lefg 276 Geschrieben 21. Dezember 2011 Melden Geschrieben 21. Dezember 2011 Eben wurde ich einen anderen Zuständigkeitsbereich gebeten, mir einen Rechner anzuschauen, eine misteriöse GEMA sperrte den Rechner, behauptete illegale Downloads und wollte 50€ für eine Freischaltung. Der Taskmanager geht nur kurz auf und schliesst wieder. Das Netz ist durch ein Avirgate "gesichert", auf dem Rechner läuft Sophos, der User hat keine Rechte. Ob der der Rechner auf dem aktuellen Patchlevel war? Ich werde mich da nicht lange dran aufhalten und imagen. Wie kann sich sowas festsetzen, was kann man vorbeugend daggegen tun? Zitieren
zahni 566 Geschrieben 21. Dezember 2011 Melden Geschrieben 21. Dezember 2011 Diese Viren sind durchaus bekannt. Wenn dier User keine Adminrechte hat, wird er wahrscheinlich nur im User-Modus ausgeführt. Dann sollte man ihn eigentlich leicht wegbekommen. notfalls mit Windows-PE . Schutz ? Immer einen aktuellen Virenscanner benutzen und am Proxy am besten den Download von ausführbaren Dateien über einen Filter zusätzlich komplett sperren. Über Gruppenrichtlinien am PC lässt sich auich steueren, aus welchen Ordnern Programme gestartet werden drüfen. -Zahni Zitieren
Sunny61 816 Geschrieben 21. Dezember 2011 Melden Geschrieben 21. Dezember 2011 Im abgesicherten Modus booten und im Run Zweig die EXE raus löschen. Mehr sollte es nicht sein. Zitieren
blub 115 Geschrieben 21. Dezember 2011 Melden Geschrieben 21. Dezember 2011 Wie kann sich sowas festsetzen, was kann man vorbeugend daggegen tun? Hat mich neulich mein Nachbar, - ein ziemlich konservativer Familienvater, der immer gerne mal die christlichen Werte betont - mit einem ähnlichen Virus auf seinem Rechner auch gefragt. "Und woher kommt sowas, wie kann man sowas vermeiden?" Meine Antwort, die erstmal ganz frei von Hintergedanken war: Ich könnte auf deinem Rechner den Browserverlauf und die Temporary Internet Files ansehen. Da kann man vielleicht erkennen, ob du evtl. auf gefährlichen Websites unterwegs warst. Seine Frau fand mein Angebot sehr nett und freundlich, er hat auf einmal irgendwie das Rumdrucksen angefangen :D Zitieren
lefg 276 Geschrieben 21. Dezember 2011 Autor Melden Geschrieben 21. Dezember 2011 Ja, irgendwo muss sowas ja herkommen. :D Ich glaube also dem User, ich verhöre ihn nicht, bringe ihn nicht in Verlegenheit, er ist einer meiner tit4tat, der Gefährte einer besten Freundin. Gegebenfalls wird es ihm eine Lehre sein. Also begrabe ich die Sache. :) Was mich wundert, sogar verunsichert, der Sophos hat da anscheinend überhaupt nicht reagiert. Bei etwas Überlegung beunruhigt mich das sogar, also werde ich mal Sunny`s Rat folgen, danach mal versuchen den EICAR zu laden; mir den Status des Sophos in Stichproben kontrollieren in dem Standort hier. Verdächig ist mir seit einiger Zeit so einiges ausserhalb meines Verantwortungsbereiches. Zitieren
mapi4780 10 Geschrieben 21. Dezember 2011 Melden Geschrieben 21. Dezember 2011 Die Verteilung der Malware läuft laut Microsoft unter anderem über das Exploit-Kit Black Hole, das den Rechner beim Besuch einer verseuchten Webseite auf bekannte Sicherheitslücken in Adobe Reader, Flash, Java und Windows abklopft. Hat das Exploit-Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware. Quelle: Heise Security edit: Nicht immer sind es "unseriöse" Webseiten wo man sich per "drive by" etwas einfangen kann. Schadcode auf schlecht gesicherte Webserver zu bringen ist durchaus eine sportliche Herausforderung für so manchen. So kann es dann vorkommen dass von einer musikvereinxy.com eine Gefahr ausgeht. (Auch wenn hier nur eine beschränkte Zahl von Nutzern betroffen sein dürfte) ... dieses Beispiel hatten wir grad vor kurzem. Zitieren
substyle 20 Geschrieben 21. Dezember 2011 Melden Geschrieben 21. Dezember 2011 Kenn ich auch das Ding, hat sich an ESET aktuelle Version mit Updates auch vrbeigeschlichen, der Scanner hat es im nachhinein erkannt konnte es dann aber nicht mehr desinfizieren. Offline Scannen und gut ist. Das Ding hing, bei vielen Fällen die mir bekannt, auch sind an einem Crack für Office 2010. Grüße Lars Zitieren
tcpip 12 Geschrieben 22. Dezember 2011 Melden Geschrieben 22. Dezember 2011 Genau obwohl das nicht immer eine Herausforderung sein muß. Schadcode auf schlecht gesicherte Webserver zu bringen ist durchaus eine sportliche Herausforderung für so manchen. Das sind oftmals harmlose Webseiten deren Content Verseucht ist. Mag sein durch schlecht gesicherte Webserver oder schlecht gesicherte FTP und SSH Zugänge. Die Webseite eines Kunden von mir wurde durch einen FTP Zugang verseucht. Das Passwort war demjenigen bekannt und wir wissen bis heute nicht woher. In den mir bekannrten Fällen dieser GEMA, Bundespolizei und ScareWare Vorfällen, kam der Schadcode immer über den JavaCode entsprechender Webseiten. Spuren sind meistens im lokalen Java Cache des Benutzers zu finden. Gruß tcpip Zitieren
lefg 276 Geschrieben 22. Dezember 2011 Autor Melden Geschrieben 22. Dezember 2011 Ich habe den Sophos mal laufen lassen: Adware/PUA 'dWinlock' wurde erkannt In den Anwendungsdaten des Benutzers: dwlGina3.dll Registrierungseintrag: HKCR/exefile/default Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.