AMBULANZ

1. Katastrophenhilfe

Windows verweigert das Booten?...Nichts geht mehr?
KLICKEN SIE BITTE HIER

Bei Bootproblemen oder Sperrbildschirmen durch Viren
oder Trojanerinfektionen klicken Sie bitte hier:

Security 5

Speziell für GUV-, BKA- und UKASH-Trojaner


2. Onlinehilfe

Suche
Geben Sie hier einen
Suchbegriff
oder eine
Beschreibung
des Problems ein
zu welchem Sie Hilfe benötigen

3. Viren Würmer und Malware-Scripts
In letzter Zeit häufen sich in Tagespresse und sonstigen Medien Warnungen vor neuen und immer gefährlicheren Viren, Trojanern, Dialern und Würmern.
Ich möchte an dieser Stelle nicht ausführlich auf den Aufbau und die Feinheiten solcher kriminellen Machwerke eingehen,
sondern aus aktuellem Anlass lieber nur wenige, dafür aber
grundsätzliche Infos sowie ein wenig Knoff-Hoff zum Schutz vor solchen Angriffen vermitteln.
Neben den bereits fest auf Ihrem Rechner installierten lokalen Schutz- und Analyseprogrammen sollten Sie bei verdächtigen Dateien oder auch suspekten Webseiten immer zusätzlich sogenannte

ONLINESCANNER
zu Rate ziehen.

Bitte auch die Hinweise unter der Tabelle beachten!

ONLINE VIRENSCANNER 1 (Einzeldatei-Scan)
ONLINE VIRENSCANNER 2 (Einzeldatei-Scan)
ONLINE VIRENSCANNER 3 (Nur System-Scan)
ONLINE Portscanner

DNS-Check des BSI

Mehr darüber

News und Hintergründe zum Thema DNSChanger bei heise online.

Bitte beachten Sie:
Da die vom DNS-Charger genutzten Server am 9.Juli 2012 vom FBI abgeschaltet wurden,
steht auch dieser Test leider
nicht mehr zur Verfügung!
Die Adresse
www.dns-ok.de wird stattdessen auf eine Werbeseite der Telekom
http://www.telekom.com/sicherheit umgeleitet.
Vom DNS-Charger befallene Systeme sollten dennoch gereinigt werden.
Dies können Sie z.B. bequem mit dem DE-Cleaner von Avira oder Kaspersky erreichen.

DE-Cleaner powered by Avira
DE-Cleaner powered by Kaspersky.

Mehr darüber finden sie hier:
https://www.botfrei.de/en/decleaner.html

BSI-Sicherheitstest

Bei der Analyse von Botnetzen wurden 16 Millionen gestohlene digitale Identitäten entdeckt. Online-Kriminelle betreiben Botnetze, den Zusammenschluss unzähliger gekaperter Rechner von Privatanwendern, insbesondere auch mit dem Ziel des Identitätdiebstahls. Bei den digitalen Identitäten handelt es sich jeweils um E-Mail-Adresse und Passwort. E-Mail-Adresse und Passwort werden als Zugangsdaten für Mail-Accounts, oft aber auch für Online-Shops oder andere Internetdienste genutzt. Die zugehörigen E-Mail-Adressen wurden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übergeben. Das BSI kommt damit seiner gesetzlichen Warnpflicht nach und gibt Ihnen die Möglichkeit, zu überprüfen, ob Sie von dem Identitätsdiebstahl betroffen sind. Leider ist auch dieser Test seit 2018 nicht mehr verfügbar.
Der ursprüngliche Ziellink (https://www.sicherheitstest.bsi.de) wurde daher aktuell durch
"https://www.bsi-fuer-buerger.de"ersetzt:

BSI-für Bürger


Freak Attack - Test

Freak Attack (Factoring Attack on RSA-EXPORT Keys) ist ein sehr spezielles Angriffszenarium, um bei bestimmten Kombinationen aus Betriebssystem und Webbrowser während des Surfens auf entsprechend kompromittierten Internetseiten den kompletten SSL/TLS geschützten Datenverkehr zu entschlüsseln. Damit können betroffene Nutzer umfangreich ausspioniert werden. Der Test bietet Ihnen zunächst das Öffnen zweier entsprechend präparierter Webseiten an, um dadurch zu analysieren, ob Ihr System potentiell durch Freak Attack gefährdet ist oder nicht. Können diese Seiten nämlich nicht geöffnet werden (Mit Fehlermeldung des Browsers!) sollte Ihr System vor Freak Attack - Angriffen weitgehend sicher sein.


Router Backdoor Scanner
Überprüfen Sie hier kostenlos ob Ihr Router die kürzlich bekannt gewordene Backdoor hat. Im Verdacht stehen momentan verschiedene Routermodelle von Netgear und Linksys. Möglicherweise auch Router anderer Hersteller, welche vom selben Auftragsfertiger hergestellt wurden.


Erste Hilfe von heise.de

Schwachstellen-Datenbank

Passworttest

Aktuelle Hoaxmeldungen

Hier gehts zu Trojaner-Info.de....Die DEUTSCHEN Trojaner-Seiten

Antivir von AVIRA
AVAST!

DOWNLOAD für Securitytools

Symantec Antiviren Tools

Spamming

CONFICKER
FLUX
BLASTER
MYDOOM

Warum gibt es Viren und Würmer?

Bitte beachten Sie:
Die hier aufgeführten
Online-Scanner A (http://virusscan.jotti.org/de/) und B (http://www.virustotal.com/de/) sind vor allem zum Aufspüren von Viren, Würmern und Trojanern in Dateien gedacht, welche Sie aus Ihrem System direkt auf die Scannerseite hochladen und
automatisch von einer Vielzahl verschiedener Antivirenprogramme hintereinander analysieren lassen können.
Nach komplettem Durchlauf werden alle Ergebnisse und Bewertungen in einer übersichtlichen Tabelle gelistet.

Die Scanner C (Jsunpack) (http://jsunpack.jeek.org/dec/go?)
und der Malware-Crawler
D(Wepawet) (http://wepawet.cs.ucsb.edu/index.php)
dagegen dienen der Malware-Analyse
einzelner HTML-Dateien oder ganzer Webseiten, wobei Sie entweder den Pfad auf Ihrem Rechner,
oder die URL der verdächtigen Seite(n) in das Suchfeld des jeweiligen Scanners eingeben und professionell analysieren lassen können.

