Hacker angriff : nachricht in offenem wordfenster

und danach per usb-stick ein haufen sicherheitssoftware
draufgehauen.

Und was soll das bringen?
Wenn der Angreifer nicht total doof war, dann hat er seine Sachen z.B. mittels eines Rootkits versteckt und deine tolle „Sicherheitssoftware“ ist vollkommen machtlos.

„Hardwarefirewall“ des Routers
PC befindet sich im LAN
Softwarefirewall

Wozu hast du eine Software-Firewall, wenn du ohnehin hinter einem Router sitzt? Ein Heim-PC sollte außerdem nach außen ohnehin keine Dienste anbieten, wenn das nicht gewollt ist. Eine Firewall ist also dann so oder so überflüssig (solange du hinter einem Router sitzt).

Antivirenprogramm (1x täglich Komplettscan)

Was soll es bringen 1x täglich einen Komplettscan zu betreiben? Entweder dein Virenscanner schlägt Alarm, wenn du die Datei öffnest, oder es ist ohnehin zu spät. Ein 1x ausgeführter Trojaner hat (wenn man die allgemeine Sitte unter Windows zugrunde legt, dass man mit Administratorrechten arbeitet) Narrenfreiheit auf deinem System und kann machen was er will. Dein Virenscanner ist dann nutzlos geworden.

Spybot S&D

Was soll das bringen? Wenn mal ein Schadprogramm auf deinem Rechner ist und sich Admin-Rechte verschafft hat, dann findet Spybot S&D das ohnehin nicht mehr.

mit Hijackthis ab und zu überprüfen

Was soll das bringen? Wenn mal ein Schadprogramm auf deinem Rechner ist und sich Admin-Rechte verschafft hat, dann findet HijackThis das ohnehin nicht mehr.

das wichtigste ist aber Betriebssystem, Browser und sonstige
Programme möglichst mit den neuesten Patches zu versorgen.
Und sich möglichst von dubiosen Seiten fernhalten, nicht
wahllos runterladen.

Richtig. Und dann braucht man alle obigen Tools auch gar nicht. Denn die sind in den meisten Fällen nutzlos oder machen die Sache sogar noch schlimmer.
Viel wichtiger außerdem: Nicht als Administrator arbeiten.

Ich bin zwar kein Fachmann für derartiges, aber durch
Backdoorprogramme die zb. durch Trojaner auf deinen PC kommen
wird es möglich sein deinen PC (begrenzt) zu steuern.

Es ist eher anders herum:
Wenn ein Trojaner auf deinem PC ist, dann kannst DU deinen PC nur noch begrenzt steuern. Der Trojaner bzw. die von ihm nachgeladene Schadsoftware hat dann die volle Kontrolle, während du, deine Sicherheitssoftware usw nur noch das seht, was das Schadprogramm euch erlaubt.

Rechner abschalten, zur Polizei gehen und erst mal Anzeige gegen Unbekannt wegen Erpressung und diversen anderen Verstößen.
Dann mit Hilfe der Polizei einen Sachverständigen den PC forensisch untersuchen lassen.

Und vorher eventuell noch prüfen, ob sich ein Familienmitglied nicht grade einen „Scherz“ erlaubt hat.

Der Glaube, Malware
ließe sich entfernen, ist Aberglaube und gehört ins Brett
Esoterik.

Nö, aber es ist richtig, daß 95% der Anwender damit völlig überfordert sind. Und die anderen 5% könnten es zwar, aber surfen sowieso entweder mit 'nem Mac oder mit anderen *nixes…

Wenn der Angreifer nicht total doof war, dann hat er seine
Sachen z.B. mittels eines Rootkits versteckt und deine tolle
„Sicherheitssoftware“ ist vollkommen machtlos.

Falsch. Rootkits lassen sich durch Heuristiken erkennen oder von einem OS von einer Boot CD aus.

Wozu hast du eine Software-Firewall, wenn du ohnehin hinter
einem Router sitzt? Ein Heim-PC sollte außerdem nach außen
ohnehin keine Dienste anbieten, wenn das nicht gewollt ist.
Eine Firewall ist also dann so oder so überflüssig (solange du
hinter einem Router sitzt).

Zwei Paketfilter ind in der Tat unsinnig. Der Router kann aber durchaus ein kompletter Rechner sein oder durch ein Portforwarding die Dienste eines anderen Rechners im LAN nach außen zur Verfügung stellen. Insofern ist ein Paketfilter mehr als sinnvoll, weil er z.B. einen Port eine gewise Zeit schließen kann, wenn eine Authentifizierung nach mehereren Versuchen nicht funktioniert hat.

