WinFuture-Forum.de: Maleware - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 4 Seiten +
  • 1
  • 2
  • 3
  • 4

Maleware Splitt aus "Was ist Maleware" von RIKA


#1 Mitglied ist offline   Lonewolf 

  • Gruppe: aktive Mitglieder
  • Beiträge: 92
  • Beigetreten: 19. Februar 04
  • Reputation: 0
  • Wohnort:Bergisches Land
  • Interessen:Computer, P800, Hausautomatiesierung<br>Larp, RPG<br>Kick Thai, Kung Fu, Streetdance<br>Kochen, Flohmarkt<br>Sonnen, Sauna<br>Musik, Lesen, NLP, Hypnose

geschrieben 11. März 2004 - 12:52

Zitat

Malware - eine kleine Bilanz

Ich verfolge seit nun etwa 6 Jahren recht interessiert, wie Malware in Erscheinung tritt, sich verbreitet und funktioniert. In der Zeit davor war sie kaum ein Thema für mich, wenngleich ich natürlich auch damals schon bemüht war, mir keine zu installieren.
Mittlerweile ist Malware so allgegenwärtig und hartnäckig, dass viele Anwender tatsächlich dazu neigen, sich damit abzufinden, dass sie sich hin und wieder Malware installieren und dann oft den Rechner entweder neu aufsetzen müssen oder tagelang daran herumlaborieren müssen, bis sie den Kram vermeintlich wieder los sind.
Den wenigsten kommt in den Sinn, dass sie an diesem ungeliebten Zustand selbst Schuld sind und demzufolge ihn auch durchaus dauerhaft vermeiden könnten.
In den Medien wird fast ausschließlich von VIREN gesprochen, allerdings ist das komplett falsch.
Echte Viren (Bootviren, Makroviren, Dateiviren) sind heute fast ausgestorben und spielen nur noch eine untergeordnete Rolle.
Ihnen wurde schon vor Jahren der Rang durch Würmer und Trojanische Pferde abgelaufen und seit einiger Zeit kann man auch hier nicht mehr klar unterscheiden, da zunehmen Mischformen mit einer enormen Funktionsvielfalt auftauchen.
Ein Grund dafür, dass es vielen Anwendern nicht gelingt, sich vor moderner Malware dauerhaft zu schützen, ist wohl der Umstand, dass sie nicht wissen, wie Malware arbeitet und sich verbreitet. Vergleichbar mit einem Torwart, dem die Augen verbunden und die Ohren zugestopft wurden, stehen sie ahnungslos vor ihrem PC-"Tor" und wissen nicht, in welche Richtung sie hüpfen müssen.
Was kann heutige Malware?
Verbreiten kann sich ein moderner Wurm z.B. gleich mittels mehrerer Methoden:
Email
Filesharing
Netzlaufwerke/Dateifreigaben
Ausnutzung von Systemsicherheitslücken
IRC und andere Instant Messenger

