Delphi-PRAXiS
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Klatsch und Tratsch (https://www.delphipraxis.net/34-klatsch-und-tratsch/)
-   -   [MalWare] Rombertik (https://www.delphipraxis.net/184973-%5Bmalware%5D-rombertik.html)

hathor 5. Mai 2015 17:47
[MalWare] Rombertik
 
Liste der Anhänge anzeigen (Anzahl: 2)
http://blogs.cisco.com/security/talos/rombertik
http://www.computerbild.de/artikel/c...-11762207.html

Aktuelle Virenscanner erkennen den Schädling bereits und bieten Schutz gegen eine Infektion. Wer sich nicht sicher ist, ob sein Rechner infiziert ist, der sollte den Taskmanager starten im Reiter Prozesse nach „yfoye.exe“ suchen. Die Datei befindet sich im Ordner „%AppData%\rsr\“. Grundsätzlich gilt weiterhin:
Keine E-Mail-Anhänge öffnen, die von unbekannten Absendern stammen.
Und keine Anhänge öffnen, die ungefragt verschickt wurden!

Wer das 1. Bild im Anhang sieht, hat schon fast verloren.
Wer das 2. Bild sieht, hat verloren!

Popov 5. Mai 2015 18:49
AW: [MalWare] Rombertik
 
Nein. Zumindest nicht wenn man es "richtig" gemacht hat.

Ich will mich nicht wiederholen, aber Windows-Nutzer sehen zwei Wahrheiten als universell an:
  • ein Benutzer benötigt stets Adminstratorrechte um mit dem Betriebssystem zu arbeiten
  • Viren sind Naturereignisse. Sie kommen und gehen, man kann nichts gegen tun. Man muss mit ihnen leben
Diese Universalwahrheiten sind in unseren Kollektivwahrnehmung inzwischen so tief eingebrannt, dass nicht mal PC Zeitschriften sie infrage stellen. Man nimmt es als gegeben hin und diskutiert nicht darüber wie man es besser machen sollte, sondern wie man sich vor den Naturereignissen schützen kann.

Nach meiner Kenntnis (die kann aber durchaus falsch sein) hängt bei Windows zwischen Hardware und Anwendersoftware stets das Betriebssystem (hier also Windows). Also direkt sollte es nicht gehen, nur über Windows. In der Regel haben aber Standardnutzer kein solche Möglichkeiten. Wer also als Administrator arbeitet, der sollte sich die Frage stellen warum?

Zitat:
Zitat von Computerbild
Sollte die Software zu einem Zeitpunkt vermuten, dass eine Überwachung stattfindet, zerstört sie den sogenannten Master Boot Record der Festplatte, wodurch Windows nicht mehr startet.
Ich bin kein EDV Profi. Vielleicht gibt es Möglichkeiten. Aber welche?

Zitat:
Zitat von Computerbild
Andernfalls nistet sich das Programm auf dem Computer ein, indem es Schad-Code in den Internet-Browser schreibt.
Sollte eigentlich nicht möglich sein, denn eigentlich hat man mit Standardrechten keine Möglichkeit Schad-Code in den Internet-Browser zu schreiben. Wobei Chrome eine neue Sitte eingeführt hat - Programme nicht mehr in Programme-Ordner zu schreiben, sondern in den Nutzerordner. Womit der Befall von Programmen inzwischen wieder möglich wäre.

In dem Fall, egal wie schwer es fällt, als Admin anmelden, Konto mit Daten löschen. Fertig.

hathor 5. Mai 2015 19:04
AW: [MalWare] Rombertik
 
Zitat:
Zitat von Popov (Beitrag 1300320)
..Vielleicht gibt es Möglichkeiten. Aber welche?
Du erwartest jetzt und hier NICHT, dass jemand das beweist?

