Hallo,
am Wochenende wurde ich von einem Freund, der sich noch weniger mit Viren auskennt als ich, zu einem Problem mit seinem PC gerufen.
Er war auf einer „seriösen“ Internetseite gewesen, hatte dort aber noch nix angeklickt, als sein Freeware-Scanner schon Alarm schlug.
Als wir den PC gemeinsam hochfuhren kam nach dem Aufruf fast jedes Programmes eine Fehlermeldung, daß das Programm einen Fehler beim Speicherzugriff verursache. Somit ließ sich auch die AV-Freeware und der IE mehr starten.
Durch Zufall entdeckten wir, daß sich Progs sehr wohl starten ließen wenn man - während die Fehlermeldung über den unzulässigen Speicherzugriff noch am Desktop steht - die Anwendung nochmal startet. Scheinbar kann der Virus nur einen Programmaufruf abfangen.
Anschließend ließen wir das AV-PRG mehrmals einen Scan mit jeweiligem Neustart durchführen und es fand auch 2 Viren (einen HTML und einen JS).
Einen zweiten Glückstreffer erzielten wir, als wir den IE bei der Sicherheit auf „hoch“ stellten. Ab da waren alle Probleme mit Programmaufruf weg. Ein weiterer Scan fand dann nochmal was.
Mittels der „Infos“, die uns der Report der Scans lieferte, versuchten wir dann im Internet was über die Viren herauszufinden, aber Google konnte mit den Bezeichnungen nicht viel anfangen (JS/Dldr.Iframe.BM u.ä.). Was bedeuten denn diese Abkürzungen? HTML und JS sind klar, aber wofür steht der andere Müll? Und warum findet Google nur Seiten des AV-PRG-Herstellers? Sind die Namen etwa von denen „erfunden“?
Was mich auch sehr erstaunt hat ist die scheinbar sehr enge Verflechtung von XP mit dem IE. Daß die Sicherheitseinstellungen eines nicht laufenden IEs das Verhalten von XP so massiv beeinflussen hätte ich nie gedacht.
Ich hoffe, ihr könnt mir noch ein paar Tips geben und ein paar Erklärungen/Richtigstellungen zu meinen Beobachtungen.
Vielen Dank
Martin
Hi Martin
am Wochenende wurde ich von einem Freund, der sich noch
weniger mit Viren auskennt als ich, zu einem Problem mit
seinem PC gerufen.
Er war auf einer „seriösen“ Internetseite gewesen, hatte dort
aber noch nix angeklickt, als sein Freeware-Scanner schon
Alarm schlug.
ja, das böse Internet. Nicht nur Porno- und Crack-Seiten halten VIren bereit
Als wir den PC gemeinsam hochfuhren kam nach dem Aufruf fast
jedes Programmes eine Fehlermeldung, daß das Programm einen
Fehler beim Speicherzugriff verursache. Somit ließ sich auch
die AV-Freeware und der IE mehr starten.
Anschließend ließen wir das AV-PRG mehrmals einen Scan mit
jeweiligem Neustart durchführen und es fand auch 2 Viren
(einen HTML und einen JS).
Einen zweiten Glückstreffer erzielten wir, als wir den IE bei
der Sicherheit auf „hoch“ stellten. Ab da waren alle Probleme
mit Programmaufruf weg. Ein weiterer Scan fand dann nochmal
was.
Mittels der „Infos“, die uns der Report der Scans lieferte,
versuchten wir dann im Internet was über die Viren
herauszufinden, aber Google konnte mit den Bezeichnungen nicht
viel anfangen (JS/Dldr.Iframe.BM u.ä.). Was bedeuten denn
diese Abkürzungen? HTML und JS sind klar, aber wofür steht der
andere Müll? Und warum findet Google nur Seiten des
AV-PRG-Herstellers? Sind die Namen etwa von denen „erfunden“?
yep. sozusagen. Jeder A-Virus-Programmierer hat da so sein eigenes System, die VIren zu benennen, zumal, wenn es sich um neue handelt. MEist bürgert sich dann zwar relativ schnell ein gemeinsamer Name ein, wenn der Virus einigermassen verbreitet ist, aber Regeln gibt es nicht dafür.
Was mich auch sehr erstaunt hat ist die scheinbar sehr enge
Verflechtung von XP mit dem IE. Daß die
Sicherheitseinstellungen eines nicht laufenden IEs das
Verhalten von XP so massiv beeinflussen hätte ich nie gedacht.
mit der Sicherheitseinstellung auf hoch hast du vermutlich Javascript ausgeschaltet, so dass die auf JS basierenden Malware nicht mehr aktiv sein konnte.
Ich hoffe, ihr könnt mir noch ein paar Tips geben und ein paar
Erklärungen/Richtigstellungen zu meinen Beobachtungen.
ein naheliegender Tipp ist: benutze einen anderen Browser als IE, zB Ferefox oder Opera. Die meisten Browser-Hijacker funzen nur beim IE.
Weitere Tipps kannst du hier nachlesen:
http://www.comsafe.de/regeln.html
Gruss
ExNicki
Hallo Martin
(JS/Dldr.Iframe.BM u.ä.). Was bedeuten denn diese Abkürzungen?
JS = Javascript
Dldr = Downloader -> Das Ding lädt irgendwelche Sachen aus dem Internet
Iframe = eingebettete Frames
BM = Wohl die Versionsbezeichnung
Das Ding ist also wohl in ein Iframe eingebettet und sorgt dafür, dass irgendwelche Daten aus dem Internet geladen werden, wenn eine Webseite, die mit dem Ding präpariert wird, aufgerufen wird. Vermutlich wird eine Backdoor-Komponente heruntergeladen und installiert, damit der Urheber des Schädlings Zugriff auf die betroffenen Rechner erhält.
Und warum findet Google nur Seiten des
AV-PRG-Herstellers? Sind die Namen etwa von denen „erfunden“?
Ja, jeder kocht da sein eigenes Benamsungssüppchen.
Was mich auch sehr erstaunt hat ist die scheinbar sehr enge
Verflechtung von XP mit dem IE.
Das ist aber nichts Neues. Gibts spätestens seit Win98. Was ja einer der vielen Gründe ist, warum der IE als Webbrowser eigentlich ungeeignet ist. Sicherheitslücken im IE haben viel häufiger massive Auswirkungen auf das gesamte Betriebssystem.
Ich hoffe, ihr könnt mir noch ein paar Tips geben und ein paar
Erklärungen/Richtigstellungen zu meinen Beobachtungen.
Daten sichern, Rechner formatieren und neu aufsetzen. Denn Ihr wisst beide nicht, was der Downloader schon alles heruntergeladen hat. Ihr wisst auch nicht, was sich sonst noch für Schädlinge auf dem Rechner tummeln, von denen Dein Kumpel nur noch nichts gemerkt hat.
Bitte beim Neuaufsetzen unbedingt darauf achten, das aktuelle Service Pack (SP3) und alle Treiber offline zu installieren und erst dann wieder ins Internet zu gehen, wenn das System soweit vorbereitet ist. Bitte auch gleich nach Möglichkeit einen Benutzer mit eingeschränkten Rechten anlegen, mit dem Dein Kumpel in Zukunft arbeitet. Dann haben es allfällige Schädlinge deutlich schwerer, das System komplett zu verseuchen.
CU
Peter