Trojaner

Internet Internet Sicherheit
#1

Hallo,

wie kann man feststellen, ob man einen Trojaner auf dem PC hat?

Vielen Dank für Eure Antworten im Voraus!

Gruß
Malu

#2

Hi Malu

wie kann man feststellen, ob man einen Trojaner auf dem PC
hat?

oh, da gibt es verschiedenes

  • mit einem Virenscanner
  • mit einem Virenscanner mit eigenem Betriebssystem, zB
    http://www.free-av.de/de/tools/12/avira_antivir_resc…
  • wenn dein Konto plötzlich im Minus ist
  • wenn überraschend viel Internetaktivität ist, auch wenn du nicht surfst
  • wenn dein Antivirprogramm durch Geisterhand abgeschaltet wird
  • wenn du unerklärliche Fehlermeldungen bekommst
  • usw

Gruss
ExNicki

#3

Aber keines dieser Merkmale ist zuverlässig. Es gibt ein nicht geringe Rate, bei denen Trojanische Pferd nicht erkannt werden oder bei denen es „Fehlalarme“ gibt.

Insbesondere Virenscanner werden in ihrer Zuverlässigkeit inzwischen hoffnungslos überschätzt.
Beim aktuell gefährlichsten „Trojaner“ namens ZeuS haben die Hälfte der befallenen Systeme eigentlich einen Virenscanner installiert.

Ciao, Allesquatsch

1 Like
#4

Aber keines dieser Merkmale ist zuverlässig. Es gibt ein nicht
geringe Rate, bei denen Trojanische Pferd nicht erkannt werden
oder bei denen es „Fehlalarme“ gibt.

Insbesondere Virenscanner werden in ihrer Zuverlässigkeit
inzwischen hoffnungslos überschätzt.
Beim aktuell gefährlichsten „Trojaner“ namens ZeuS haben die
Hälfte der befallenen Systeme eigentlich einen Virenscanner
installiert.

Genau…deswegen verzweifeln wir jetzt alle und werfen unsere Sicherheitssoftware über Board, so wir mir hier eh ständig erzählt wird. Denn daß es potenziell einzene Angriffe gibt, gegen die meine Software mir nicht helfen kann, heißt ja gleichzietig, daß sie mir auch in keinem anderen Fall findet.

1 Like
#5

Genau…deswegen verzweifeln wir jetzt alle und werfen unsere
Sicherheitssoftware über Board, so wir mir hier eh ständig
erzählt wird.

Hallo Lorgarn,

wollte schon auf Deinen Beitrag neulich reagieren. Denn ich denke, dass Du mich missverstehst und unsere Einschätzungen recht ähnlich sind.

Natürlich ist auf Windowssystemen ein Online-Virenscanner mit regelmäßiger Aktualisierung eine absolute Notwendigkeit.

Denn damit kann man einen Teil der Schadsoftware im Moment der versuchten Infektion erkennen und den Befall verhindern.
Ein Virenscan von einem sauberen Bootmedium kann weitere Schädlinge finden, erkennt aber nur, dass das System schon infiziert ist, also das Kind bereits in den Brunnen gefallen ist. Und die Bereinigungsoptionen sind ähnlich unzuverlässig wie die Erkennungsquote.

Viele Laien nehmen Virenscanner aber als Allheilmittel wahr, die man nur installieren und laufen lassen müsse. Und vernachlässigen darüber andere Maßnahmen, die mindestens genauso wichtig sind bzw. unbedingt dazugehören:
Den laufenden Einsatz des gesunden Menschenverstand s, eine saubere Installation (Daten und System getrennt) und regelmäßige Datensicherungen.
Genauso wie Laien auf ihrem Rechner gerne solange sinnlose Software installieren, bis die Kiste so lahm und instabil wird, dass dann der Schrei „Ich habe einen Virus!“ kommt. Und weil sie keine ordentlichen Sicherungen gemacht haben, es auch nicht schaffen, ohne Datenverlust in 30 Minuten wieder clean zu sein.