Popov 5. Mai 2015 19:10
AW: [MalWare] Rombertik
 
Zitat:
Zitat von hathor (Beitrag 1300324)
Du erwartest jetzt und hier NICHT, dass jemand das beweist?
Anscheinend ist mein Satz missverständlich. Ich hab nicht gefragt wie es geht, sondern welche Möglichkeiten eine Software allgemein hat das Betriebssystem zu übergehen.

Wie gesagt, viele Artikel gehen von der Voraussetzung aus, dass man mit Administratorrechten arbeitet.

Dalai 5. Mai 2015 19:36
AW: [MalWare] Rombertik
 
Zitat:
Zitat von Popov (Beitrag 1300325)
Wie gesagt, viele Artikel gehen von der Voraussetzung aus, dass man mit Administratorrechten arbeitet.
Naja, so ganz unsinnig ist diese Annahme nicht, denn selbst die UAC bietet keinen Schutz gegen die "Alles-Abnicker-Fraktion"... Gerade wenn eine Anforderung aufpoppt, dass ein wichtiges "Update" notwendig sei, denken doch viel zu wenige Leute genauer darüber nach. Und die Entscheidung von MS, den Dateinamen in der UAC-Abfrage standardmäßig zu verstecken - nach dem Motto "der Nutzer darf nicht mit technischen Details überfordert werden" - hilft hier auch nicht. Klar, die wenigsten Leute würden mit dem Dateinamen etwas anfangen können, jedenfalls ohne dass man ihnen beibringt, wie sie anhand dessen einschätzen können, was da Adminrechte verlangt.

Zeigt wieder einmal, dass der Weg, dem Nutzer die Adminrechte komplett zu entziehen (und er diese bei Bedarf und nach bewusster Entscheidung auf anderem Weg explizit anfordern kann), wohl gar nicht so verkehrt ist. Das schützt zwar nicht das Nutzerprofil vor weiteren Schäden (wird es auch nie), wohl aber das System an sich.

MfG Dalai

Zacherl 5. Mai 2015 19:43
AW: [MalWare] Rombertik
 
Zitat:
Zitat von Popov (Beitrag 1300320)
Sollte eigentlich nicht möglich sein, denn eigentlich hat man mit Standardrechten keine Möglichkeit Schad-Code in den Internet-Browser zu schreiben
Wieso sollte das nicht möglich sein? Der Browser läuft auch nur mit eingeschränkten Rechten. Da kannst du ohne weiteres Code injecten. Es wird ja nichts auf die Platte geschrieben (wo die Rechte fehlen dürften), sondern direkt in den Speicher des laufenden Prozesses.

Und zum MBR: Im Artikel steht, dass bei fehlenden Rechten alternativ einfach das User Verzeichnis zerstört wird, indem die Dateien mit zufälligen Keys verschlüsselt werden.

Popov 5. Mai 2015 20:02
AW: [MalWare] Rombertik
 
@Dalai

Was ich allen (privat) empfehle die eine Tipp von mir wollen.

Bei Neuinstallation:
  1. Das erste Konto bei Neuinstallation ist ein bewusstes Administratorkonto, vorzugsweise mit dem Namen "Admin" o. ä., mit einem starken Kennwort.
  2. Die erste Aktion nach einer Neuinstallation ist in der Systemsteuerung die Benutzerkonten aufzurufen und ein neues Konto mit Standardrechten anzulegen. Kennwort optional.
  3. Für die die es wollen - Einstellung der Benutzerkontensteuerung - für Administrator komplett runterstellen. Muss nicht sein, aber man ist Admin, also muss man nicht immer gefragt werden.
  4. Für die die es wollen - beim Administrator-Konto ein unansehnliches Design einstellen, so dass man sich immer bewusst ist in welchem Konto man sich befindet.
  5. Abmelden und im normalen Konto arbeiten. Will ein Programm nun etwas machen wofür man erweiterte Rechte benötigt, muss man nun ein Kennwort eingeben. Einfach so nebenbei sich verklicken geht nicht mehr.
Ist nichts kompliziertes bei, schützt aber gut. Punkte 3 und 4 sind nicht wichtig, aber erleichtern das Leben.

