AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

[MalWare] Rombertik

Ein Thema von hathor · begonnen am 5. Mai 2015 · letzter Beitrag vom 6. Mai 2015
Antwort Antwort
Seite 1 von 2  1 2      
hathor
(Gast)

n/a Beiträge
 
#1

[MalWare] Rombertik

  Alt 5. Mai 2015, 18:47
http://blogs.cisco.com/security/talos/rombertik
http://www.computerbild.de/artikel/c...-11762207.html

Aktuelle Virenscanner erkennen den Schädling bereits und bieten Schutz gegen eine Infektion. Wer sich nicht sicher ist, ob sein Rechner infiziert ist, der sollte den Taskmanager starten im Reiter Prozesse nach „yfoye.exe“ suchen. Die Datei befindet sich im Ordner „%AppData%\rsr\“. Grundsätzlich gilt weiterhin:
Keine E-Mail-Anhänge öffnen, die von unbekannten Absendern stammen.
Und keine Anhänge öffnen, die ungefragt verschickt wurden!

Wer das 1. Bild im Anhang sieht, hat schon fast verloren.
Wer das 2. Bild sieht, hat verloren!
Miniaturansicht angehängter Grafiken
email-screenshot-watermarked.jpg   carbon-copy-wm.png  
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#2

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 19:49
Nein. Zumindest nicht wenn man es "richtig" gemacht hat.

Ich will mich nicht wiederholen, aber Windows-Nutzer sehen zwei Wahrheiten als universell an:
  • ein Benutzer benötigt stets Adminstratorrechte um mit dem Betriebssystem zu arbeiten
  • Viren sind Naturereignisse. Sie kommen und gehen, man kann nichts gegen tun. Man muss mit ihnen leben
Diese Universalwahrheiten sind in unseren Kollektivwahrnehmung inzwischen so tief eingebrannt, dass nicht mal PC Zeitschriften sie infrage stellen. Man nimmt es als gegeben hin und diskutiert nicht darüber wie man es besser machen sollte, sondern wie man sich vor den Naturereignissen schützen kann.

Nach meiner Kenntnis (die kann aber durchaus falsch sein) hängt bei Windows zwischen Hardware und Anwendersoftware stets das Betriebssystem (hier also Windows). Also direkt sollte es nicht gehen, nur über Windows. In der Regel haben aber Standardnutzer kein solche Möglichkeiten. Wer also als Administrator arbeitet, der sollte sich die Frage stellen warum?

Zitat von Computerbild:
Sollte die Software zu einem Zeitpunkt vermuten, dass eine Überwachung stattfindet, zerstört sie den sogenannten Master Boot Record der Festplatte, wodurch Windows nicht mehr startet.
Ich bin kein EDV Profi. Vielleicht gibt es Möglichkeiten. Aber welche?

Zitat von Computerbild:
Andernfalls nistet sich das Programm auf dem Computer ein, indem es Schad-Code in den Internet-Browser schreibt.
Sollte eigentlich nicht möglich sein, denn eigentlich hat man mit Standardrechten keine Möglichkeit Schad-Code in den Internet-Browser zu schreiben. Wobei Chrome eine neue Sitte eingeführt hat - Programme nicht mehr in Programme-Ordner zu schreiben, sondern in den Nutzerordner. Womit der Befall von Programmen inzwischen wieder möglich wäre.

In dem Fall, egal wie schwer es fällt, als Admin anmelden, Konto mit Daten löschen. Fertig.

Geändert von Popov ( 5. Mai 2015 um 19:51 Uhr)
  Mit Zitat antworten Zitat
hathor
(Gast)

n/a Beiträge
 
#3

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 20:04
..Vielleicht gibt es Möglichkeiten. Aber welche?
Du erwartest jetzt und hier NICHT, dass jemand das beweist?
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#4

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 20:10
Du erwartest jetzt und hier NICHT, dass jemand das beweist?
Anscheinend ist mein Satz missverständlich. Ich hab nicht gefragt wie es geht, sondern welche Möglichkeiten eine Software allgemein hat das Betriebssystem zu übergehen.

Wie gesagt, viele Artikel gehen von der Voraussetzung aus, dass man mit Administratorrechten arbeitet.
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#5

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 20:36
Wie gesagt, viele Artikel gehen von der Voraussetzung aus, dass man mit Administratorrechten arbeitet.
Naja, so ganz unsinnig ist diese Annahme nicht, denn selbst die UAC bietet keinen Schutz gegen die "Alles-Abnicker-Fraktion"... Gerade wenn eine Anforderung aufpoppt, dass ein wichtiges "Update" notwendig sei, denken doch viel zu wenige Leute genauer darüber nach. Und die Entscheidung von MS, den Dateinamen in der UAC-Abfrage standardmäßig zu verstecken - nach dem Motto "der Nutzer darf nicht mit technischen Details überfordert werden" - hilft hier auch nicht. Klar, die wenigsten Leute würden mit dem Dateinamen etwas anfangen können, jedenfalls ohne dass man ihnen beibringt, wie sie anhand dessen einschätzen können, was da Adminrechte verlangt.

Zeigt wieder einmal, dass der Weg, dem Nutzer die Adminrechte komplett zu entziehen (und er diese bei Bedarf und nach bewusster Entscheidung auf anderem Weg explizit anfordern kann), wohl gar nicht so verkehrt ist. Das schützt zwar nicht das Nutzerprofil vor weiteren Schäden (wird es auch nie), wohl aber das System an sich.