Ciao, Allesquatsch

2 Like
#6

Hallo Allesquatsch,

zu Zeus:

  1. Dieser Virus verbreitet sich über E-Mail-Anhänge und versucht Bankdaten zu stehlen. Infizierte Mails dürften aber einem Spamfilter aufgrund unterschiedlicher Merkmale auffallen und aussortiert werden.

  2. E-Mail-Anhänge unbekannter Absender öffnet man generell nicht.

  3. Wohl dem der VISTA oder Windows 7 hat: Der Defender wird den Installationsversuch dieser Schadware (wie auch jeder anderen Software), wenn sie die ersten beiden Hürden genommen hat, erkennen und davor warnen.

  4. Glaubt man der dunklen Einschätzung der Firma Trusteer, so bietet ein aktueller Virenscanner immerhin noch einen zusätzlichen Schutz von 23 % gegenüber einen ungeschützten System, falls sich der Virus auf einem System trotz anderen Schutzmaßnahmen (siehe 1-3) einnisten konnte.

Technische Schutzmaßnahmen und Verstand, wie von dir angesprochen, helfen auch gegen ZeuS. In diesem Fall nützt bei einem bereits infizierten System ein Virenscanner nach Trusteer nicht zuverlässig. Bei anderen Bedrohungen aber wohl. Ein Verzicht auf einen Virenscanner ist also fahrlässig.

Es kommt also darauf, dass man mehre Hürden errichtet, die eine Malware zu überwinden hat. Dann kommt man auch mit Zeus klar.

Grüße Culles

1 Like
#7
  1. Dieser Virus verbreitet sich über E-Mail-Anhänge und
    versucht Bankdaten zu stehlen. Infizierte Mails dürften aber
    einem Spamfilter aufgrund unterschiedlicher Merkmale auffallen
    und aussortiert werden.

Leider eher falsch. Der Verbreitungsweg über E-Mails ist anteilsmäßig inzwischen deutlich zurückgegangen. Bei der Infizierung über präparierte Web-Seiten oder untergeschobene Softwareinstallationen (Scareware, Codecs usw.) kann der Spamfilter nicht helfen.
ZeuS ist eine hochprofessionelle Softwaresuite, die verschiedene Verbreitungswege beherrscht und ähnlich wie die Virenscanner kontinuierlich aktualisiert wird.
Die Gefährlichkeit liegt auch daran, dass sich diese Schadsoftware exzellent tarnen kann, in dem sie sich immer neue Formen gibt und Scanner durch Rootkit-Mechanismen täuscht.

  1. E-Mail-Anhänge unbekannter Absender öffnet man generell
    nicht.

Nicht einmal die von bekannten Absendern, wenn ich den Inhalt nicht erwarte. Früher hat man gerne die Outlook-Adressen missbraucht, heute auch schon Kontakte aus Social Communitys, um einen glaubwürdigen Absender zu simulieren.

  1. Wohl dem der VISTA oder Windows 7 hat: Der Defender wird
    den Installationsversuch dieser Schadware (wie auch jeder
    anderen Software), wenn sie die ersten beiden Hürden genommen
    hat, erkennen und davor warnen.

Leider sind die Erkennungsraten nicht mehr so hoch wie früher. Zwar gibt es sehr viele altbekannte Schädlinge, die recht zuverlässig erkannt werden, aber leider gilt es nicht umgekehrt, dass aktuelle Schädlinge genauso gut erkannt werden.

  1. Glaubt man der dunklen Einschätzung der Firma Trusteer, so
    bietet ein aktueller Virenscanner immerhin noch einen
    zusätzlichen Schutz von 23 % gegenüber einen ungeschützten
    System, falls sich der Virus auf einem System trotz anderen
    Schutzmaßnahmen (siehe 1-3) einnisten konnte.

Immerhin wird dieser Einschätzung in Fachkreisen nicht widersprochen. Aktuelle Lagebeurteilungen kann man auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik nachlesen.