Popov 5. Mai 2015 20:08
AW: [MalWare] Rombertik
 
Zitat:
Zitat von Zacherl (Beitrag 1300328)
Wieso sollte das nicht möglich sein? Der Browser läuft auch nur mit eingeschränkten Rechten. Da kannst du ohne weiteres Code injecten. Es wird ja nichts auf die Platte geschrieben (wo die Rechte fehlen dürften), sondern direkt in den Speicher des laufenden Prozesses.
Nun, die Frage ist wie es gemeint war. In dem Bereich kenne ich mich weniger aus. Einen Browser im Speicher übernehmen, ok, wenn es möglich ist. Man hat dann aber nur die eingeschränkten Rechte.

Zitat:
Und zum MBR: Im Artikel steht, dass bei fehlenden Rechten alternativ einfach das User Verzeichnis zerstört wird, indem die Dateien mit zufälligen Keys verschlüsselt werden.
Das kann sein. Deshalb empfehle ich auch allen die einen Rechner privat und beruflich nutzen, oder bei einer Familie, für alles und jedes ein eigenes Konto.

jaenicke 5. Mai 2015 20:21
AW: [MalWare] Rombertik
 
Zitat:
Zitat von Popov (Beitrag 1300320)
Wobei Chrome eine neue Sitte eingeführt hat - Programme nicht mehr in Programme-Ordner zu schreiben, sondern in den Nutzerordner. Womit der Befall von Programmen inzwischen wieder möglich wäre.
Wenn man nicht den alternativen Installer benutzt, der sauber ins Programmverzeichnis installiert inkl. Dienst zum Aktualisieren usw.

Dalai 5. Mai 2015 20:53
AW: [MalWare] Rombertik
 
Zitat:
Zitat von Zacherl (Beitrag 1300328)
Wieso sollte das nicht möglich sein? Der Browser läuft auch nur mit eingeschränkten Rechten. Da kannst du ohne weiteres Code injecten. Es wird ja nichts auf die Platte geschrieben (wo die Rechte fehlen dürften), sondern direkt in den Speicher des laufenden Prozesses.
So "kompliziert" muss es gar nicht sein, schließlich ist das Profil des Browsers ohne weiteres schreibbar, was sich ja Adware gern immer wieder zunutze macht...

Zitat:
Zitat von Popov (Beitrag 1300330)
@Dalai

Was ich allen (privat) empfehle die eine Tipp von mir wollen.
Ja, so ähnlich geht das bei mir auch. Ich empfinde es aber als umständlich, sich für eine Installation immer ummelden zu müssen, auch wenn seit XP dank sekundären Logons eine parallele Anmeldung möglich ist.

Allerdings führt die Kenntnis des Adminkennworts häufig (nach meiner Erfahrung) dazu, dass die Leute sich gleich als Admin anmelden und dann dauerhaft damit arbeiten, weil es heutzutage leider immer noch Software gibt, die Adminrechte braucht. Prominentes und aktuelles Beispiel: Steam. Dieses Mistteil verlangt Adminrechte, aber offenbar kann man dem nicht beibringen, die erst zu verlangen, wenn es notwendig wird, z.B. wenn ein Spiel installiert wird. Solche Fälle machen einem das Leben - hier die saubere Trennung von Nutzerkonten - unnötig schwer.

Zitat:
Zitat von jaenicke (Beitrag 1300334)
Wenn man nicht den alternativen Installer benutzt, der sauber ins Programmverzeichnis installiert inkl. Dienst zum Aktualisieren usw.
Naja, so prominent wie Google den normalen Installer anbietet, kann man davon ausgehen, dass der alternative kaum benutzt wird. Ich hab jedenfalls noch keine Chrome-Installation auf den Rechnern meiner Kunden gesehen, die im Programme-Verzeichnis erfolgt wäre.

MfG Dalai


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:56 Uhr.
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz