Erfahrungen & Bewertungen zu IT-Service mobil
IT-Service mobil

IT-Service mobil

IT-Service mobil
Seit 1999 erfolgreich im IT-Servicebereich

IT-Leasing

IT-Leasing
Liquidität sichern durch Leasing von Systemen

Vor-Ort-Service

Vor-Ort-Service
Lösung von IT-Problemen direkt vor Ort

Fehleranalyse

Fehleranalyse
Datenbank mit Lösungen zu Hard- und Software

Referenz

Referenz
Alles auf einem Blick - Dosbefehle, ASCII, Unicode
  • Info
  • Termin
  • News

IT-Service mobil

Seit 1999 arbeiten wir im Service rund um IT-Lösungen für Unternehmen. In Fragen zu Hard- und Software, der Sicherheit von Daten und Optimierung von Anwendungen stehen wir unseren Kunden im Business-, Home-Office oder Privat-Bereich beratend zur Seite.

Ergänzend schulen wir Mitarbeiter für die Optimierung von Arbeitsabläufen oder im Rahmen der Prüfungsvorbereitung bei der IHK.

Termin

Schutz für Computer und Daten vor Angriffen aus dem Internet oder externen Datenträgern

Virus, Rootkit, Bot

Riskante eMail-Anhänge

Die Verbreitung von Viren schreitet immer mehr voran. Es wird immer ausgefeilter getarnt, um die Viren auf fremde Rechner unterzubringen. Im überwiegenden Teil ist der Anwender selbst schuld, wenn sich Viren, Trojaner, etc. auf dem Rechner verbreiten. Sie lassen sich von Texten in eMail's verleiten Anhänge zu öffnen und installieren somit den Trojaner selbst. Ein weiterer Fehler ist nach einer Neuinstallation des Betriebssystem ohne aktiver Firewall online zu gehen um Treiber, Updates oder Programme aus dem Netz zu laden. Nach der Einwahl installieren sich Trojaner im Hintergrund, können sich also frei tummeln durch die noch offen stehenden Ports.

Maschinencode

Anfänge der Viren waren in so genannten Programmdateien versteckt, die mit den Endungen .exe, .com, .bat. Sie sind die gefährlichsten, getarnt in nicht lesbaren Binärformat. Gestartet übernimmt das Programm die volle Kontrolle über das System und kann es über die aktuelle Sitzung hinaus kontrollieren. Getarnt kann eine .com Datei als Internetadresse (www.tolle.downloads.com) werden, in der man auf einen harmlosen Link vertraut, aber statt eine Webseite zu erhalten ein Programm startet. Eine andere Tarnung ist .exe-Dateien mit markanten Namen (Liesmich.exe) zu versehen, wo eine Textdatei vermutet wird, die aber ebenfalls ein Programm startet.

Getarnter Maschinencode

Als Bildschirmschoner in der Endung .scr getarnt, oder die für den Windowsrechner vorgesehene Extension .pif bieten Virenprogrammierern eine gute Möglichkeit Maschinencodedateien zu tarnen. Häufige Tarnvariante sind angebliche Word Dateien (Handbuch.doc.pif).

Interpretierter Doscode

Die Batchdateien .bat dienen zur Abarbeitung eines Kommandostapels mit Dos-Befehlen und werden mit Doppelklick aktiviert. Unter Windows steht zusätzlich die Möglichkeit in Batchdateien rundll Aufrufe oder Registry Importe möglich sind. Batchbefehle können maskiert werden und in eine normale Textverarbeitungsdatei verstecken. Diese enthält neben dem normalen Text eine Reihe von Kommandos, die dann in den Interpreter command oder cmd geleitet werden.

Interpretierter Scriptcode

Dieser überwiegend lesbare Textcode wird in Dateien mit der Extension .js, .jse, .vbs, .vbe, .wsf, .php, .htm, .hta als Grundlage für die Verbreitung von Viren und Trojaner verwendet. Das gefährliche an diesen Dateien ist, dass diese ohne Nachfrage vom Script Interpreter und Windows Explorer gestartet und verarbeitet werden. Beliebte Tarnung sind auch hier so genannte .txt-Dateien (Fehlerprotokoll.txt.vbs).

Interpretierte Makros

Ausführbare Dateien für die Officeprogramme Word, Excel und Access sind interpretierte Makros, die z. B. wiederkehrende Aktionen in einer Abfolge von Befehlen abarbeiten. Diese finden sich in den Extensionen .doc, .xls, .mdb und .ppt. Lange Zeit war dies auch eine beliebte Art Viren zu verbreiten. Erst mit den Windows-Versionen 2000 und xp wurde dies für Programmierer durch den Makrovirenschutz erschwert.

Installations-Scripts

Bekannt aus der Treiberinstallation sind die .inf-Dateien, die nicht durch Doppelklick aktiviert werden können. Dieser öffnet die Datei nur zum Editieren und führt diese also nicht aus. Also ein Vorteil gegenüber interpretierte Codes oder Makros. Anders handelt es sich bei den Autorun.inf Dateien auf CD/DVD's. Der enthaltene Befehlssatz startet automatisch ein bestimmtes Programm und stellt somit eine Gefahr dar.

Registry-Import

Dateien mit der Endung .reg dienen zur Änderung von Einträgen in der Registrierdatenbank. Getarnt über Script oder Link werden diese erfolgreicher eingeschleust als über einen Doppelklick, da dieser ein Dialogfenster öffnet und dessen Inhalt leicht nachvollziehbar ist. Ist der getarnte Import erfolgreich werden Trojaner mit Windows gestartet und die Registry Einträge werden gegen löschen geschützt. Eine weitere Variante des Eintrags ist die Aushebelung von Firewalls und Virenscannern.

Links und Verknüpfungen

Zeigerdateien, die als .lnk, .url und .wsh auf weitere Dateien verweisen, die entsprechende Trojaner oder Viren zu installieren. Sie können Icons tragen, die Endungen verbergen und z. B. als normale .txt-Dateien dargestellt werden. Weitere Gefahren können aus den Extensionen .rtf, .pdf, .scf, .isp, .chm, .shs und .shb hervorgehen.

Um die Gefahren zu minimieren sollte unter anderem vermieden werden Patches für das Betriebssystem von anderen Seiten statt der Herstellerseiten herunter zu laden. Bei eMail-Anhängen sollten nur Anhänge geöffnet werden, wenn diese von bekannten Personen geschickt wurden, die auch explizit auf den Anhang verweisen. Ist dies nicht der Fall dann wurde der Anhang von einer weiteren Person hinzugefügt. Vorsicht ist auch geboten, wenn von Unternehmen Anhänge geschickt werden, die nicht angefordert wurden. Auch Links zu Internetpräsenzen sind mit Vorsicht zu genießen. Immer mehr wird auf gefälschte Internetpräsenzen gesetzt, um an Daten (Banken) von Kunden zu kommen.

Eine entscheidende Verbesserung bringt auch die Änderung der Registrierung unter dem Schlüssel Hkey_ Classes_Root\ InternetShortcut, wo die Parameter IsShortcut und NeverShowExt gelöscht werden sollten. Diese Maßnahme bewirkt, dass Internetverknüpfungen mit der verborgenen Extension url angezeigt werden und so vermieden wird, dass Links zu gefährlichen Websites als vermeintliche Textdatei untergeschoben werden. Außerdem werden die Verknüpfungspfeile mit Löschen der IsShortcut, wie bei den Desktop Verknüpfungen entfernt.

Werden öfter CD's ausgetauscht, ist es ratsam die Autoplayfunktion der Laufwerke zu unterbinden, da auch hier eine Gefahr durch Trojaner und Viren drohen. Im Registry Schlüssel Hkey_Local_Machine\System\CurrentControlSet\Services\CDROM wird der Wert für den Parameter Autorun auf 0 gesetzt. Nach einem Neustart ist diese Änderung aktiv. Für USB-Sticks, Wechselplatten und Speicherkarten muss der Schlüssel Hkey_Current_User\Software\ Micrososft\Windows\ Current-Version\ Policies\Explorer mit einem neuen DWORD-Eintrag (NoDriveTypeAutoRun) ergänzt werden und in dessen Wert ffffff eingetragen wird.

Botnetze

Der Begriff für Botnetze setzt sich zusammen aus einem ferngesteuerten Programm (Bot), dass meist ohne dass Sie es wissen auf Ihrem PC arbeitet. Die Zusammenfassung aller mit diesem Programm infizierten Computer werden zu einem eigenen Netzwerk (Netze) zusammengeschaltet. Die Zahl der ferngesteuert zusammengeschalteten Computer schwangt zwischen mehreren Tausend oder mehreren Millionen infizierten Rechnern. Vermutet wird, dass ein Viertel aller Rechner am Botnetz hängen. Und vermutlich ist Ihr PC einer von ihnen. Denn infizieren kann man sich durch eMail-Anhänge, die heruntergeladen sich erst einmal ruhig verhalten, bis sie quasi per Knopfdruck mit einem Kommandoparameter aktiviert werden. Der PC läuft ganz normal weiter, während im Hintergrund der Bot mit seiner Arbeit beginnt. Schon wenn Sie einen neuen PC an das Internet anschließen, wird dieser mit Sicherheit nach wenigen Minuten aus dem Netz angegriffen.