Technische Schutzmaßnahmen und Verstand, wie von dir
angesprochen, helfen auch gegen ZeuS. In diesem Fall nützt
bei einem bereits infizierten System ein Virenscanner nach
Trusteer nicht zuverlässig. Bei anderen Bedrohungen aber wohl.
Ein Verzicht auf einen Virenscanner ist also fahrlässig.

Falsche Interpretation: Es geht nicht um Unzuverlässigkeit eines Virenscanner nach dem Befall. Vielmehr kann davon ausgegangen werden, dass der Großteil der Befallenen schon vorher einen aktuellen Scanner aktiv hatten.
Es ist halt wie bei Sicherheitstechnik im Auto: ABS, Airbag, ESP und ähnliche Systeme sind wichtige Hilfsmittel - aber sie sind immer nur Ergänzung zu verantwortungsvoller Fahrweise und können Unfälle nie ganz verhindern. Ein Verzicht ist trotzdem fahrlässig.

Es kommt also darauf, dass man mehre Hürden errichtet, die
eine Malware zu überwinden hat. Dann kommt man auch mit Zeus
klar.

Leider ist ZeuS kein Einzelfall und man wird in den nächsten Jahren neue Konzepte finden müssen. Zumindest ist es ratsam, seinen Rechner bestmöglich abzusichern und beim Online-Banking auf sichere Plattformen zu setzen.

#8

Hallo,

nach einer Veröffentlichung von virenschutz.info vom 18.2.2010 findet Zeus seine Verbreitung über E-mail (http://www.virenschutz.info/beitrag-Zeus-Trojaner-re…). Die von dir angegebene Verbreitungswege sind theoretisch möglich, aber nicht belegt. Wenn durch den Besuch einer Webseite eine Software versucht sich zu installieren, wird dies von modernen Browsern gemeldet. Beim IE8 z.B. ist unter VISTA nur dann eine Installation möglich, wenn der Benutzer, selbst wenn er Administrator ist, zustimmen muss.
Ich habe keine Probleme damit, wenn ein Freund mir eine E-Mail mit Anhang schickt. Sollte tatsächlich der Absender gefälscht sein, wird in der Regel ein Spamfilter dieses Aufgrund verschiedener Merkmale erkennen.
Der Defender meldet jeglichen Installationsversuch einer Software, auch wenn er ggf. den Übeltäter selbst nicht kennt.
Greifen die zuvor aufgeführten Schutzmaßnahmen nicht, bieten nach Trusteer auch die meisten aktuelle Virenscannern keinen Schutz. 23 % der Virenscanner wohl, leider sind sie nicht veröffentlich. (Ich habe auf einem infizierten System z.B. mit Hilfe des bekannten Programms Malwarebytes ZeuS gefunden.)
Man sollte auch nicht vergessen, dass eine Firewall einen Schutz vor dem Versenden von Daten bietet.
Ich persönlich benutzte zusätzlich einen DNS-Sever, der mir den Besuch zwielichtige Seiten vereidelt.
Alle Schutzmaßnahmen zusammen erlauben es, auch auf einem modernen Windows-System am Online-Banking teilzunehmen. Funktionieren alle Schutzmaßnahmen gleichzeitig nicht, könnte der Angreifer Login-Name, Passwort und eine TAN abfangen. Dies TAN ist aber sofort nach einer Transaktion wieder wertlos, d.h. der Angreifer kann nach dem ich meine Transaktion durchgeführt habe, keine Transaktion mehr mit der ausspionierten TAN durchführen.
Auf gefakten Banking-Seiten wird daher der Angreifer die Eingabe mehrere TANS anfordern, ein auffälliges Merkmal, bei dem die Alarmglocken läuten sollten. Wenn ich dennoch dieser irrsinnigen Aufforderung folge, ist immer noch Schutz gewährleistet, da der Angreifer zwar gültige TANS erhält aber die Zuordnung der TANS zur Ordnungsziffer nicht kennt, da er ja keine Tanliste hat und damit die TANs nahezu wertlos werden.

Es ist höchst unwahrscheinlich, dass alle Sicherungsmaßnahmen versagen. Und so wie die Angreifer ihre Methoden verfeinern, so verbessern natürlich auch die Schutzware-Hersteller ihre Produkte.
Dass man seinen Rechner bestmöglichst absichern soll und das auch durch den Aufbau eines Schutzsystems funktioniert, steht für mich außer Zweifel. Ein Systemwechsel zum Schutzes des Online-Bankings haltet ich derzeit nicht für erforderlich. Auch die Banken und die Bundesanstalt für Sicherheit in der Informationstechnik haben bisher keine entsprechende Empfehlung ausgesprochen.

Grüße Culles

#9

Alle Schutzmaßnahmen zusammen erlauben es, auch auf einem
modernen Windows-System am Online-Banking teilzunehmen.
Funktionieren alle Schutzmaßnahmen gleichzeitig nicht, könnte
der Angreifer Login-Name, Passwort und eine TAN abfangen. Dies
TAN ist aber sofort nach einer Transaktion wieder wertlos,
d.h. der Angreifer kann nach dem ich meine Transaktion
durchgeführt habe, keine Transaktion mehr mit der
ausspionierten TAN durchführen.

Hier bist Du leider nicht auf dem aktuellen Stand der Technik. Aktuelle Trojaner nutzen die eingegebene TAN für ihre eigene Überweisung und schaffen es sogar, die Anzeige so zu manipulieren, dass der Anwender seine scheinbar ausgeführte Überweisung auf dem Bildschirm angezeigt bekommt. Die filtern einfach den Netztraffic.

Selbst bei den mTANs, die ans Handy geschickt werden, gab es bereits erfolgreiche Angriffe.

Es ist höchst unwahrscheinlich, dass alle Sicherungsmaßnahmen
versagen. Und so wie die Angreifer ihre Methoden verfeinern,
so verbessern natürlich auch die Schutzware-Hersteller ihre
Produkte.

Diese Glaube an den Endsieg fehlt mir. Ich befürchte, dass wir im Gegenteil schon den Wendepunkt überschritten haben und uns nur noch Rückzugsgefechte liefern. Rein von den nackten Zahlen her kann die Kampf gegen Schadsoftware mit den bisherigen Konzepten nicht mehr gewonnen werden.

Zwar sind die individuellen Chancen gehackt zu werden, noch relativ gering. Aber die Schadenshöhen rechtfertigen, hier mehr Aufwand und Komfortverzicht zu betreiben.

Aber wir leben zum Glück in einem freien Land, in dem jeder selbst entscheiden kann. :smile:

Hier noch ein Link mit Hintergrundinformationen über die Gefährdung und Technik aktueller Botnetze:

http://www.viruslist.com/de/analysis?pubid=200883691

Ciao, Allesquatsch

#10

Hallo zusammen,

vielen Dank für die vielen Beiträge.
Ist es möglich, dass ein Konto auch dann abgeräumt werden kann, wenn man verfügt hat, dass die Online-Überweisungen ausschließlich auf das eigenes Referenzkonto gehen?
Gruß
Malu

#11

Hallo,

das Verfahren der iTAN, wie von mir geschildert, gilt als sehr sicher. Der von dir geschilderte Man-in-the-middle-Angriff per Virus ist rein hypothetisch. So ca. ein Jahr wird bereits darüber spekuliert, aber bisher sind mir keine konkrete Fälle bekannt, wo ein derartiger Angriff bereits erfolgreich war. Und wie bereits ausgeführt, ist die Installation einer derartigen Schadware nahezu durch die vorgelagerten Schutzmaßnahmen ausgeschlossen.
Andererseits, ein Restrisiko besteht wie bei allen Alltäglichkeiten. Man sollte es aber nicht überbewerten, wie leider immer wieder geschehen. Die Verunsicherung der PC-Anwender trägt daher bereits Früchte: Immer mehr fingierter Sicherheitsprogramme (auch Rogue Security Software oder Scareware genannt) sind im Umlauf. Einige dieser Programme sind einfach nur lästig, andere versprechen gegen Bezahlung einen Schutz den es nicht gibt, und manche stehlen auch gleich noch ein paar persönliche Daten.