Wepawet (D) durchleuchtet dabei entweder eine komplette Webseite über deren eingegebene URL, oder eine auf dem PC gespeicherte HTML-Datei, indem er ähnlich wie Jsunpack (C) zunächst alle verschleierten JavaScript-Codesequenzen dekodiert und auflistet, aber dann zusätzlich alle relevanten Aktivitäten der gefundenen Skripte wie z.B. Keyloggen, Nachladen von Code, Datensammeln und sogenannte Redirects (Weiter- und Umleitungen) analysiert, und zudem die dort meist unsichtbar eingebetteten URLs automatisch zum Zielserver weiterverfolgt. Zum Schluß werden alle Ergebnisse in einem Protokoll zusammengefasst und können interaktiv noch weiter untersucht werden. Dabei wird u.a. auch aufgelistet, welche Schwachstellen ein evtl. vorhandenes Exploit aus der analysierten Webseite beim System des Besuchers ausnutzen will.

Wenn Sie genaueres über Techniken zur Analyse und Suche nach eingebetteter Malware auf kompromittierenden oder gehackten Webseiten erfahren wollen,
empfehle ich Ihnen, auch als kleine Anleitung für
Wepawet und Jsunpack, dazu noch folgende Artikel:

http://www.heise.de/security/artikel/Malware-auf-der-Spur-940407.html
http://www.heise.de/security/artikel/Java-Decompiler-940637.html


Der F -ONLINE Malwarescanner F entspricht der Engine des Offlinescanners MalAware von Emisoft
und läuft lt. Emisoft "...
ohne weitere Installation..." auf Windows XP, Vista, 7 sowie auf 2003/2008 Servern in allen 32 Bit und 64 Bit Editionen.
Leider installiert der Scanner aber dennoch vorab auf allen Systemen (auch 98/SE/ME !) ungefragt ein Aktive-X-Modul,
welches Sie jedoch mittels
Spybot S&D über die Option "Werkzeuge...Aktive X" mit Hilfe dieser Anleitung
leicht wieder entfernen können. Während des Scans werden zudem ca.
50 MB freier RAM benötigt.
Emisoft empfiehlt daher "...den Einsatz auf Computern mit mindestens
512 MB RAM, ideal wären 1 GB RAM..."
Bitte beachten Sie auch , dass ältere Systeme wie Win 98/SE/ME von der Scannerengine nicht unterstützt werden!

Falls Ihr Browser den hier angebotenen Onlinescan bzw. den Download oder Betrieb des o.g. Aktive-X-Modul nicht unterstützt,
können Sie die Engine auch direkt durch Nutzung des Links unten rechts im Scannerfenster
downloaden und anschließend lokal nutzen.
Allerdings muss
auch in diesem Falle eine aktive Internetverbindung zur Verfügung stehen,
da lt. Emisoft nur so "...ein vollständiger Cloud-Scan aller aktiven Prozesse technisch möglich ist..."
Mit dem Starten eines Scans
willigen Sie ein, dass anonymisierte Informationen über Ihren Systemzustand
an die Emsisoft Webserver übertragen werden.
Ohne diesen Datentransfer wird der Scan verweigert.


Eine weitere, sehr gute Adresse ist das

Lexikon der Computer Sicherheitsbegriffe

von EMISOFT (a-squared Free)


Hier gehts zu Trojaner-Info.de....Die DEUTSCHEN Trojaner-Seiten
Infos über Trojaner, Viren und Internetsicherheit

Ausführlichere Infos zu speziellen Viren und Würmern

werden am besten gleich bei den Herstellern aktueller Virensoftware

oder dem

Bundesamt für Sicherheit in der Informationstechnik

recherchiert.


Infos über Falschmeldungen (Hoaxes) gibt es bei der

TU-Berlin Hoax-Info Service

 


Viren...

...sind kleine, mit unterschiedlichen Programmiersprachen erstellte Programme, die auf dem infizierten Rechner schädlichen Code ausführen können.

Sie haben die typische Fähigkeit, sich selbst zu reproduzieren, befallen die unterschiedlichsten Dateien und Programme, und kopieren sich dann im allgemeinen versteckt noch in weitere Dateien und Programme sowie die Registry um sich nach Löschen derprimär infizierten Datei möglichst von selbst erneut installieren zu können.

Das Repertoire der Symptome reicht von harmlosen Scherzmeldungen über Systemabsturz bis hin zum kompletten Formatieren der Festplatte.

Bestimmte Viren schaffen es sogar, die Steuerbereiche auf Festplatten zu überschreiben, oder gar Leseköpfe zu Crashen, so dass das gesamte Laufwerk selbst für eine komplette Neuinstallation des Betriebssystems unbrauchbar wird und somit möglicherweise irreparabel zerstört ist.

 


Würmer...

...dagegen sind nichts weiter als Scripts zur heimlichen Einschleusung fremder Programme wie Viren, Trojaner, Keylogger, Fernwartungsprogramme oder andere Spionagetools.

-Ausser dieser Transportfunktion via Internet, E-Mail-Anhang oder auch als versteckte Zugabe in ansonsten nützlichen Freeware-, Shareware-, und sogar Kaufprogrammen können sie wie Viren auf annähernd jedem externen Datenträger lauern und sich selbst vermehren.-Allerdings sind sie darüber hinaus noch in der Lage sich im E-Mailprogramm (z.B. Outlook) oder Browsern (z.B. Internetexplorer) einzuschleichen und fortan über eine bestehende Internet-, FTP-,oder POP3 Verbindung selbst zu verschicken.-Im speziellen Fall der E-Mail werden in der Regel zu diesem Zweck meist die vorhandenen Adressbücher genutzt. Die ahnungslosen Empfänger der wurmverseuchten Mails ahnen dabei nichts Schlimmes und werden glatt überrumpelt, da ihnen der Absender ja bekannt ist.

 


Trojaner sind ähnlich wie Würmer nur Transportscripts für Viren oder für kleine Progamme zum Ausspähen von personen- oder rechnerbezogenen Daten wie Passwörtern, E-Mailadressen, Kreditkartennummern, Kontonummern und PIN-Nummern wie sie etwa beim Online Banking notwendig sind.

Sie tarnen sich dabei auch gerne als kleine, nützliche Gratistools und haben in der Regel neben ihrer versteckten Hauptaktivität tatsächlich auch noch eine harmlose und sinnvolle Nebenfunktion, um möglichst wenig Verdacht zu erregen und den Benutzer in Sicherheit zu wiegen.
Gleichzeitig schleusen sie dabei allerdings im Hintergrund über einen versteckten Internetzugang die verschiedensten Programmcodes wie etwa solche zum Fernsteuern des Rechners oder auch beliebige Viren oder sonstigen ausführbaren Code (Zum Beispiel Exe.-Dateien) ein.
Dabei werden diese Schadprogramme in der Regel geschickterweise nicht in einem einzigen Download heruntergeladen,
sondern immer nur in kleinen, unauffälligen Programmschnipseln, die sich relativ leicht an Firewall und Antivirenwächtern vorbeischleusen lassen,
da sie weder eine für den Scanner klar erkennbare Signatur aufweisen, noch zu diesem Zeitpunkt eine sonstige Verhaltensauffälligkeit im System zeigen.Diese Schnipsel werden dann später offline von einem ebenfalls im Trojaner versteckten Installer zu einem funktionierenden Schadprogra
mm zusammengesetzt.Von den Würmern unterscheiden sich Trojaner eigentlich nur durch ihre fehlende Fähigkeit der Selbstvermehrung und Selbstversendung,
etwa als E-Mailanhänge über die Adressbücher der befallenen Rechner.