MfG Dalai
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#6

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 20:43
Sollte eigentlich nicht möglich sein, denn eigentlich hat man mit Standardrechten keine Möglichkeit Schad-Code in den Internet-Browser zu schreiben
Wieso sollte das nicht möglich sein? Der Browser läuft auch nur mit eingeschränkten Rechten. Da kannst du ohne weiteres Code injecten. Es wird ja nichts auf die Platte geschrieben (wo die Rechte fehlen dürften), sondern direkt in den Speicher des laufenden Prozesses.

Und zum MBR: Im Artikel steht, dass bei fehlenden Rechten alternativ einfach das User Verzeichnis zerstört wird, indem die Dateien mit zufälligen Keys verschlüsselt werden.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#7

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 21:02
@Dalai

Was ich allen (privat) empfehle die eine Tipp von mir wollen.

Bei Neuinstallation:
  1. Das erste Konto bei Neuinstallation ist ein bewusstes Administratorkonto, vorzugsweise mit dem Namen "Admin" o. ä., mit einem starken Kennwort.
  2. Die erste Aktion nach einer Neuinstallation ist in der Systemsteuerung die Benutzerkonten aufzurufen und ein neues Konto mit Standardrechten anzulegen. Kennwort optional.
  3. Für die die es wollen - Einstellung der Benutzerkontensteuerung - für Administrator komplett runterstellen. Muss nicht sein, aber man ist Admin, also muss man nicht immer gefragt werden.
  4. Für die die es wollen - beim Administrator-Konto ein unansehnliches Design einstellen, so dass man sich immer bewusst ist in welchem Konto man sich befindet.
  5. Abmelden und im normalen Konto arbeiten. Will ein Programm nun etwas machen wofür man erweiterte Rechte benötigt, muss man nun ein Kennwort eingeben. Einfach so nebenbei sich verklicken geht nicht mehr.
Ist nichts kompliziertes bei, schützt aber gut. Punkte 3 und 4 sind nicht wichtig, aber erleichtern das Leben.
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#8

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 21:08
Wieso sollte das nicht möglich sein? Der Browser läuft auch nur mit eingeschränkten Rechten. Da kannst du ohne weiteres Code injecten. Es wird ja nichts auf die Platte geschrieben (wo die Rechte fehlen dürften), sondern direkt in den Speicher des laufenden Prozesses.
Nun, die Frage ist wie es gemeint war. In dem Bereich kenne ich mich weniger aus. Einen Browser im Speicher übernehmen, ok, wenn es möglich ist. Man hat dann aber nur die eingeschränkten Rechte.

Zitat:
Und zum MBR: Im Artikel steht, dass bei fehlenden Rechten alternativ einfach das User Verzeichnis zerstört wird, indem die Dateien mit zufälligen Keys verschlüsselt werden.
Das kann sein. Deshalb empfehle ich auch allen die einen Rechner privat und beruflich nutzen, oder bei einer Familie, für alles und jedes ein eigenes Konto.
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.648 Beiträge
 
Delphi 11 Alexandria
 
#9

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 21:21
Wobei Chrome eine neue Sitte eingeführt hat - Programme nicht mehr in Programme-Ordner zu schreiben, sondern in den Nutzerordner. Womit der Befall von Programmen inzwischen wieder möglich wäre.
Wenn man nicht den alternativen Installer benutzt, der sauber ins Programmverzeichnis installiert inkl. Dienst zum Aktualisieren usw.
Sebastian Jänicke
AppCentral
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#10

AW: [MalWare] Rombertik

  Alt 5. Mai 2015, 21:53
Wieso sollte das nicht möglich sein? Der Browser läuft auch nur mit eingeschränkten Rechten. Da kannst du ohne weiteres Code injecten. Es wird ja nichts auf die Platte geschrieben (wo die Rechte fehlen dürften), sondern direkt in den Speicher des laufenden Prozesses.
So "kompliziert" muss es gar nicht sein, schließlich ist das Profil des Browsers ohne weiteres schreibbar, was sich ja Adware gern immer wieder zunutze macht...

@Dalai

Was ich allen (privat) empfehle die eine Tipp von mir wollen.
Ja, so ähnlich geht das bei mir auch. Ich empfinde es aber als umständlich, sich für eine Installation immer ummelden zu müssen, auch wenn seit XP dank sekundären Logons eine parallele Anmeldung möglich ist.

Allerdings führt die Kenntnis des Adminkennworts häufig (nach meiner Erfahrung) dazu, dass die Leute sich gleich als Admin anmelden und dann dauerhaft damit arbeiten, weil es heutzutage leider immer noch Software gibt, die Adminrechte braucht. Prominentes und aktuelles Beispiel: Steam. Dieses Mistteil verlangt Adminrechte, aber offenbar kann man dem nicht beibringen, die erst zu verlangen, wenn es notwendig wird, z.B. wenn ein Spiel installiert wird. Solche Fälle machen einem das Leben - hier die saubere Trennung von Nutzerkonten - unnötig schwer.

Wenn man nicht den alternativen Installer benutzt, der sauber ins Programmverzeichnis installiert inkl. Dienst zum Aktualisieren usw.
Naja, so prominent wie Google den normalen Installer anbietet, kann man davon ausgehen, dass der alternative kaum benutzt wird. Ich hab jedenfalls noch keine Chrome-Installation auf den Rechnern meiner Kunden gesehen, die im Programme-Verzeichnis erfolgt wäre.

MfG Dalai
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:03 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz