniger explizit selbst (z.B. durch Doppelklick) ausführen muss (unter Windows also z.B. .exe-Dateien) und solche, die Sicherheitslücken in vorhandener und weit verbreiteter Software ausnutzen. Früher waren verseuchte Word- und Excel-Dateien beliebt (die unter Microsoft-Programmen oft Schadhaftes anrichteten, unter alternativen Office-Suiten hingegen nicht), heutzutage sind es u.a. auch PDF-Dokumente (Acrobat-Nutzer vs. Foxit-Nutzer)...

PS: Dateien der Marke ".jpg.exe" klickt man grundsätzlich nicht an. Egal, von wem sie stammt... Nagut, wenn man die Zusammensetzung des Dateinamens mit dem Präfix nicht weiß, woher soll dann der User das wissen? Ich verstehe schon einige Leute, die nicht völlig grundlos sowas wie einen Internet- oder Comuter-Führerschein einführen wollen (das war jetzt keinesfalls auf dich bezogen, sondern war eine allgemeine Aussage von mir).

Zitat

Mangels genaueren Daten kann man hier nur spekulieren. Es kann sein, dass die Seite selbst von Hackern kompromittiert war, ohne dass der zuständige Webmaster was bemerkte. Es kann auch sein, dass der Virenscanner einen Tick zu "scharf" reagierte und eine Falschmeldung lieferte - in Zeiten, in denen Virenscanner immer komplexer und vielschichtiger werden, leider auch keine Seltenheit mehr, im Gegenteil ist das leider sogar fast zur Regel geworden...

Zitat

Woraus ziehst du diesen Zusammenhang? Durch besonnene (und durchaus zumutbare u. praxisgerechte) Arbeitweise lasst sich auch ein im Internet hängender PC ohne "Angriffe" o.Ä. problemlos betreiben.

Nicht dass ich falsch verstanden werde: Sicherheitssysteme sind natürlich nicht per se nutzlos und je nach Verwendungszweck können die manchen Hindernislauf bedeutend einfacher gestalten. Ich möchte aber den Eindruck widersprechen, dass man ohne Sicherheitssoftware quasi Freiwild im Internet ist, auf den die Milliarden von Hackern nur gewartet haben, um ihm seine Kontodaten, seine Identität, sein Leben zu stehlen . Wenn man von Heimbetriebssystemen ausgeht (Windows Home XY), kann man diese problemlos bis in alle Ewigkeit ans Internet hängen, ohne das was passiert. Die Krux sind dann die Anwendungen und Serverdienste, die (völlig berechtigt - warum das so ist, erkläre ich vllt. ein Andermal, da die Erklärung einen eigenen Thread füllen würde) Ports öffnen und dann aufgrund von z.B. schlampiger Programmierung Anfragen falsch behandeln - und Angreifer dann natürlich mit voller Absicht solche Anfragen losschickt.

Aber wie gesagt: Bereits der einfachste 0-8-15-popel-Router, die heutzutage quasi zum Standard gehören, blockt solche "Angriffe" zuverlässig - einfach aus dem Grund, dass besagter Router Verbindungsversuche vom Internet ins lokale Netz nichtmal durchlässt. Bei herunterladbaren Viren sieht es wieder anders aus, aber da helfen - nicht zuletzt seit dem Sasser-Debakel - heutzutage zu gefühlt 95% Gesunder Menschenverstand. Oberste Regel dabei: Jeglichen Daten misstrauen, die aus dubiosen oder unbekannten Quellen stammen.

Ich für meinen Teil hatte - bis auf den Sasser-Virus - keinen einzigen Virus auf allen meinen PCs. Sowas wie bei Sasser, dass ein einziger, halbwegs aktuell durch Sicherheitsupdates gehaltener Heimrechner nur durch einen Verbindungsaufbau ins Internet und komplett ohne Zutun des Nutzers infiziert werden konnte, sind heutzutage vorbei...


(PS: Ich habe hier explizit dauernd "Heimrechner" geschrieben - bei Servern sieht die ganze Sache natürlich wieder anders aus, aber für Gewöhnlich arbeiten hinter Servern aber auch Leute, die einigermaßen wissen, was sie tun und welche Verantwortung sie tragen...)

Dieser Beitrag wurde von Astorek bearbeitet: 06. Juli 2011 - 13:10

Zitat (Astorek: 06.07.2011, 14:09)

Ich verzeihe dir, nein, ich danke dir sogar, dass du dir die Zeit dafür genommen hast einen derart ausführlichen Beitrag zu schreiben, ein Vorhaben zu dem mir leider in den letzten Tagen die Zeit und v.a. die Konzentration fehlte^^

mfg
Ecce Homo

Zitat (Ecce Homo: 06.07.2011, 17:22)

Dem kann ich mich nur anschließen!

Grüße!

hi und hallo,

hab mir jetzt nicht alles durchgelesen, aber wenn ich das richtig verstanden habe, bist du auf der suche nach nem antivirenprogramm und einer firewall...

will mir meinen computer auch nicht voll müllen mit etlichen programmen und die dann noch mit schlechter bedienung glänzen...

daher mein tipp:

ich hab gute erfahrungen gemacht mit
avast Free Antivirus,
bedienung ist leicht und verständlich, ohne viel schnick schnack, aufs wesentliche beschränkt.

als firewall nutze ich die windows eigene, mit dem kleinen zusatz programm
Windows 7 Firewall Control,
is ebenfalls kostenlos und macht das wonach du fragst... es ist einfach aufgebaut und erfüllt seinen zweck, ohne mit vielen einstellungen zu nerven.

vllt. is da ja was für dich dabei.


schönen tag euch allen.

Zitat (Ecce Homo: 05.07.2011, 13:57)

Also soweit ich weiss gab es sogar Schadsoftware der die Treiber so geändert hat das sich die betroffene Hardware anders verhielt bis zu einem Schaden. .

Dieser Beitrag wurde von ReviRd-Revo bearbeitet: 07. Juli 2011 - 13:30

Zitat (plant: 07.07.2011, 08:08)

Leider ist Windows 7 Firewall Control nur für Win7,ich bin aber noch ein XPler

Zitat (Sina: 08.07.2011, 02:02)

Dafür stehen zwei verschiedene Versionen zum DL bereit (einsehbar auf der Hersteller-DL Seite)

Zitat

Dieser Beitrag wurde von Hotbitchick bearbeitet: 08. Juli 2011 - 01:08