Wie tarnt er sich, einmal im System angelangt und ausgeführt? Auch hier gibts eine Unmenge von Möglichkeiten:
Grundsätzlich sorgt er durch den Aufruf im Autostart (RUN-Schlüssel der Registry sowie WIN.INI, SYSTEM.INI, AUTOEXEC.BAT) für seinen Start, oft sogar mehrfach und speicherresident.
Entweder die verantwortlichen Dateien tragen Namen, die denen von Systemdateien ähneln oder sogar übereinstimmen (wobei dann das harmlose Original in einem anderen Ordner als der Schädling liegt) oder sie ersetzen diese Systemdateien komplett.
Manche lagern in unauffälligen, oft versteckten Systemordnern, temporären Ordnern oder im Browsercache.
Unsichere Programme wie Outlook Express und der Internet Explorer lassen sich kinderleicht täuschen und öffnen gefährliche Dateien teilweise automatisch und ohne zusätzliche Interaktion mit dem Anwender oder aber die Abfragen der Programme sind so harmlos oder enervierend, dass der Anwender unüberlegt einer Ausführung zustimmt.
Kommt die Malware per Mail, dann oft als HTML-Mail mit aktiven Inhalten, wobei der Betreff, der scheinbare Absender und der Inhalt der Mail eine gewisse Dringlichkeit vortäuschen, den Anwender extrem neugierig machen und ihn z.B. glauben lassen, es handle sich um eine offizielle, vertrauenswürdige Quelle, einen Sicherheitspatch, wichtige Kundeninformationen eines Onlineshops, der Bank oder anderer seriöser Quellen. Dass solche seriöse Quellen NIEMALS auf diese Weise zu Kunden Kontakt aufnehmen, kann man tausendmal wiederholen, aber es wird dennoch missachtet.
Malware legt oft zahlreiche Kopien in diversen Ordnern des Systems an für den Fall, dass eine der Kopien entdeckt und beseitigt wird, aber natürlich auch, um in Dateitauschbörsen als verlockendes Angebot eines infizierten Users auch für andere Ahnungslose verfügbar zu werden.
Diese Dateinamen sind so beschaffen, dass sie einerseits harmlos, andererseits verlockend klingen (Keygeneratoren für teure Software, gecrackte Vollversionen von Spielen und anderen beliebten Programmen, Patches usw.). Damit wird sichergestellt, dass eine dieser Kopien früher oder später doppelgeklickt wird.
Auch die Funktionalität der Malware hat sich sehr verändert. Während frühere Viren meist ausschließlich offensichtlichen Schaden anrichteten oder zumindest irgendwelche erschreckenden oder verunsichernden Effekte auf dem Bildschirm fabrizierten und die ersten Würmer lediglich Rechner- und Festplattenkapazität ausschöpften, werkelt heutige Malware lieber unbemerkt im Stillen.
Sie durchsucht den Rechner nach verwertbaren Daten aller Art: Mailadressen, Passwörter und sonstige Zugangsdaten aller Art, vertrauliche Dokumente, sie überwacht Tastenanschläge, teilweise sogar angeschlossene Webcams und Microfoneingänge, sie versendet Mails mit Kopien ihrer selbst oder mit gefundenen Daten, sie verschickt Spam oder greift per Denial of Service Webserver an und beendet idR zuallererst installierte Schutzsoftware wie Desktopfirewalls und Virenscanner. Sie ist in der Lage, den eigenen Code anzupassen, aus dem Internet neue Versionen oder zusätzliche Malware herunterzuladen und ermöglicht durch Installieren von trojanischen Pferden Fremden den Vollzugriff auf den Rechner.
Anwender glauben viel zu oft, sie würden schon deshalb sicher sein, weil sich ja kein "Hacker" für einen popeligen Privat-PC interessieren würde.
WEIT GEFEHLT!
Gerade diese PCs werden bevorzugt befallen, weil sie dem Angreifer kostenlose Rechner- und Festplattenkapazität bieten, schlecht geschützt sind und im Falle der Entdeckung zuerst der Infizierte die juristischen Folgen zu tragen hat. Kompromittierte Rechner (auch Zombies genannt) dienen der "Szene" als Ablageplatz für illegale Dateien aller Art oder als Mittel zur Verschleierung der eigenen Identität. Sie sind also sehr wohl ein lohnendes Ziel, selbst wenn man von den verwertbaren privaten Daten mal absieht, die ja an sich schon wertvoll sind. Gültige Mailadressen werden hoch gehandelt in Spammerkreisen.

Eins hat sich in den letzten Jahren nicht geändert im Bezug auf Malware:
Der Durchschnittsanwender unterschätzt sie gewaltig, überschätzt die Effektivität seines Rechnerschutzes und ist vor allem unglaublich schlecht informiert.

(Zitat: Ullreich Eisenheim aka IRON)


edit by Flo01

Thema aus dem Sticky Was ist Maleware Gesplittet!







Hallo Rika,

wie schauts denn mit Software empfehlungen gegen Maleware aus?.
Du schreibst hier einen sehr langen Thread über das Übel, aber gehts leider in keinster weise darauf ein, wie man sich davor schützen kann.
Warum erklärst Du nicht wenn, Du schon einen solchen thread eröffnest, was ein Hash ist und eine md5 Prüfsumme?
Und selbst der dümmste User könnte eine Software empfehlung wie ad aware gebrauchen. Nettes Freeware Tool gibbtet hier. Security ist ein wichtiges Thema, aber ich finde es nützt nichts, Angst zu schüren ohne Aufzuklären. Aner vielleicht kannst Du das Thema ja noch mal in der Richtung vertiefen.


Gruß

Lonewolf

Dieser Beitrag wurde von Flo01 bearbeitet: 06. April 2005 - 14:13

0

Anzeige



#2 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 11. März 2004 - 14:39

Zeitnahes Einspielen von Patches, ordentliche Konfiguration des Rechners, Verzicht auf bekannte fehlerhafte Software und vor allem der Einsatz von Brain 1.0 - mehr braucht man nicht.
Schädlingsbefall, den man mit AdAware, SpyBot S&D oder HijackThis feststellen kann, kann man meist noch zuverlässig entfernen, letzteres sollte eh nur etwas finden, wenn entgegen alles Vernunft der IE verwendet wird.