Was soll das bringen? Wenn mal ein Schadprogramm auf deinem
Rechner ist und sich Admin-Rechte verschafft hat, dann findet
Spybot S&D das ohnehin nicht mehr.

Das ist Unsinn!

Was soll das bringen? Wenn mal ein Schadprogramm auf deinem
Rechner ist und sich Admin-Rechte verschafft hat, dann findet
HijackThis das ohnehin nicht mehr.

Auch das ist Unsinn. Selbst im schlimmsten Fall, kann man wenigstens erkennen, daß der Rechner angegriffen wurde, und neu aufsetzen. Programme wie Search and Destroy können ein Auge auf Systemdatein haben, und warnen, wenn ein Programm diese verändern will oder melden, wenn irgendwas Dinge in die registry schreiben will.

Wenn ein Trojaner auf deinem PC ist, dann kannst DU deinen PC
nur noch begrenzt steuern. Der Trojaner bzw. die von ihm
nachgeladene Schadsoftware hat dann die volle Kontrolle,
während du, deine Sicherheitssoftware usw nur noch das seht,
was das Schadprogramm euch erlaubt.

Nicht jedes x-beliebige Drecksprogramm, was irgendein 14jähriger, pickeliger nerd zusammenhackt übernimmt sofort einen Rechner in diesem Umfang. Dein gesamter Post zeigt, daß Du Dich auf ein ungesundes Halbwissen stützt und Dich weder mit der Funktionsweise von Schadsoftware, noch mit Systemen um diesen endgegenzuwirken ausreichend beschaftigst hast.

Wie bist Du denn drauf?

http://www.heise.de/newsticker/MBR-Rootkit-mutiert–…

MfG
Chatta

wie kann ich mich dagegen schützen,

Du kannst deinen Browser so konfigurieren, dass er nicht jeden Drive by-Download mitnimmt. Insbesondere bedeutet das Deaktivierung jeder Art von Scripting (Javascript,Activescript), ActiveX und Java und selektives Zulassen dieser Techniken lediglich für vertrauenswürdigen Sites und soweit zwingend erforderlich. Ferner regelmäßige Prüfung bzw. Update des Browsers selbst sowie aller Browser-Plugins (Adobe Reader, Flash, Shockwave, Quicktime…).

Ein Hacker hat deinen PC nicht übernommen. Wieso sollte der so was dummes tun, und dich mit der Nase auf seine Tätigkeit stossen? Scare-Ware übernimmt solche Dinge vollautomatisch: http://www.heise.de/security/Zweifelhafte-Antiviren-…. Wahrscheinlich war auch kein Word geöffnet, sondern ein Browserfenster, welches wie ein Wordfenster dargestellt war.

fire wall ( zone alarm free ware ) ist jetzt drauf.

Die hilft dir gegen dein Problem exakt nichts.

Gruß

Wenn der Angreifer nicht total doof war, dann hat er seine
Sachen z.B. mittels eines Rootkits versteckt und deine tolle
„Sicherheitssoftware“ ist vollkommen machtlos.

Falsch. Rootkits lassen sich durch Heuristiken erkennen oder
von einem OS von einer Boot CD aus.

Und du meinst, bloody_user bekäme das hin? Du hältst so was ernsthaft für einen brauchbaren Ratschlag für einen Laien, der schon mit dem Schutz vor einer Drive by-Infektion überfordert ist?

Gruß

Moin,

Ich bin zwar kein Fachmann für derartiges

wohl wahr. Vor Malware schützt nur Surfen mit eingeschränkten
Rechten, dazu noch http://www.brain.yubb.de.

Ach ja. Das tolle „Brain“ wird wieder mal bemüht.

Was „personal“ oder „desktop Firewalls“ betrifft, sind wir ja einer Meinung. Auch der Hinweis auf die gebotene Vorsicht beim Surfen im Internet und dem Download von Daten ist korrekt. Aber den Einsatz von Viren- bzw. Malwarescannern als „Schlangenöl“ zu bezeichnen, ist mindestens fahrlässig.

Im Gegensatz zu Werbesprüchen der Hersteller geht es bei deren Einsatz nicht in erster Linie um das Entfernen von Malware auf infizierten Geräten, sondern um die Erkennung von Schadsoftware.

Selbstverständlich können Virenscanner keine absolut sichere Erkennungsrate bieten. Und ja, ich kenne die „false positive“ Problematik. Aber Dein tolles „Brain“ ist da nicht besser.