Grüße Culles

#12

das Verfahren der iTAN, wie von mir geschildert, gilt als sehr
sicher. Der von dir geschilderte Man-in-the-middle-Angriff
per Virus ist rein hypothetisch.

Leider ist Dein Sachstand recht veraltet.

Denn was Du als hypothetisch annimmst, ist schon seit längerem in der freien Wildbahn. Man-in-the-middle ist der Trojaner als Proxy auf dem Client. Mit der Einführung der iTAN gab es zwar einen starken Rückgang entsprechender Missbräuche, der aber nur temporär war. Die kriminelle Szene hat sich angepasst und inzwischen sind wir auf dem Weg zum alten Niveau. (Mein Sachstand von 04/2010 aus Vorträgen von BSI, BKA und Ruhruni Bochum)
iTANs werden nicht mehr (so häufig) per Phishing kompromittiert, sondern im Moment der Nutzung beim Onlinebanking geraubt: Es wird einfach Empfänger und Summe ausgetauscht und zwar in beide Richtungen: Beim Abschicken zur Bank und bei der Bestätigung der Bank wieder in die Gegenrichtung.
Zwar noch nicht so weit verbreitet, aber schon ein Praxisfall.

Andererseits, ein Restrisiko besteht wie bei allen
Alltäglichkeiten. Man sollte es aber nicht überbewerten, wie
leider immer wieder geschehen. Die Verunsicherung der
PC-Anwender trägt daher bereits Früchte:

Du verzeihst, wenn ich mir diesen Hut nicht aufsetze. Ähnlich wie früher mal „Aktenzeichen XY“ bedeutet Aufklärungsarbeit auch immer, dass Menschen die trügerische Sicherheit Ihrer Unkenntnis verlieren.
Trotzdem gilt: Man halte sich an ALLE Empfehlungen (siehe „BSI für Bürger“) und bleibe kritisch und wachsam.
Die Installation irgendwelcher Sicherheitssoftware ersetzt in keinem Fall die entsprechende Vorsicht. Heute verbreiten sich Schädlinge eher beim Surfen als durch klassische E-Mail-Anhänge.

Immer mehr
fingierter Sicherheitsprogramme (auch Rogue Security Software
oder Scareware genannt) sind im Umlauf. Einige dieser
Programme sind einfach nur lästig, andere versprechen gegen
Bezahlung einen Schutz den es nicht gibt, und manche stehlen
auch gleich noch ein paar persönliche Daten.

Bei Scareware gibt’s so viele Überraschungen auf einmal, da können Ü-Eier nicht mithalten:

  1. Das Opfer installiert sich mit dem vermeintlichen Virenschutz erst den fiesen Trojaner.
  2. Das Opfer gibt seine Kommunikationsdaten preis. (Name, Adresse, E-Mail usw.)
  3. Das Opfer überweist Geld dafür, dass es den Trojaner installieren darf.
  4. Das Opfer gibt noch seine Zahlungsinformationen preis. (verifizierte Kreditkartendaten)
  5. Das Opfer fühlt sich sicherer und ist arglos gegenüber seinem neuen „Helfer“.

Allerdings basiert das Angriffsszenario darauf, dass das Opfer keine Ahnung von seinem Rechner hat. Üblicherweise bekommt man eine Flash-Animation vorgespielt, die für alle Systeme gleich ist. Gefährdet sind vor allem die, die nicht mal erkennen, dass man selbst gar kein englischsprachiges Windows Vista und mit den entsprechenden Laufwerke hat.
Verständnis des eigenen Rechners ist deshalb elementar, um Betrügern nicht auf den Leim zu gehen.