Da sie statistisch heute fast ausschließlich nur noch zum Einschleusen von Backdoorprogrammen dienen, werden sie seit einiger Zeit fälschlich von einigen Autoren mit solchen "Remote Control Programmen" gleichgesetzt und sollen angeblich selbst zur Fernsteuerung der infizierten Rechner durch unbekannte Personen genutzt werden können, insofern der Rechner gerade mit dem Internet verbunden ist.

Das ist nicht richtig: Der Trojaner ist in Wirklichkeit lediglich die Transportverpackung für eben solche Spionagetools und hat selbst keinerlei weitere Funktionen mit Ausnahme der zur Tarnung vorgesehenen Nutzeffekte.


Ein Remote Control Programm

( = R C P ) ist eigentlich ein gute Sache, solange es gemäß seiner eigentlichen Bestimmung zur sinnvollen Fernwartung von Internetservern oder Netzwerken eingesetzt und nicht durch Dritte zu illegalen Handlungen missbraucht wird.

Es besteht in der Regel aus zwei Komponenten:

Erstens aus einer Art "Serverteil", welches auf dem zu wartenden Rechner installiert sein muß, und zweitens aus einem "Cliententeil", welches sich auf dem Rechner der Person befindet, welche diese Wartung vornehmen soll. (Also in der Regel ein Systemadministrator oder Techniker). Dieser kann seine Arbeit nun bequem via Internetverbindung von jedem beliebigen Ort der Welt aus mittels PC oder Laptop durchführen und auf diese Weise ohne lästige und zeitraubende Anfahrten ganze Firmennetzwerke betreuen. - Soviel zu den legalen Einsätzen der RCP's

Leider können diese Tools aber auch leicht zu illegalen Eingriffen und Manipulationen auf fremden Rechnern mißbraucht werden!

Zunächst wird das Serverteil über den schon erwähnten Trojaner eingeschleust und schreibt über ein kleines Script einen Autostarteintrag in die Registry und / oder eine Systemdatei des Bertriebssystems (Zum Beispiel Windows98 ). Dann installiert sich der Server heimlich beim nächsten Neustart des Rechners und tarnt in der Regel seine eigenen Dateien noch als Windows Systemdateien, die er möglichst zusätzlich versteckt und mit einem Schreibschutz versieht, damit sie unter dem laufenden Betriebssystem weder angezeigt noch entfernt werden können.

Nach erfolgreicher Installation über solch ein Autostartregister schickt das Servermodul dann zunächst ein kleines Datenpaket an eine bestimmte Adresse und meldet dort seine Bereitschaft an. Spezielle Programme übernehmen dann in sekundenschnelle und teilweise sogar vollautomatisch den Rechner ohne dass der User zwangsläüfig etwas davon mitbekommen muß.- Zweck solcher Übernahmen sind zum Beispiel die heimliche Kaskadierung der Rechenpower vieler Einzelrechnern um zu einem bestimmten Zeitpunkt einen gezielten Denial of Service Angriff (DOS) gegen ein völlig anderes Ziel (Behörden oder Firmenserver) zu führen.- Aber es lassen sich auch eine große Zahl anderer Angriffe oder Anwendungen realisieren.

Einige dieser Trojaner (Keylogger) legen sogar Logfiles über alle (!!!) Tastatureingaben des Rechners der letzten Wochen bis Monate in versteckten Logfiledateien an und verschicken diese bei der nächsten Internetanbindung (zumeist verschlüsselt) an unbekannte Adressen.

Seltener gibt es auch Versionen, die in mehreren Einzelkomponenten zu verschiedenen Zeiten hintereinander auf die Opferrechner gelangen und sich erst nach einer bestimmten Wartezeit (Zum Beispiel abhängig vom Datum oder der Anzahl der erfolgten Bootvorgänge) von selbst zum fertigen RCP-Modul zusammensetzen, um einer vorzeitigen Entdeckung durch Viren- oder Trojanerscanner zu entgehen.-Manche sind sogar in der Lage, die auf dem Rechner installierte Scannersoftware auszuschalten bzw. geschickt zu umgehen! Solche Fähigkeiten besitzen mittlerweile auch einige Dialer und vor allem verschiedene Spywaremodule, welche ganz gezielt und mit mehr oder weniger großem Erfolg versuchen, Programme wie AD-Aware oder 0190-er Warner zu blockieren. Glücklicherweise erscheinen fast wöchentlich immer wieder neue Updates solcher Schutzprogramme, welche man deshalb auch möglichst regelmässig downloaden sollte.

-Das Recherchieren der Zieladressen von Spionagetools ist übrigens nach deren Aktivierung und Senden von Datenpacketen rein technisch grundsätzlich innerhalb der ersten Stunden bis Tage selbst bei Verwendung von Anonymisierungsdiensten durch den Trojaner fast immer möglich!

Leider übersteigen Aufwand und erforderliche rechtliche Legitimation aber in der Regel die Mittel eines Privatmannes und gehören damit eher zum Instrumentarium von Ermittlungsbehörden und geheimen Nachrichtendiensten. Ein öffentliches Interesse an der Aushebung solcher Privatspione besteht leider nicht, so dass man in dieser Sache eigentlich nur die Zähne zusammenbeissen und nicht wirklich auf amtliche Hilfe hoffen kann.-

 

Ausnahmen bestehen lediglich in Verbindung mit kriminellen Handlungen (Kinderpornografie, Gewaltverherrlichung, Aufrufen zu Straftaten usw.). In diesem Falle kann zwar die Hilfe der Ermittlungsbehörden in Anspruch genommen werden, aber der komplette Rechner müßte im Falle einer Anzeige zwecks Beweissicherung und anschließender Internetfahndung zur Polizei gebracht werden.-Dort verbleibt er dann möglicherweise viele Wochen und Monate, alle Festplatten werden komplett gespiegelt und archiviert, und nachdem man ihn dann (hoffentlich in intaktem Zustand) irgendwann einmal wieder abholen darf, hat man zugleich die traurige Gewissheit, dass alle sensiblen und intimen eigenen Daten nun ebenfalls zum freien Zugriff der Behörden in staatlichen oder geheimdienstlichen Archiven lagern. Eine verlässliche Vernichtung dieser Daten nach Abschluß dieser Angelegenheit ist nicht zu erwarten und selbst durch einen gewieften Anwalt nur schwer zu erzwingen.-Und selbst wenn der Staatsanwalt diese Vernichtung ausdrücklich angeordnet und deren Ausführung schriftlich bestätigt hat, ist dies noch lange keine Garantie, dass gemäß übergeordneter Anweisung nicht noch irgendwo ein kleines "Gesamtbackup" des Datenbestandes der Behörde zu "Sicherheitszwecken" existiert...

Dass ich diesen Weg also ganz ausdrücklich nicht empfehlen kann, sondern lieber zur Eigenhilfe in Bezug auf Entfernung der kleinen Plagegeister rate versteht sich wohl von selbst!


Dialer

sind kleine Einwahl-Programme, die meist unbemerkt mittels eines Virus, einem Trojaner,
externer Software (zum Beispiel Free-und Shareware)
oder auch direkt über ein Javascript oder einen anderen Code durch eine besuchteWebsite
auf dem Rechner installiert werden und danach im Hintergrund versuchen,
eine ganz bestimmte, kostenpflichtige DFÜ-Einwahlverbindung (Meist 0190-er Nummer) herzustellen.
Die bereits vorhandenen DFÜ-Zugänge werden dabei oft blockiert oder mit der Dialernummer überschrieben,
wobei der User im Glauben belassen wird, dass er auch weiterhin über seinen gewohnten,
günstigeren Provider surft. Nicht alle Dialer installieren sich heimlich.
Bestimmte kostenpflichtige Webseiten bieten Ihren Zugang ausschließlich
als sog."High-Speed Zugänge" oder "Verbindung-Software-Updates" an,
deren Installation der Besucher vorher zustimmen muß.
Dies macht er entweder ganz bewußt durch Anklicken von
OK oder JA in einem Dialogfenster
oder unbewußt durch Schließen desselben beim Anklicken von
NEIN.
Schließen Sie daher aus Sicherheitsgründen solche Fenster ausschließlich durch das kleine
X oben rechts
oder gleich durch den
Taskmanager (ANWENDUNG SCHLIEßEN) den Sie mittels
die Tastenkombination:
Strg-Alt-Entf. jederzeit aufrufen können.
Auf diese Weise lassen sich übrigens auch ungewollte
POP-UPs und blockierende Webites ausschalten.

Lesen Sie über DIALER auch folgenden Artikel der a-Square Seite von EMISOFT:

http://www.emsisoft.de/de/kb/articles/tec041212


PUPs/PUAs

PUPs oder PUAs (= "Potentially Unwanted Programs" bzw. "Potentially Unwanted Applications"
sind zwar keine klassischen Schadprogramme, werden aber als zusätzliche Tools, Toolbars, Adware, Plug-ins
oder weiteren Downloads in üblichen Freeware-Bundles diverser Softwarehersteller und
(
noch legal) mehr oder weniger versteckt als "freiwillige" Option zur Installation angeboten.
In der Regel kann man dieses Angebot bei einer
benutzerdefinierten Installation durch entsprechendes Setzen
oder Entfernen von Häkchen in Dialogboxen vor oder während der Hauptinstallation ablehnen oder annehmen.
In vielen Fällen funktioniert das auch und daher wäre es auch falsch, alle Programme mit diesen Eigenschaften
grundsätzlich von vorneherein als unseriös einzustufen.

PUPs selbst können bestenfalls harmlos, vielleicht auch lästig und im Extremfalle sogar gefährlich für Rechner
und Datensicherheit sein. Zumindest aber nerven sie und nicht selten kann ein nachträglicher Deinstallationsversuch
zum Auftreten aller möglichen Probleme, wie der irreparablen Beschädigung anderer Programmen oder des kompletten Betriebssystems führen.
Besonders häufig nach solchen Deinstallationen finden sich z.B. unbrauchbare Browser und müssen dann manuell neu installiert werden.
Viele der Störungen sind dabei allerdings systemspezifisch, betreffen also durchaus nicht jeden Rechner.
Angesichts des möglichen Spektrums zu erwartender Störungen nach PUP-Installation/PUP-Deinstallation kann
daher auch nicht immer schon vorab eine klare Linie zwischen
echter Malware und Adware gezogen werden.
Ich persönlich ziehe diese Grenze zur Malware genau da, wo ein Programm (zumeist im Hintergrund) unerwünschte Aktionen durchführt,
andere Programme unaufgefordert blockt oder verändert und natürlich die Systemressourcen belastet.
Tendenziell werden PUPs durch ihre negativen Auswirkungen, wie schwindende Systemperformance, häufige Systemabstüze, geänderte Browserkonfigurationen mit überflüssigen Toolbars und Startseitenänderungen, Pop-up-Werbeanzeigen, Slide-Up-Fenstern, unerwünschten Autostarteinträgen, immer nerviger und gefährlicher.
Besonders unangenehm dabei ist, dass am Ende vermutlich niemand mehr genau weiß, welches PUP nun genau für eine bestimmte Störung verantwortlich ist und erst recht nicht,
wie man es ohne Neuinstallation sicher identifizieren und wieder sauber entfernen kann.


Ein gutes Beispiel für eine eher
seriöse Variation dieses Geschäftsmodells ist der Adobe Reader.
Das Freewareprogramm von Adobe kommt schon seit jeher im Bundle mit
McAfee daher:

Vielleicht etwas lästig, aber absolut fair: Nach Entfernen des standardmäßig gesetzten Häkchens wird das Zusatzprogramm von McAfee nicht mitinstalliert.
Vielleicht etwas lästig, aber absolut fair:
Nach Entfernen des standardmäßig gesetzten Häkchens
wird das Zusatzprogramm von McAfee
nicht mitinstalliert.

Aber nicht immer wird der Nutzer wie bei Adobe so deutlich auf das Zusatztool (PUP/Toolbar etc.) hingewiesen!
Insbesondere bei Installationsoptionen wie "
Standard" , "schnell", "Express", "komplett" oder "typisch"
wird diese Nachfrage dann nämlich zuweilen auch mal gerne übersprungen bzw. unterschlagen.
Dass viele Nutzer aus Unsicherheit oder Bequemlichkeit ohnehin meist eine "
komplette Expressinstallation" der (komplizierter erscheinenden)
"
benutzerdefinierten Installation" vorziehen und lieber einfach immer nur auf "Weiter" klicken, damit sie sich weder um
Datenschutzerklärungen oder Nutzungsbedingungen kümmern müssen, kommt solch unerwünschten Aktionen natürlich entgegen.
Schließlich erteilen sie damit (wenn auch in der Regel unwissenderweise) automatisch ihre Zustimmung zur Installation der Plagegeister.