Mit den Botnetzen werden durch sogenannte Cyberkriminelle DDoS-Angriffe gestartet um große Internetportale lahm zu legen, oder die Netze werden dazu verwendet massenhaft eMail-Konten auszulesen und an dessen Adressen ohne Identität Spam-Mails zu versenden. Welches Betriebssystem sie selbst benutzen ist für den Cyber-Angriff unerheblich, denn mit übernommenen UNIX-Servern werden meist die Windows-Rechner gesteuert. Hier machen sich die Angreifer das DSL und die zahlreichen Flatrates zu zu Nutze. Meist laufen die Rechner und Internetanbindung Tag und Nacht, also ideal für ein Bindeglied im Botnetz. Selbst Mobiltelefone mit Internetflat wie das iPhone oder der Blackberry sind vor Botnetze nicht immer geschützt.

Phishing

Bei dieser Art von Computerkriminalität geht es um gesetzte Passwörter auf Onlineportalen wie Banken, Tauschbörsen, Soziale Netzwerke, Auktionshäuser oder Online-Bezahlsysteme wie Kreditkarten oder Paypal. Und wie der Name es schon verrät geht es um das Herausfischen Ihrer persönlichen Passwörter. Dazu bedienen sich die Betrüger gefälschter Seiten im Internet, die den Originalen ähneln. Mit einer eMail wird der Nutzer aufgefordert seine Benutzerdaten nebst Passwort online abzugleichen. Nach Anklicken des mitgelieferten Links kommen Sie auf die gefälschte Internetseite und wenn Sie dort Ihre persönlichen Daten eingeben sind Sie schon in die Falle der Betrüger getappt. Meist werden per JavaScript dem Nutzer auch eine falsche Adresszeile geliefert, die die Fälschung der Seite für den Betrüger perfekt machen.

DoS

Eine der schärfsten Attacken ist die Denial-of-Service-Attake (DoS). Bei dieser Art von Attacke werden gezielt Server mit Ãœbermengen von Anfragen bombardiert, so dass die Server die angeforderten Aufgaben nicht mehr erfüllen können und zusammenbrechen. Dazu werden meist Schwachstellen im Betriebssystemen oder Programmen ausgenutzt. Bei einem Syn Flooding-Angriff werden während dem ersten gemeinsamen Datenaustausch dem Server eine gefälschte IP-Adresse geschickt. Der Server versucht nun auf die gefälschte Adresse zu antworten und gibt dies erst nach einer gewissen Zeit auf. Werden also gleichzeitig mehrere dieser gefälschten Anfragen an den Server geschickt, ist dieser somit eine ganze Weile beschäftigt und für andere nicht mehr erreichbar.

Bei der zweiten Variante, dem Ping Flooding wird der angegriffene Rechner mit Massen von ping-Anfragen bombardiert, so dass dieser abermals eine Weile beschäftigt ist die Anfragen mit einem pong zu beantworten. Es führt wieder dazu, dass der Server für andere Anfragen nicht erreichbar ist oder gar ganz abstürzt.

Die dritte DoS-Attacke bezieht sich auf den eMail-Server, der entweder mit einer übergroßen eMail-Nachricht oder wiederum mit tausenden eMails angegriffen wird. Auch in diesem Fall kann es zum Zusammenbrechen des eMail-Servers kommen.

Zu der bereit bekannten DoS-Attacke kamen später verteilte DoS-Attacken (DDoS) hinzu. Bei dieser Art wird ein großflächig koordinierter Angriff mit einer Vielzahl unterschiedlicher Systeme gestartet. Das Programm für den Angriff wird vorher auf tausenden ungeschützten Rechner installiert und für den anstehenden Angriff gleichzeitig ausgeführt. Mit hunderttausenden gefälschten Anfragen werden Server bombardiert und schließlich lahm gelegt.