#13

Hallo,

Herr Manske vom BKI redet für 2008 (das sind die aktuellen Daten) von etwa 1800 erfolgreichen Pishing-Attacken. Wie viele davon iTAN-Attacken waren, hat er uns bisher nicht verraten. Es gibt auch keine Statistik, wie die betroffenen Systeme geschützt waren. Herr Manske zitiert ein iTAN-Fall, wo ein verliebter Zeitgenosse seine Computerdaten einer Internetbekanntschaft und Russland gegeben hat, und es dort zum Missbrauch kam. Aso nicht gerade ein alltäglicher Fall.
Zum Vergleich: 2008 gab es 2266 Gewaltverbrechen mit tödlichem Ausgang. Gefälschte Überweisungen im Zahlungsverkehr (ohne Internetbanking) gab es 16 039. Das macht es vielleicht auch für dich einfacher, das Risiko abzuschätzen.

Culles

#14

Steigerung in 2009: 64%

Herr Manske vom BKI redet für 2008 …

Sag ich doch, Dein Sachstand ist nicht ganz up-to-date :wink:

Veröffentlichung der neuesten Lagedaten zur Informations- und Kommunikationskriminalität
Bonn/ Wiesbaden/ Berlin, 12.05.2010

https://www.bsi.bund.de/cln_174/ContentBSI/Presse/Pr…

Allerdings hast Du damit Recht, dass die angezeigten Schadensfälle vergleichsweise gering sind. Schließlich führt nicht jeder gekaperte PC zum Missbrauch des Online-Bankings. Man kann ja damit auch Spammen und dDoS-Angriffe starten.

Die tatsächlichen Fälle mit Finanzschaden sind aber höher, denn im Gegensatz zu Tötungsdelikten wird nicht jeder Fall beim BKA registriert. Und André Dornbusch, Kriminalkommissar beim Bundeskriminalamt hat vorab die Zahlen so kommentiert, dass geschätzt nur 25% der örtlich angezeigten Fälle von den lokalen Polizeistellen entsprechend kategorisiert ans BKA gemeldet werden.

Dass es mit der Sicherheit der iTAN nicht so weit her ist, wie Du meinst, sieht man an der Steigerung bei „Phishing Onlinebanking“ von 2008 auf 2009.

Trotzdem dürfte es so wahrscheinlich sein, wie in einen schweren Verkehrsunfall verwickelt zu werden.

Doch dort investiere ich persönlich auch - ohne großes Nachdenken - mehr Geld als in meinen ganzen Computer: 5 Sterne im Crashtest, 7 Airbags, ABS, ESP, Bremsassistent, Gurtkraftbegrenzer und -straffer.

Bei der Sicherheit von PCs sind wir etwa dort, wo man in den Sechzigern beim Automobilbau ware: Stoßstangen und eine Christopherus-Medaille am Rückspiegel.

#15

Hallo,

die 64 % beziehen sich nicht auf die iTan-Attacken sondern auf die Computerkriminalität allgemein, wobei dabei noch nicht einmal genannt ist, ob es sich dabei um Veränderungen gegenüber dem Vorjahr handelt oder nicht. Auch findet sich keinerlei Hinweise auf eine ggf. verstärkte Nutzung des Onlinebankings, auf die man die Straftaten ja beziehen muss. Jedenfalls stehen belastbare Daten, auf die sich auch unsere Entscheidungsträger stützen, für das Jahr 2009 noch nicht zur Verfügung.
Allgemeines Bla Bla und Panikmache ist zwar wirtschaftlich einträglich, hilft aber nicht wirklich den potentiellen Opfern. Hier hilft nur eine sachliche Aufklärung.

Um es auf den Punkt zu bringen:
Die Wahrscheinlichkeit, dass ich morgen erschlagen werde, ist größer, als dass mein Konto beim Internetbanking durch eine Attacke abgeräumt wird, wenn ich die anerkannten Schutzmaßnahmen befolge. Die Gefahr, dass beim normalen Zahlungsverkehr mein Konto geplündert wird, ist dagegen deutlich höher.
Das entbindet mich allerdings nicht von meiner Sorgfaltspflicht.

Culles