Nur sehr wenig Malware ist dumm genug, sich durch eine offene Shell mit merkwürdigen Kommandos anzukündigen. Es ist alles andere als leicht, einen „Befall“ als solchen zu Erkennen, das liegt in der Natur der Sache. Systematische Suche ist da allemal besser, als auf merkwürdige Zeichen (huch, mein Rechner ist langsam heute. Bestimmt ne Malware. Mal schnell neu aufsetzen) und Wunder zu hoffen.

Gruß

Fritze

Selbstverständlich können Virenscanner keine absolut sichere
Erkennungsrate bieten.

Na, das ist jetzt aber ein schöner Euphemismus. Derzeit schaffen’s die Scanner gerade so, den Schädlingen mit mehreren Stunden Verspätung mühselig hinterherzuhinken. Etwa 10 % aller hier per Mail eingehenden Schädlinge werden nicht erkannt. Eine Gegenprobe auf Virustotal zeigt dann regelmäßig, dass allenfalls ein Bruchteil der dort vertretenen 36 Scanner bereits up to date ist. Ein nochmaliger Check zwei, drei Stunden später erkennt die Infektion dann.

Und dabei sind es durchaus keine neuen Schädlinge, die die Scanner da durchschlüpfen lassen - immer und immer wieder die gleichen gezippten Trojaner, jeweils geringfügig modifiziert.

Anders ausgedrückt: Die Erkennungsrate von Virenscannern ist durch die Bank lausig. Natürlich sollte man deshalb nicht auf den Einsatz von Virenscannern verzichten. Man sollte sich aber immer im klaren sein, dass Virenscanner keine Sicherheit bieten, sondern immer nur ein bescheidenes Hilfswerkzeug darstellen.

Gruß

Wenn der Angreifer nicht total doof war, dann hat er seine
Sachen z.B. mittels eines Rootkits versteckt und deine tolle
„Sicherheitssoftware“ ist vollkommen machtlos.

Falsch. Rootkits lassen sich durch Heuristiken erkennen oder
von einem OS von einer Boot CD aus.

Rootkits - gerade virtualisierende - mit Heuristiken zu erkennen, ist a) nicht einfach und b) sicher nichts für Normaluser.

Es ging darum, erstmal viel „Sicherheitssoftware“ zu installieren. Das bringt nichts. Einen Virenscanner auf ner Boot-CD installiert man nicht. Man bootet von der CD. Eine Installation von Software auf dem kompromittierten System macht keinen Sinn.

Zwei Paketfilter ind in der Tat unsinnig. Der Router kann aber
durchaus ein kompletter Rechner sein

Und? Das ändert nichts, dass ein Rechner hinter dem Router keinen Paketfilter im allgemeinen braucht. Und es ging hier um Rechner hinter dem Router.

oder durch ein Portforwarding die Dienste eines anderen Rechners im
LAN nach außen zur Verfügung stellen.

Und? Wieso sollte der Rechner im LAN der diesen Dienst anbietet, dann einen Paketfilter brauchen?

Insofern ist ein Paketfilter mehr als sinnvoll, weil er z.B. einen
Port eine gewise Zeit schließen kann, wenn eine Authentifizierung
nach mehereren Versuchen nicht funktioniert hat.

Ein normaler Paketfilter erkennt nicht, ob eine SSH-Authentifizierung klappt oder nicht. Dazu bräuchtest du eine Application Layer Firewall, und sowas liegt sicher außerhalb des hier betrachteten Bereichs. Ein Paketfilter kann höchstens beschränken, dass nur eine gewissen Anzahl von SYNs o.ä. innerhalb eines bestimmten Zeitraums auftreten darf. DAS kann aber genauso gut der Paketfilter am Router machen. Eine schlüssige Erklärung, wieso ich einen Paketfilter dann am Client brauche, sehe ich auch hier nicht…

Was soll das bringen? Wenn mal ein Schadprogramm auf deinem
Rechner ist und sich Admin-Rechte verschafft hat, dann findet
Spybot S&D das ohnehin nicht mehr.

Das ist Unsinn!

Aha. Wieso?
Erkläre mir doch bitte, wie Spybot S&D ein Schadprogramm erkennen will, dass sich mit Admin-Rechten auf dem PC einnistet und sich mittels Rootkit-Techniken versteckt. Ganz zu schweigen, dass es dein Spybot S&D ganz einfach durch eine nutzlose Variante ersetzen könnte, ohne dass du es merkst.

Was soll das bringen? Wenn mal ein Schadprogramm auf deinem
Rechner ist und sich Admin-Rechte verschafft hat, dann findet
HijackThis das ohnehin nicht mehr.