Virenscanner sind eine nette Dreingabe, die um so sinnvoller erscheint, je öfter man feststellt, daß man sie nicht benötigt hätte. Deshalb schalte ich auch grundsätzlich den eMail-Scanner aus und setzte meine Profil-Daten in die Ausnahmeliste, weil man eMail-Würmer ja blind erkennt und vor allem weil sonst kein kryptographisch sicheres Abholen/Senden von Mails mittels SSL/TSL ginge. Wenn ein Virenscanner einen wirklichen aktiven Befall mit Malware feststellt, sollte man sein System lieber besser neu aufsetzen.

Personal Firewalls sind vernünftigerweise nicht zu empfehlen, weil 1. sie ständig die eingehende Kommunikation überwachen und damit der Ausnutzung von ihrem potentiell fehlerhaftem Code ständig ausgesetzt sind - ein Risiko, daß ihren Nutzen bei weitem übersteigt (im Übrigen folgt diese Erkenntnis aus Evaluation von unabhängigen Experten) und 2. ein ebenfalls diskussionsunabhängiges Argument, nämlich die Erfahrung, daß viele User einfach zur Risikokompensation neigen und damit letztendlich mehr Risiko eingehen als ohne (erinnere nur mal an den einen Type bei Nickles, der Norton Internet Security nicht updaten konnte - auf die Empfehlung hin, es mal testweise zu deaktivieren und in diesem Zustand zu updaten, meinte er, daß das nicht ginge, weil doch sonst gleich wieder Blaster reinkommt *g*).
Spezielle Feature wie "Treiberschutz" (funktioniert einfach nicht), "Anti-IP-Spoofing" (geht gar nicht), "MAC-Spoofingschutz" (im Internet gibt's keine MACs), "Schutz gegen DLL-Injection" (funktioniert nicht wirklich und der Logitech-Maustreiber macht es eh unbrauchbar) oder diverse HTTP-Filter sind entweder unnütze, ineffektiv oder purer technischer Unsinn. :D

Wer gerne Port-Blockierungen mag, wird in der Regel auch mit dem Windows-internen IPSEC wirklich glücklich, da es sich dabei um einen Paketfilter auf Kernel-Ebene handelt, der wie iptables unter Linux wesentlich sicherer gegen Umgehung oder Manipulation geschützt ist. Unter http://www.indianz.ch/secregd.html gibt es auch eine schöne Erklärung zum TCP/IP-Stack-Hardening.

Unter Systemsteuerung, Verwaltung, Lokale Sicherheitrichtlinie, Sicherheitseinstellungen, Richtlinien für Softwareeinschränkungen kann man übrigens sehr vielseitige Regeln zur Application Control festlegen.

Ein kleiner Blick auf die Sicherheitsoptionen ist auch nie verkehrt, unter "Netzwerksicherheit: Minimale Sitzungssicherheit blablabla" kann man mit nur einer einzigen aktivierten Option sich trotz aktiviertem DCOM und fehlendem Patch vollständig vor Blaster und zukünftigen Varianten absichern, ohne das Setzen von "Wiederherstellungskonsole: Automatische administartive blablabla" auf "Deaktiviert" sind sämtliche Passwörter im System überflüssig. :smokin:

To be continued...

Dieser Beitrag wurde von Rika bearbeitet: 22. Mai 2006 - 14:42

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#3 _simcard_

  • Gruppe: Gäste

geschrieben 11. März 2004 - 14:56

Interessant, Interessant...
Keine Empfehlung zu Programmen wie Pest Patrol?
Und was macht Malware denn? Hab ich das überlesen oder haste das nicht gesagt?
0

#4 Mitglied ist offline   wiz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.527
  • Beigetreten: 21. Juni 03
  • Reputation: 0
  • Wohnort:Landshut (Bayern)
  • Interessen:Schwimmen, Laufen, Radlfahren (Triathlon); PCs und Technik *g*; Autos

geschrieben 11. März 2004 - 17:56

Zitat (simcard: 11.03.2004, 14:56)

Und was macht Malware denn? Hab ich das überlesen oder haste das nicht gesagt?