Vorbeugende Maßnahmen

Neuer Rechner an's Netz oder Neuinstallation

Bevor Sie Ihren neuen Rechner mit dem Internet verbinden, sollten Sie vorab unter Mithilfe eines zweiten Rechners Ihr Virenprogramm per Stick oder CD installieren. Laden Sie sich ebenfalls die aktuelle Virensignatur herunter und lesen Sie diese ebenfalls über einen Stick ein. Ist Ihr Programm auf dem neusten Stand, dann können Sie eine Netzwerkverbindung mit Ihrem Internetanbieter herstellen. Als nächsten Schritt, noch bevor Sie irgendwelche Internetseiten aufrufen, laden Sie alle Updates für Ihr Betriebssystem herunter und installieren diese. Ist alles erledigt steht einem Gang in das Netz nichts mehr im Wege.

Benutzerkonten

Bei einem Neukauf oder einer Neuinstallation sollten Sie sich immer für das Arbeiten mit eingeschränkten Benutzerkonten entscheiden. Nehmen Sie das Administrator-Konto nur für kontrollierte Installationen, die von Ihnen selbst durchgeführt werden. Nutzen Sie ansonsten für das Arbeiten mit Ihrem PC ein eingeschränktes Benutzerkonto, welches nur das frei gibt, was für die eigentlichen Aufgaben gebraucht wird. So sind nicht nur ihre Daten ein wenig mehr geschützt, sondern die Einschränkung der Recht verhindert ungewollte Installationen aus dem Internet. Sollte sich also aus heiterem Himmel auf einem eingeschränkten Benutzerkonto eine Installation melden und nach einem Passwort fragen ist höchste Vorsicht geboten.

Programme

Verwenden Sie bevorzugt Programme, die einen Rundumschutz anbieten und sich selbständig über das Internet täglich aktualisieren. Es sollte sich in namhaften Tests bewährt haben bei der Suche von Rootkit's, Mal- oder Spyware und Viren, sollte vor Drive-by-Downloads schützen, Spam-Mails erkennen und aussortieren, sowie schädliche Anhänge vorab in Quarantäne setzen. Achten Sie auch darauf, dass das Programm Ihren Computer mit einer eigenen Firewall schützt und Ihnen die Konfiguration dieser verständnisvoll erklärt. Kontrollieren Sie auch Schritt für Schritt die Einstellungen des Browser mit dem Sie im Internet surfen.

Achten Sie penibel darauf, das installierte Programme auf dem neusten Stand sind, meist finden sich in älteren Programmversionen Lücken, die von den Angreifern mit Sicherheit ausgetestet werden. Besonderes Augenmerk sollte auf die Programme gelegt werden, die unmittelbar mit dem Internet zu tun haben. Aktualisieren Sie Ihre Browser und halten Sie diese stets auf dem neusten Stand insoweit Ihr Betriebssystem dies zulässt. Aktualisieren Sie stets den JavaScript-Player, die Adobe-Programme Flash-Player, Shockwave-Player, Air und den Reader.

WLAN

Nutzen Sie moderne Ãœbertragungstechnologien wie Voice over IP (VoIP) oder Wireles LAN (WLAN). Kontrollieren Sie, ob Sie die höchst mögliche Verschlüsselungstechnik zur Abschirmung Ihrer Kommunikation nutzen. Sie sind nicht nur vor Nießnutzern geschützt, die Ihr offenes Internet zum kostenlosen Surfen missbrauchen, sondern schützen sich auch davor, dass kriminelle vor Ihrer Haustür Ihren offenen Internetzugang für kriminelle Machenschaften nutzt.

Webseiten

Nehmen Sie grundsätzlich Warnungen von Browsern, Virenschutzprogrammen und Suchmaschinen über riskante Webseiten ernst. Sie locken meist mit illegalen Downloads, pornografischem Inhalt oder anderen nicht erlaubten Dingen auf ihre Seiten um Viren, Bot's oder Malware unterzubringen. Bei dem Besuch einer Webseite werden alle Daten, die für die Darstellung der Seite von Nöten ist in den temporären Internetordner abgelegt. Nicht immer sind die dort abgelegten Daten gutartig. Malware, Rootkit's und andere böswillige Software findet auf diesem Weg Zugang zu Ihrem Rechner und etablieren sich dort. Mitunter nisten sie sich derart ein, dass ihr Computer komplett übernommen wird und Sie nur mit Mühe oder mit professioneller Hilfe den Eindringling wieder los werden. Gleichen Sie stets das Layout mit der oben eingegebenen Internetadresse ab, bevor Sie Ihre persönlichen Zugangsdaten eingeben.