Auch das ist Unsinn. Selbst im schlimmsten Fall, kann man
wenigstens erkennen, daß der Rechner angegriffen wurde, und
neu aufsetzen.

Programme wie Search and Destroy können ein
Auge auf Systemdatein haben, und warnen, wenn ein Programm
diese verändern will oder melden, wenn irgendwas Dinge in die
registry schreiben will.

Programme wie Search & Destory schieße ich als Malware mit Admin-Rechten erstmal einfach ab. Dann niste ich mich mittels Rootkit-Techniken im System ein und verursache einen Bluescreen. Der Anwender denkt sich, „Scheiss Windows“. Nach dem Neustart habe ich die Kontrolle und Spybot S&D ist nur noch ein netter Gag.

Nicht jedes x-beliebige Drecksprogramm, was irgendein
14jähriger, pickeliger nerd zusammenhackt übernimmt sofort
einen Rechner in diesem Umfang.

a)
Die Zeiten in denen 14jährige picklige Nerds die Mehrzahl der Schadprogramme basteln, die ist seit einigen Jahren vorbei. Heute werden Schadproramme v.a. benutzt um Kontodaten auszuspähen, Botnetze zu betreiben, SPAM zu versenden usw. Das sind alles Dinge die einen finanziellen Hintergrund haben und nicht aus Langeweile von pubertierenden Jungs gemacht werden.

b)
Natürlich nutzt nicht jedes Schadprogramm alle o.g. Möglichkeiten aus. Das habe ich auch nicht behauptet. Aber es gibt viele, die das tun. Und da du nicht weißt, was ein Trojaner nachgeladen hat, kannst du es auch nicht ausschließen, dass du so eins auf dem Rechner hast. Du kannst nicht mal überhaupt sagen, was das Ding alles bei dir auf dem Rechner getrieben hat. Es gibt dutzende schöne Einstellungen, an denen man drehen kann, um ein System zu schwächen und eine spätere Infektion wieder zu ermöglichen. Wie willst du das bitte feststellen?

Dein gesamter Post zeigt, daß
Du Dich auf ein ungesundes Halbwissen stützt und Dich weder
mit der Funktionsweise von Schadsoftware, noch mit Systemen um
diesen endgegenzuwirken ausreichend beschaftigst hast.

En d gegen deiner Meinung sehe ich das allerdings anders. Allein deine Ausführungen zu Paketfiltern tragen nicht gerade zur Unterstützung deines letzten Satzes bei.

Und die anderen 5% könnten es zwar, aber
surfen sowieso entweder mit 'nem Mac oder mit anderen *nixes…

Die 5% die es könnten, fangen sich aber in aller Regel schon gar nichts ein. Außerdem ist der Aufwand der betrieben werden muss, um die Malware entfernen zu können, um ein Vielfaches höher, als ein Image neu einzuspielen. Also macht man es aus diesem Grund auch schon nicht.

ein kompromittiertes System ist und bleibt versaut:

Das stimmt so nicht.
Hast du ein sauberes Backup, dann kannst du einfach Datei für Datei vergleichen und so manipulierte Dateien erkennen und diese durch das Original aus dem Backup ersetzen.
Dann noch die Passwörter und Schlüssel geändert, und fertig ist das saubere System ohne Neuaufsetzen.

Vorraussetzung ist aber, dass du nach jeder legalen Änderung der Systemdateien (z.B. Updates, Ändern von Konfigurationen usw) umgehend ein Backup davon machst, so dass du jederzeit von allen Systemdateien auf deinem Rechner eine saubere und aktuelle Kopie besitzt.

http://oschad.de/wiki/index.php/Kompromittierung

Das steht übrigens sogar in dem von dir zitierten Text:

Wenn ein sauberes Backup des Systems existiert oder Prüfsummen über das saubere System, können durch Vergleich Manipulationen aufgedeckt werden und der nächste Schritt kann übersprungen werden. Ist dies nicht möglich, so muss das System neu aufgesetzt werden.

ein kompromittiertes System ist und bleibt versaut:

Nö. Nur wird schon vorher vergessen, über die Sicherheit nachzudenken. Wer ein gehacktes System neu aufsetzt, ist entweder paranoid oder hat zuvor geschlampt und war zu faul - oder, in seltenen Fällen, lohnt sich der Aufwand nicht, weil zu viel glöscht wurde. Und Images vom Tag x einzuspielen - wer sagt denn, daß am Tag x noch alles sauber war?

http://sourceforge.net/project/showfiles.php?group_i…

Und die sind gegen Malware gefeit?

Gegen die üblichen 99,9% ja, denn die sind auf Windows zugeschnitten. Die anderen 0,1% sind meist ssh-Bots und ähnliches, nur wenige Promille sind auf *nixes zugeschnitten und werden wohl auch nur sehr gezielt eingesetzt. Und auch die bekommt man wieder weg - s.o.

Servus, deconstruct,

Hast du ein sauberes Backup

ein sauberes Backup ist kein kompromittiertes System ))

Wer eins hat, so wie Du und ich, ist fein raus¹. Wer nicht, installiert neu.

Gruß Ralf

¹Witzigerweise habe ich meine Backups erst einmal gebraucht, da aber nicht wegen eines Befalls, sondern wegen ganz tholl mutiger Eingriffe in die Registry - auch Sicherheitsfanatiker sind manchmal schlicht doof.

Gut…da diese Diskussion, wie immer, wenn es um Schadsoftware geht, daraufhinausläuft, daß man argumentiert jeder, der solche Software schreibt sein unfaßbar mächtig darin, und jeder Benutzt so abgrundtief unfähig, daß jede Art von Software, die versucht dererlei zu erkennen, von vorn herein in jedem Fall komplett hilf- und nutlos ist, und man ja eh keinerlei Möglichkeiten hätte, als das drohende Unheil abzuwarten, und wenn die Kiste in Flammen aufgeht neu aufzusetzen, spare ich mir jeglichen weiteren Kommentar in der Hinsicht.

Hallo Fritze

Aber den Einsatz von Viren- bzw. Malwarescannern als
„Schlangenöl“ zu bezeichnen, ist mindestens fahrlässig.

Warum? Es ist Schlangenöl.

Im Gegensatz zu Werbesprüchen der Hersteller geht es bei deren
Einsatz nicht in erster Linie um das Entfernen von Malware auf
infizierten Geräten, sondern um die Erkennung von
Schadsoftware.

Aber genau das können sie ja nicht hinreichend zuverlässig. Du hast eine Datei, von der Du weisst, dass sie verseucht sein könnte. Dann lässt Du sie von einem Virenscanner prüfen. Und weisst danach genau gleichviel: Die Datei könnte verseucht sein.

CU
Peter

LEUTE…
Es geht hier nicht um mich! XD
Ich habe beschrieben wie es bei mir aussieht und bisher scheint es zu funktionieren.

IHR Profis (falls ihr es denn seid) solltet dem Hilfesuchenden vielleicht mal beschreiben was er am besten machen soll.

MfG

LEUTE…
Es geht hier nicht um mich! XD

Du warst auch nicht gemeint (obwohl der ‚bloody_user‘ diese Vermutung natürlich nahelegt).

IHR Profis (falls ihr es denn seid) solltet dem Hilfesuchenden
vielleicht mal beschreiben was er am besten machen soll.

Sowas! Und ich hatte gedacht, genau das hätte ich in meiner Antwort auf Andi recht detailliert gemacht! Muss wohl ne Phantasmagorie gewesen sein.

/t/hacker-angriff-nachricht-in-offenem-wordfenster/4…

Entschuldige,
bei dem Hickhack scheine ich das wohl überlesen zu haben.
Dein Beitrag hilft in der Tat.

Hallo,

Aber den Einsatz von Viren- bzw. Malwarescannern als
„Schlangenöl“ zu bezeichnen, ist mindestens fahrlässig.

Warum? Es ist Schlangenöl.

Ist es nicht. Siehe unten.

Im Gegensatz zu Werbesprüchen der Hersteller geht es bei deren
Einsatz nicht in erster Linie um das Entfernen von Malware auf
infizierten Geräten, sondern um die Erkennung von
Schadsoftware.

Aber genau das können sie ja nicht hinreichend zuverlässig. Du
hast eine Datei, von der Du weisst, dass sie verseucht sein
könnte. Dann lässt Du sie von einem Virenscanner prüfen. Und
weisst danach genau gleichviel: Die Datei könnte verseucht
sein.

Du weißt erheblich mehr, als vorher. Du weißt, dass die Datei nicht mit einem der gut 500.000 Viren verseucht ist, die in der Signaturdatenbank Deiner Antivirensoftware bekannt sind.

Das ist erheblich mehr, als nichts. Und das ist um etliche Zehnerpotenzen besser, als eine halbe Million und vier (nocht nicht in der Signaturdatenbank enthaltene Viren) per „Brain“ zu erkennen.

Gruß

Fritze