'Malware' ist der Überbegriff für Software, die den PC in irgendeiner Weise schädigt oder dessen normalen Arbeitsablauf stört. Also zB. Viren, Trojaner,...:smokin:
0

#5 _simcard_

  • Gruppe: Gäste

geschrieben 11. März 2004 - 22:55

danke @wiz ;)
Auch wenn es Rika nicht gerne hört, weil er ja der Experte schlechthin ist, mit Pest Patrol, AVK 2004, AdAware6, Spybot und Sygate Personal Firewall Pro fühle ich mich sicher vor Spyware, Adware, Malware, Viren und Trojanern.
Und das ist auch bewießen, auch wenn einem andere Menschen (die ja schlauer als anerkannte Sicherheitsinstitute und Fachhefte sind) anderes weißmachen wollen.
0

#6 Mitglied ist offline   black.cobra 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.538
  • Beigetreten: 30. November 02
  • Reputation: 0

geschrieben 11. März 2004 - 23:00

Zitat (simcard: 11.03.2004, 22:55)

danke @wiz  ;)
Auch wenn es Rika nicht gerne hört, weil er ja der Experte schlechthin ist, mit Pest Patrol, AVK 2004, AdAware6, Spybot und Sygate Personal Firewall Pro fühle ich mich sicher vor Spyware, Adware, Malware, Viren und Trojanern.
Und das ist auch bewießen, auch wenn einem andere Menschen (die ja schlauer als anerkannte Sicherheitsinstitute und Fachhefte sind) anderes weißmachen wollen.

sicher sollte man sich nie fühlen > das ist der Hauptfehler!
Aber man sollte sich auch net in die ASSI-Ecke drücken lassen, weil man nen DTF oder NAV benutzt!
[DTF=Desktop-Firewall ; Nav=Norton Antivirus]
0

#7 Mitglied ist offline   Stulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 763
  • Beigetreten: 04. Dezember 03
  • Reputation: 0
  • Wohnort:Brotbackautomat
  • Interessen:viele

geschrieben 11. März 2004 - 23:50

Zitat (black.cobra: 11.03.2004, 23:00)

sicher sollte man sich nie fühlen > das ist der Hauptfehler!

Davor sollte mann sich hüten, sich sicher zu fühlen. Gerade das trägt doch zur Verbreitung von Malware bei.
Die Schreiber von solchem Zeugs freuen sich über solche Leute, die sich "sicher" fühlen.

;)
..................................

Die Signatur ist verloren gegangen. Eingefügtes Bild
0

#8 Mitglied ist offline   black.cobra 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.538
  • Beigetreten: 30. November 02
  • Reputation: 0

geschrieben 11. März 2004 - 23:58

thx - dasste meine Meinung auch Unterstützt *fg*
0

#9 Mitglied ist offline   Stulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 763
  • Beigetreten: 04. Dezember 03
  • Reputation: 0
  • Wohnort:Brotbackautomat
  • Interessen:viele

geschrieben 12. März 2004 - 00:24

Das ist doch richtig was Du gesagt hast. Warum soll ich das nicht unterstützen ;)

;)
..................................

Die Signatur ist verloren gegangen. Eingefügtes Bild
0

#10 Mitglied ist offline   black.cobra 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.538
  • Beigetreten: 30. November 02
  • Reputation: 0

geschrieben 12. März 2004 - 00:27

Zitat (Stulle: 12.03.2004, 00:24)

Das ist doch richtig was Du gesagt hast. Warum soll ich das nicht unterstützen  ;)

;)

sorry, da haste mich missverstanden!

Unsere Meinung:

"Davor sollte mann sich hüten, sich sicher zu fühlen. "

Finde ich genau RICHTIG!

Wir haben uns aber 'umredet'
0

#11 Mitglied ist offline   Stulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 763
  • Beigetreten: 04. Dezember 03
  • Reputation: 0
  • Wohnort:Brotbackautomat
  • Interessen:viele

geschrieben 12. März 2004 - 00:32

Kann ja passieren. ;)
..................................

Die Signatur ist verloren gegangen. Eingefügtes Bild
0

#12 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 12. März 2004 - 07:31

@simcard:
Der Unterschied zwischen "Fachheften" und Experten ist schon mal der, das letztere nicht von den Herstellern der Produkte, die sie prüfen, für Werbeanzeigen bezahlt werden. Und dann unterscheidet Experten von Sicherheitsexperten die Sache, daß letztere keinen technischen Unsinn erzählen (Peter Huth & Co. läßt grüßen) und vor allem selber Geld mit der tatsächlichen Sicherheit von großen Firmen verdienen und/oder teilweise angesehene Mitglieder beim CCC sind. Die Hersteller selbst sind auf jeden Fall suspekt, erzählen sie doch mit gespaltener Zunge von einem Problem und verlangen Geld für eine Lösung, alterntaiv geben sie einem 100% sichere Software un verlangen dann Geld für eine Vollversion, wiel sie behaupten, daß die 100% sicherere Free-Version doch nicht sicher sei - als Kunde sollte man sich da verarscht vorkommen. ;)

Übrigens evaluieren auch von mir genannte Experten Software-Paketfilter und ähnliches, und kommen dabei aber zu dem Schluß, daß diese in den meisten Fällen mehr Risiko als Nutzen bringen.