Besonders ärgerlich ist dabei, dass aktuell immer mehr Hersteller ganz ungeniert auf dieses Vermarktungsmodell setzen
einschließlich der Antivirenschmieden, deren Produkte solche Schädlinge eigentlich bekämpfen sollten.
Da gerade diese aber bisher einen besonderen Vertrauensbonus genießen, wird hier allmählich der Bock zum Gärtner gemacht!
Gottlob sind (zumindest bisher) noch nicht alle Hersteller von Sicherheitssoftware auf diesen lukrativen Zug aufgesprungen.

Trauriger Pionier in dieser Richtung war schon 2011 ausgerechnet der bis daher noch allseits geschätzte Antivirenhersteller AVIRA,
der ohne Vorwarnung mit einem ganz normalen
Produkt-Update vom 28. Juni 2011 seinen Freewarenutzern die sog. "ASKOM Toolbar" aufdrängen wollte.
Nachdem dies in den Foren dann für ziemliche Empörung gesorgt hatte, da die ASKOM schon damals bereits einen zweifelhaften Ruf als Hersteller
von Schnüffelsoftware genoss,ruderte AVIRA jedoch klugerweise zurück und trennte sich allsbald offiziell wieder von diesem Geschäftspartner.

Siehe dazu auch meinen Beitrag:

Antivir mit Schnüffeltool Askom Toolbar

 

Seit Anfang 2015 warnt z.B. Emisoft in seinen Newslettern vor dieser Praxis:

Ist der Antiviren-Sektor nicht mehr ganz bei Trost?!
Ein Kommentar by Jochen (17. Januar 2015)

"Wir beobachten einen Besorgnis erregenden Trend, der langsam außer Kontrolle gerät: Potenziell unerwünschte Programme (PUPs) sind weiterhin auf dem Vormarsch. Was jedoch noch Besorgnis erregender ist: wie die Verbreitung vonstatten geht. Seit große Anbieter wie Oracle (Java) und Microsoft (Bing und Skype) damit begonnen haben, ihre Software im Paket mit anderer Software zu verkaufen, sind jetzt Antiviren-Softwarenanbieter jetzt auf diesen Zug aufgesprungen. Wir haben Recherchen zu den häufigsten Vorgehensweisen mit PUPs unter Freeware-Antiviren-Softwareanbietern angestellt, und die Ergebnisse sind recht verstörend...."

Lesen Sie HIER weiter


Trau, schau wem...

Aktuell ließen mich (2015) zwei Berichte von Emisoft aufhorchen, nach welchen bestimmte Malware des mittlerweile sehr negativ in die Schlagzeilen geratenen "Hacking Teams" - einer italienischen Firma, die vor allem staatliche Instanzen mit übler Schnüffelsoftware beliefert- von mehr als 80% (!!!) der renommiertesten und am weitesten verbreiteten Antivirenprogramme nicht erkannt werden soll.
So nehmen verschiedene Hersteller von
Anti-Adware-Software offenbar immer öfter Geld von PUPs-Herstellern bzw deren Partnern,
um ein Auffinden und Entfernen der störenden Module aus dem entsprechenden Freeware-Programm zu verhindern.
Insbesondere gerieten etwa ab 2004 dabei folgende 3 Firmen in den Focus des Misstrauens:

Lavasoft (Ad-Aware)

Aluria (Spyware Eliminator)

Etrust (Pestpatrol)

Siehe dazu auch meinen Beitrag: Delisting

Wenn diese Informationen wirklich stimmen, dann sollte man sich ernsthaft fragen, ob auch bei den Herstellern von Antivirensoftware nicht möglicherweilse ähnliche Deals im Hintergrund abgelaufen sein könnten wie seinerzeit (2004) schon bei den Anti-Adware-Herstellern.

Bitte urteilen Sie selbst:

Von staatlich gesponserten Hackern veröffentlichte Dateien zeigen,
an welchem Schutz ihre Trojaner scheitern
(27. Juli 2015)

In Sicherheitswissen by Jochen

Üblicherweise testen Anbieter von Anti-Malware-Lösungen ihre Produkte im Labor zur Untermauerung ihrer Glaubwürdigkeit. Im Rahmen der kürzlich veröffentlichten Enthüllungen über Unternehmen, die Überwachung im großen Stil durchführen, sind jedoch neue Informationen aufgetaucht, mit denen bestimmt werden kann, wie gut beliebte Anti-Malware-Produkte bei der Erkennung unerwünschter Bedrohungen ihre Arbeit verrichten.

Lesen Sie HIER weiter

 

Datenpannen bei internationalen
Überwachungsunternehmen lassen
deutlich erkennen, auf welche
Antivirenprogramme wir uns wirklich
verlassen können.
(27. Juli 2015)

Kürzlich veröffentlichte Enthüllungen in den Schlagzeilen zeigen, dass Malware von Überwachungsunternehmen wie Hacking Team und FinFisher bei mehr als 80 % aller Antivirenprogramme nicht erkannt wird!

Lesen Sie HIER weiter

 

Eine Liste der betroffenen Programme finden Sie hier:
Direktlink zur Liste der getesteten Programme

 

Es ist also dringend notwendig, hier selbst ein wenig Insiderwissen zu haben.
Denn es geht leider nicht ganz ohne Kompromisse.-
Viele an sich brauchbare Tools müssen nämlich quasi vor Gerauch erst "entschärft"
oder zumindest ein fachgerecht konfiguriert werden,
damit sie sich auf ihren eigentlichen Job beschränken ohne störend ins System einzugreifen.
Auch ich kann daher nicht völlig bedenkenlos einen 100-prozentig sicheren Tipp geben,
welchen Herstellern bzw. Anbietern man heute überhaupt noch in allen Punkten trauen kann.
Zu groß ist die Versuchung auf den PUPs-Kurs aufzuspringen und damit viel Geld zu machen.
Nachdem dann in der Vergangenheit einige der bis dahin noch vertrauenswürdigen Hersteller von Schutzsoftware
durch fragwürdige Aktionen und kundenfeindlichen Umgestaltungen Ihrer Programme
an gutem Ruf und (zumindest einen Teil meines) Vertrauensbonus verloren haben,
kann ich zurzeit noch ad hoc
für die erste Wahl vor allem Avast und Antivir, den CCleaner sowie Spybots S&D
und den Revo-Uninstaller empfehlen, um ihr System zu schützen und bereits bestehende Probleme mit Adware und Malware sicher zu entfernen.
Sie finden diese und viele weitere Produkte als Freeware in meinem
Downloadbereich.
Zu einigen Tools stehen Ihnen dort auch ausführliche Anleitungen zur Verfügung.
Weitere (meiner Ansicht nach) vertrauenswürdige (und PUPs-freie)Tools finden Sie in der
Sysinternals Suite von Microsoft.


Wozu das alles?

PUPs können zwar sowohl für (primäre) Hersteller als auch Drittanbieter von Software ein Milliardengeschäft sein!
Ein besonderes Problem sind meiner Ansicht auch nach die immer lästiger werdende aggressive Werbung in eigener Sache um
z.B. mittels nerviger
Slide-Up- oder POP-UP-Fenster Freewarenutzer zur Installation einer höheren
Programmversion oder auch kostenpflichtiger Zusatzmodule zu
drängen.

Siehe dazu auch meine Beiträge:

ZoneAlarm nervt
Antivir Zwangsupgrade


Hauptnutznießer sind allerdings
keineswegs immer die primären Urheber der vom Nutzer so begehrten Freeware-Programme.
Oft werden PUPs-verseuchte Freeware-Bundles nämlich auch
ohne Lizenz des Urhebers zusammen mit einem oder mehreren PUPs
von Drittanbietern als ausführbare Einzeldatei erstellt, um dann auf bekannten Downloadportalen tausendfach vermarktet zu werden.
Diese eingebauten PUPs haben in der Regel keinen besonderen Nutzen oder sind sogar
Fakeprogramme für "Computersicherheit",
die den Anwender lediglich
ausspionieren oder in gefakten Scans vorgaukeln, sie hätten angeblich "Malware auf dem System entdeckt",
deren Entfernung dann natürlich ausschließlich
kostenpflichtig angeboten wird.
Zudem soll nach einer Marktanalyse zumindest dieser Drittanbieter vom PUP-Hersteller
bis zu 2 $ und mehr für jede bestätigte Installation
erhalten. Kontrolliert wird dies u.a. durch (meist automatische) Onlineregistrierung des Anwenders bei Aktivierung der Freeware.
Besonders ärgerlich ist, dass diese PUPs-verseuchten Downloads vor allem auf großen Freewareportalen, wie aktuell download.com angeboten werden,
deren großer Bekanntheitsgrad dem User eine bislang noch einwandfreie Reputation vorgaukeln.
Dass es damit aktuell allerdings schon lange nicht mehr allzuweit her sein kann, lässt ein weiterer Artikel von
Emisoft erahnen:

 

62 % der Top-50-Anwendungen auf Download.com
werden mit Toolbars und anderen PUPs geliefert!

In Sicherheitswissen by Jochen (26. Februar 2015)

Download.com von CNET gilt als eines der, wenn nicht gar DAS beliebteste Downloadportal, das eine Vielzahl verschiedener (kostenloser und kostenpflichtiger) Software anbietet.
Kürzlich stellten wir Ihnen die
zehn häufigsten Wege vor, wie sich Toolbars, Adware, Homepage-Hijacker und andere unerwünschte Programme (PUPs) auf Ihrem Computer einnisten. Potenziell unerwünschte Programme entwickeln sich zu einer neuen Epidemie, mit der sich Nutzer regelmäßig konfrontiert sehen. In der Tat zeigt eine kürzlich veröffentlichte Panda Security-Studie, dass potenziell unerwünschte Programme einen Zuwachs verzeichnen, sodass PUPs inzwischen 24,77 % aller Malware-Infektionen ausmachen.

Lesen Sie HIER weiter

Eine Liste mit 31 PUPs oder Toobars in den TOP-50-Anwendungen auf Download.com
können Sie hier als PDF-Datei herunterladen:
emsisoft_PUP_Top50_de.pdf

 

Das "Download.com" keineswegs ein Einzelfall ist,
beweisen weitergehende Tests von
Emisoft mit 10 der bekanntesten Downloadportale:

Weitere Einzelheiten und eine Auflistung der betroffenen Programme finden Sie hier:
Downloadportale-die-sie-links-liegen-lassen-sollten/

(Stand: April 2015)


Besonders hinterlistig..

..erscheint mir unter diesen Gesichtspunkten auch die Praxis der rennomierten Antivirenschmiede McAfee,
wie Sie folgender Heise-Meldung entnehmen können:

McAfees Reinigungs-Tool Stinger installiert heimlichen Wächter (15. Mai 2015)

Wer McAfees Scan-Tool "Stinger" benutzt, um seinen PC zu säubern, bekommt ungefragt einen Virenwächter im Betastadium untergeschoben. Einen Opt-Out gibt es nicht. Stinger ist ein Standalone-Tool von McAfee zur Malware-Entfernung; sein Einsatz erfordert keinen McAfee-Virenschutz. Trotzdem installiert es ohne Hinweis oder Rückfrage einen Hintergrund-Wächter. Die Software namens Raptor soll das System in Echtzeit auf verdächtiges Verhalten hin überwachen. Sie befindet sich im Betastadium; McAfee möchte dementsprechend auch keinerlei Garantie dafür übernehmen. Dennoch wird es zwangsweise installiert,
sobald der Anwender Stinger startet und die Lizenzbedingungen akzeptiert – einen Hinweis auf Raptor sucht man dort allerdings vergebens.

Lesen Sie HIER weiter

 

Noch dazu lässt sich Raptor mangels korrektem Eintrag in der Windows-Softwareliste nicht einfach über die bordeigene Systemsteuerung deinstallieren.
Das zugehörige Icon im Systray bietet dafür aber offenbar eine entsprechende Option im Kontextmenü.
Ob diese allerdings alle Einträge des PUPs wirklich entfernt, wage ich abweichend von den bisherigen Erkenntnissen der Heiseforscher zu bezweifeln.
Um hier halbwegs sicher zu gehen, verwenden Sie daher am besten gleich ein externes Tool wie den
Revo Uninstaller, (Jagdmodus über Raptor-Icon)
um auch
tiefere Registryeinträge der Software sicher wieder zu entfernen, welche die programmeigene Deinstallationsroutine möglicherweise ignoriert.

(Stand: Mai 2015)

 

LINKS

https://blog.gdata.de/artikel/potentiell-unerwuenschte-programme-viel-mehr-als-nur-nervig

http://blog.emsisoft.com/de/2015/01/17/ist-der-antiviren-sektor-ist-nicht-mehr-ganz-bei-trost

http://blog.emsisoft.com/de/2015/02/26/62-der-top-50-anwendungen-auf-download-com-werden-mit-toolbars-und-anderen-pups-geliefert

http://blog.emsisoft.com/de/2015/03/11/top-downloadportale-die-sie-links-liegen-lassen-sollten

http://blog.emsisoft.com/de/2015/04/02/wie-ihnen-das-herunterladen-von-einem-programm-sechs-pups-bescheren-kann


Rootkits

Der Begriff "Rootkits" stammt ursprünglich aus der Linux Nomenklatur und steht für spezielle Tools oder Tool-Sets,
welche mittels Administrator-Rechten grundlegende Systemänderungen an Hardware, Software,
Konfigurationen und Betriebssystem eines Rechners oder Servers durchführen können.
Sie sind schon lange bekannt und gewissermaßen das
Sahnehäubchen auf der Masse der übrigen Schädlinge.
Unter
WIN-Systemen tarnen sich Rootkits häufig als Treiber und laden sich dann z.B. als "Kernel Rootkits" direkt ins Herz des Betriebssystems.
Andere wiederum infizieren als sog.
"Userland Rootkits" das System auf User-Ebene, indem sie sich als System oder Shared-DLL tarnen,
in bestehende Prozesse injizieren, API-Funktionen abfangen und so vorhandene Viren, Adware, Spyware, Trojaner
und natürlich sich selbst vor allen herkömmlichen Scannern verbergen.

"Rootkit" bedeutet frei aus dem Englischen übersetzt soviel wie
"Ausrüstung (oder Werkzeugkasten) für Administratoren"
,
womit eine Art von Zusammenstellung sehr effizienter Tools gemeint ist, welche sich
nach dem Einbruch in ein Computersystem (etwa via Programm, Trojaner oder Virus) unsichtbar im Hintergrund
auf dem kompromittierten System selbstständig installieren, um :

1....zukünftige Logins des Eindringlings zu verbergen.

2....die Präsenz einer Malware (Prozess, Datei, Registrierungseintrags, Netzwerk-Ports)
vor dem Computer-Nutzer, aktiven Antivirenmodulen oder Administrator zu verstecken.

3....Passwörter,Daten von Terminals, Netzwerkverbindungen
und der Tastatur in einer Datei mitzuschreiben. (Keylogger).

4....Hardwarefunktionen zu modifizieren oder zu blocken sowie bestehende Konfigurationen zu manipulieren.

5....Dazu können zusätzlich Backdoors (Hintertüren, RCPs) mit den üblichen Kontrollfunktionen kommen,
die es sich mittels Serverfunktion über Internetzugriffe mit einem Angreifer verbinden,
um diesem zukünftig einen Zugriff,etwa via Cliententool, auf das kompromittierte System zu vereinfachen.
So kann beispielsweise eine Shell gestartet werden, wenn an einen bestimmten Netzwerkport
eine Verbindunganfrage gestellt wurde. Am Ende kann solch ein infizierter Rechner
komplett vom Cliententool übernommen und dann bei bestehender Internetverbindung im Hintergrund
beliebig als "Zombieserver"etwa für kriminelle Attacken gegen Dritte missbraucht werden.

Die Grenze zwischen Rootkits, RCPs und Trojanern ist also naturgemäß fließend und
es gibt neben relativ komplizierten Kompletttools auch noch verschiedenste Vernetzungen entsprechender Standalone-Module.
Ursprünglich nur auf UNIX-Servern eingesetzt, unterscheidet man heute speziell unter Windows:

1....
Kernel Rootkits
Diese ersetzen Teile des Betriebssystem-Kerns (Kernel) durch eigenen Code,
um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen,
die aber nur im Kontext des Kernels ausgeführt werden können.
So etwa den Download von modifizierten Kernelmodulen aus dem Internet über die Serverfunktion.
Daher auch der spezielle Name
LKM-Rootkits (Loadable Kernel Module“).
Einige dieser Kernel-Rootkits sind sogar in der Lage auch ohne externen Download neuer Komponenten
direkt den Systemkernel zu manipulieren indem sie sich zum Beispiel
als neue *.SYS -Treiberdateien fest im System einnisten und so zu den verschiedensten Systemfunktionen Zugang verschaffen.


2.... BIOS-Rootkit
Diese spezielle Form wurde im Januar 2006 auf der Black Hat-Konferenz vorgestellt
und war in der Lage,
selbst nach einem FORMAT-C der Festplatte und Neuinstallation
des Betriebssystems noch unverändert und zuverlässig seinen Auftrag zu erfüllen..


3....
Userland Rootkits
Das sind vor allem auf Windows spezialisierte Tools, die ohne direkten Zugriff auf der Kernel-Ebene eine DLL bereitstellen,
die dann mittels verschiedener Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle laufenden Prozesse injiziert wird.
Einmal geladen, modifiziert diese DLL selbständig API-Funktionen und leitet deren Ausführung dauf sich selbst um.
Das Ergebnis ist ein sehr effizientes und gezieltes Filtern sowie Manipulieren von Informationen.


4....
Speicher Rootkits
Sie existieren nur im Speicher und werden durch einen Neustart des Systems automatisch gelöscht.
Durch entsprechende Zusatzmodule und/oder feste Registryeinträge können sie jedoch immer wieder
in einen aktiven oder passiven Speicherbereich übertragen und damit erneut tätig werden.

 

Rootkits eignen sich übrigens auch für ganz legitime Zwecke,
von denen mir einige sogar sehr positiv erscheinen
....
Durch die bereits erwähnten, grundlegenden Möglichkeiten in die Systemfunktionalität einzugreifen
und diese fast beliebig zu modifizieren, wäre es also beispielsweise auch leicht möglich,
ein solches Modul im Autostart einzutragen, welches unbemerkte Installationen und Aktionen anderer Rootkits
von vorneherein wirksam unterbinden kann wie etwa Keylogging oder das Kopieren und versenden von Bildschirminhalten.

Wobei natürlich alle Dinge zwei Seiten haben.
So kann ein auf diesem Prinzip recht wirksamer Kopierschutz von auf dem System abgespielten Datenträgern
wie etwa Videofilme oder Musik von käuflichen CD und DVD, auch schnell vom jeweiligen Hersteller
für eigene Zwecke missbraucht werden. Die Schadenspalette reicht vom Blockieren bestimmter Programme
über aktive Manipulation der Hardware sowie dem Versenden sensibler Daten des CD/DVD-Nutzers an den Hersteller
bis hin zur irreversiblen Zerstörung des gesamten Rechners einschließlich Hardware und Bios.

So kam kürzlich die Firma
Sony mit ihrem Kopierschutz auf Musik-CDs in die Schlagzeilen
und musste diverse Tonträger zurückrufen, nachdem im Oktober 2005 bekannt wurde,
dass der Kopierschutz sich mit Methoden eines Rootkits in Windows-Systemen einnistet.
Dieses Rootkit sollte angeblich nur illegale Raubkopien verhindern, installierte sich aber dauerhaft
schon beim bloßen Abspielen der CDs im System und unterminierte dessen Sicherheitsstatus.
Und
Kinowelt vertreibt in Deutschland immer noch Filme-DVDs mit einem Userland-Rootkit zum Verstecken von Prozessen.
Siehe hierzu auch meinen Newsletter vom
22.März 2006: DVD-Kopiersperre Alpha-DVD.
Mittlerweile wurde sogar eine Variante entwickelt, mit welcher virtuelle Maschinen als Rootkits verwendet werden können.
Es besteht zudem der dringende Verdacht, dass auch andere Softwarehersteller zumindest zukünftig beabsichtigen
derartige Rootkits
bei PC-Spielen (!!!) als "Kopierschutz" zu benutzen.