eMail's

Rufen Sie Ihre eMail's mittels Programm ab, dann stellen Sie das Programm so ein, dass Grafiken in eMail's erst einmal nicht geladen bzw. dargestellt werden. Öffnen Sie ihre Mails grundsätzlich im Textformat. Kommt Ihnen eine eMail verdächtig vor, dann lassen Sie sich erst einmal dessen Herkunft zeigen und stellen Sie die Ansicht auf HTML-Code um. Schnell lässt sich feststellen, ob hier was böswilliges im Hintergrund ausgeführt werden soll. Löschen Sie alle eMail's dessen Absender Sie nicht kennen. Seien Sie auch bei vertrauten Absendern vorsichtig, wenn Anlagen der eMail beigefügt wurden. Mitunter kann es sich um eine gefälschte eMail handeln. Fragen Sie bei dem vermeintlichen Absender lieber noch einmal nach...

Sicher ist Sicher!

Aktuelle Trojaner entfernen

Zu den bekantesten Trojaneren zählen zur Zeit der Gema-Trojaner, dessen Malware angeblich illegale Musikdownloads gefunden hat. Weitere gesperrte Betriebssysteme können die Seite der GVU-Virus, BKA-Virus oder der Bundespolizei-Virus darstellen. Bei allen drei und weiteren Varianten handelt es sich um Malware, die ständig von den Urhebern modifiziert werden. Dies erkennt man an der Tatsache, dass sich die Malware nicht mehr mit einfachen Mitteln entfernen lässt. Auch im darin geforderten Preis versucht man schneller an Ihr Geld zu kommen. Wurden erst noch 100,00 € vom Geschädigten für die Entsperrung verlangt, setzt die neue Malware den Preis deutlich niedriger an um die Hemmschwelle zu senken. Von der zunächst höheren Summe waren viele abgeschreckt, diese zunächst zu zahlen und suchten nach Möglichkeiten, den Virus preiswerter zu entfernen. Wer das Geld für die erhoffte Entsperrung überwies, wurde schnell eines Besseren belehrt, denn eine Entsperrung erfolgte nicht.

Für die zunächst einfache Entfernung reichte es bisher aus, das System im Abgesicherten Modus (F8) zu starten und anschließend das System per Systemwiederherstellung zurückzusetzen. Durch die Modifizierung der Urheber funktioniert diese Lösung aber nicht immer, da der Virus nach diesem Versuch auch den Weg in den abgesicherten Modus versperrt und gleich wieder einen Neustart veranlasst. Sollten Sie also noch die Möglichkeit haben in den abgesicherten Modus zu kommen, ist es mit Sicherheit die letzte Möglichkeit Ihre Daten auf einfache Weise zu sichern. Um erneut an die Systemwiederherstellung heranzukommen führt der Weg erst einmal über die Taste (F8) und dann über den abegesicherten Modus mit Eingabeaufforderung. Nach Eingabe des Befehls rstrui.exe gelangt man wieder in den abgesicherten Modus, um auf einen früheren Wiederherstellungspunkt zuzugreifen.

Eine weitere Möglichkeit, die im abgesicherten Modus besteht ist das Auffinden einer ausführbaren .exe-Datei, die erst vor kurzem geändert wurde. Hierzu wird der Internet-Explorer geöffnet und mit dem Befehl *.exe nach ausführbaren Dateien gesucht. Nach dessen Auflistung sollten die Ergebnisse nach Änderungsdatum sortiert werden. Nun kann herausgefiltert werden, welche der Dateien als letzte verändert wurde. Meist haben diese Dateien kryptische Bezeichnungen und ein Standard-Icon. Mit einem Rechtsklick auf Eigenschaften erhält man nähere Informationen zum Hersteller bzw. Produktnamen. Sind diese leer, handelt es sich mit wahrscheinlicher Sicherheit um eine infizierte Datei und sollte gelöscht werden. Es sollte auch beachtet werden, dass nicht nur eine Datei vom Trojaner verändert wurde.

Im Anschluss geht es nun an die Registry. Mit dem Befehl regedit wird die Registry aufgerufen und nach unerwünschten Einträgen im Verzeichnis HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ und dessen Unterverzeichnissen Run, RunOnce und RunServices gesucht. Danach wird in das Verzeichnis HKEY_LOCAL_MASCHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ gewechselt und dort die Unterordner Run, RunOnce, RunOnceEx, RunServices und RunServicesOnce nach verdächtigen Einträgen durchsucht.