Außerdem habe ich ja zwei Argumente gebracht, die unabhängig von Nutzen oder Nicht-Nutzen Personal Firewalls als akzeptable Maßnahme wirklich disqualifizieren - an der Stelle sollte man man seine Vernunft sprechen lassen und das dumpfe gefühl im Bauch, daß nach solcher Softwar verlangt, mal abstellen.

Übrigens ist es genau so: Sicherheit ist nie 100%ig, und wer mit dieser Schweirigkeit umgehen kann und sie als Chance nutzt, der versteht, was Sicherheit bedeutet.

Dieser Beitrag wurde von Rika bearbeitet: 12. März 2004 - 07:38

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#13 Mitglied ist offline   ACiD FiRE 

  • Gruppe: aktive Mitglieder
  • Beiträge: 93
  • Beigetreten: 04. Oktober 03
  • Reputation: 0

geschrieben 12. März 2004 - 08:42

Rika, danke für die Ausführlichkeit deines Berichtes. Es ist schon traurig wie leichtsinnig die Leute mit diesen Dingen umgehen .. und das unfairste ist finde ich, dass diese Menschen sofort Microsoft die schuld geben sobald sie getroffen werden.
0

#14 _simcard_

  • Gruppe: Gäste

geschrieben 12. März 2004 - 13:13

Zitat

@simcard:
Der Unterschied zwischen "Fachheften" und Experten ist schon mal der, das letztere nicht von den Herstellern der Produkte, die sie prüfen, für Werbeanzeigen bezahlt werden.

Ach so, solche Experten sind natürlich unbestechlich, sicher.

Zitat

Und dann unterscheidet Experten von Sicherheitsexperten die Sache, daß letztere keinen technischen Unsinn erzählen (Peter Huth & Co. läßt grüßen) und vor allem selber Geld mit der tatsächlichen Sicherheit von großen Firmen verdienen.

Das eine große Firma keine Desktop-Firewall nutzt ist ja logisch.
Zone Labs wird seine geheimen Daten sicherlich nicht mit ZAP schützen, doch für normale Private Anwender ist eine DTF eine sehr gute Lösung!
Keiner behauptet, dass eine Firewall unumgehbar ist, doch erschwert sie es einem Angreifer ungemein, da kannst du mir noch so viele 10 Jahre alte Links geben.

Zitat

Die Hersteller selbst sind auf jeden Fall suspekt, erzählen sie doch mit gespaltener Zunge von einem Problem und verlangen Geld für eine Lösung, alterntaiv geben sie einem 100% sichere Software und verlangen dann Geld für eine Vollversion, wiel sie behaupten, daß die 100% sicherere Free-Version doch nicht sicher sei - als Kunde sollte man sich da verarscht vorkommen.

Ist doch logisch, die Free-Version ist zum Testen was ne Firewall ist und in die Pro-Version fließt sehr viel Geld für die Entwicklung, was mit einem angemessenen Verkaufspreis wieder reingeholt werden soll!

Zitat

Außerdem habe ich ja zwei Argumente gebracht, die unabhängig von Nutzen oder Nicht-Nutzen Personal Firewalls als akzeptable Maßnahme wirklich disqualifizieren - an der Stelle sollte man man seine Vernunft sprechen lassen und das dumpfe gefühl im Bauch, daß nach solcher Softwar verlangt, mal abstellen.

Nö, ich glaube lieber securityspace.com, dem anerkannten Sicherheitsinstitut, was bei einem Port-Scan an meinem PC einen offenen Port gefunden hat, ich denke dein Test mit dieser linux-....com seite ist so super?

Zitat

Übrigens ist es genau so: Sicherheit ist nie 100%ig, und wer mit dieser Schweirigkeit umgehen kann und sie als Chance nutzt, der versteht, was Sicherheit bedeutet.

Ich habe immer gesagt, dass man nie 100% sicher ist!
Alles ist umgehbar und überall gibt es lücken!

Achja, sorry diese Antwort gehört normalerweise in den "Welche Firewall" Thread bei Sonstige Software, wo sich Rika ja nicht zu äußern tut.... ;)
0

#15 Mitglied ist offline   B!G 

  • Gruppe: aktive Mitglieder
  • Beiträge: 888
  • Beigetreten: 21. Januar 04
  • Reputation: 0
  • Wohnort:Frankfurt am Main

geschrieben 13. März 2004 - 14:46

Jetzt geht das schon wieder los *rolleyes*
0

Thema verteilen:


  • 4 Seiten +
  • 1
  • 2
  • 3
  • 4

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0