LICHTBLICKE:

Kostenloses Antirootkit-
Tool von Sophos
(23.August 2006)

Immer mehr Hersteller erkennen, dass die herkömmlichen Schutzmaßnahmen von Antiviren-Software gegen Rootkits nicht ausreichen.
Jetzt stellt auch der Antiviren-Hersteller Sophos ein Tool zum Aufspüren und Entfernen von Rootkits
bereit.
Das Programm sucht nach Prozessen, Registry-Einrägen und Dateien, die über die normalen Windows-API-Aufrufe nicht angezeigt werden.
Eine Reinigung ist allerdings nur dann möglich, wenn das gefundene Rootkit eindeutig identifiziert werden konnte.

Lesen Sie HIER weiter

 

Anm.:
Eigentlich eine recht gute Idee von Sophos,
Leider wird aber weder auf der Webseite
noch bei der Installation des Tools darauf hingewiesen,
dass dieses
nur auf NTFS-basierten Systemen funktioniert.
Win 95/98/SE/ME bleiben also mal wieder aussen vor.
Meine Meinung dazu:
Einfach ärgerlich!

DER TECHNODOCTOR

 


Digital Rights Management

(Digitale Rechteverwaltung oder auch DRM genannt.)

Mittlerweile (Wir schreiben nun das Jahr 2007) haben sich viele Firmen
dem Microsoftkurs angeschlossen und aus natürlich
"rein kopierschutztechnischen Gründen" (Hey!...Guter Witz! :-)))...)
via
DRM Zugriffsrechte bis tief ins Bios gesichert.
(Lesen Sie doch auch mal meinen Newsletter vom 9.Februar 2007!)

Diese Verfahren, mit dem die Verbreitung digital vorliegender Film- und Tonaufnahmen,
aber auch von Software kontrolliert werden kann, beruht auf einer serverangebundenen digitalen Rechteverwaltung
und ermöglicht den Rechteinhabern neue Abrechnungsmöglichkeiten für Lizenzen
sowie weitgehende Kontrollmechanismen sowohl über die Nutzung der Daten als theoretisch auch der dafür benutzten Hardware.
Solche elektronische Schutzmechanismen für digitale Informationen nennt man
Digital Rights Management Systems (DRMS.)

Sie können rein Softwaremäßig funktionieren, aber auch schon fest in der Hardware verankert sein (Siehe z.B. DVD-Festplattenrecorder),
bzw. auch nachträglich durch Manipulation der werkseitigen Firmware (z.B. PC-Bios) wirksam werden und ermöglichen so
die herstellerkontrollierte Verwertung von digitalen Inhalten über eine reine Pauschalvergütung hinaus
Damit wird einerseits die unbegrenzte Nutzung einschränkbar, andererseits werden On-Demand-Geschäftsmodelle ermöglicht,
die vorher kaum zu realisieren waren.
Die Zugriffskontrolle wird z.B. durch Verwendung kryptografischer Verfahren realisiert,
indem ein beliebiger digitaler Inhalt durch Verschlüsselung eindeutig an eine Lizenz gebunden wird.
Ohne diese Lizenz kann der Benutzer zwar Geräte oder den Datenträger erwerben,
jedoch nicht auf die Inhalte zugreifen.

Ein sog. Lizenz-Server verwaltet und verschlüsselt diese mit Hilfe eines DRM-Verpackers
und macht sie vorerst einmal unlesbar.
Dieser Server kann dann via erworbene Software direkt auf dem Wiedergabegerät im Hintergrund laufen
oder auch ausschließlich zentral über eine bestehende Internetanbindung(Z.B. bei Streamingvideos usw.) realisiert werden.
Die erforderlichen Schlüsselcodes für Benutzerauthentifizierung und Inhalteentschlüsselung werden also erst auf explizite Anforderung
(zB.aus entsprechenden Kennungen der Wiedergabegeräte oder PCs wie Benutzer- oder Gerätkennung,
Inhaltekennung sowie den genauen Beschreibungen der Rechte) vom Server generiert, und machen dadurch die Dateiinhalte erst lesbar
Anschließend werden sie an das Wiedergabeprogramm weitergegeben.

Daraus resultiert ein zugegeben recht wirksamer Kopierschutz, der sich allerdings nur auf direkte digitale und/oder 1:1 Kopien auswirkt.
Analoge Kopien während der Wiedergabe (Etwa durch physikalische Auskopplung des Ton-Videosignals oder mittels Mikrofone/Digicam)
mögen zwar streng verboten sein, lassen sich damit aber natürlich nicht verhindern.


Botnetze
Wenn Ihr PC immer langsamer wird, öfters abstürzt, die Internetverbindung ohne erkennbaren Grund öfters mal überlastet ist und /oder sich irgendwann gar nicht mehr starten lässt, könnte dies neben vielen anderen Gründen wie zuviel Datenmüll, Fragmentierung der Festplatte oder einem Hardwareschaden auch durch einen oder mehrere aktive Trojaner, ein
RemoteControlProgramm oder ein Rootkit verursacht sein. Diese habe ich im Einzelnen ja bereits weiter oben schon beschrieben. Wie schon erwähnt, dienen Trojaner in Anlehnung an das trojanische Pferd aus der griechischen Mythologie selbst eigentlich nur als Transportmittel für andere Malware und vor allem onlineaktive Module, welche unbemerkt im Hintergrund laufen und bei jeder bestehenden Onlineverbindung eines PCs sowohl weitere Module nachladen als auch Daten zu unbekannten Servern übermitteln können. Dazu zählen etwa Mechanismen um sich zu tarnen, Malwarescanner auszuschalten oder weitere Module (Keylogger, Rootkits usw.) zu installieren.
Besonders heikel sind Module, die im Rechner ein
RCP oder eine sonstige Backdoor installieren,
wodurch der dazugehörige Client via Internet Unbekannten einen unbegrenzten Zugriff auf den infizierten Rechner gestattet.
Wurden früher vor allem noch einzelne Computer befallen, so geht der Trend heute dank steigender und immer schneller werdender Internetanbindungen vor allem zu solchen Trojanern, die nicht nur einige wenige, sondern gleich
hunderte bis tausende Computer infizieren und diese sog. Zombierechner oder auch BOTs mittels entsprechender Clienten zu ganzen Netzen zusammenschließen können.(Zum Beispiel bei Phatbot, Agobot, SDBot oder RxBot, um nur einige zu nennen.)
Botnetze sind also virtuelle Zusammenschlüsse von befallenen Zombierechnern,
welche sich während jeder Internetverbindung bei einem Server anmelden,
um weitere Module nachzuladen und anschließend gemeinschaftlich Befehle eines Clienten entgegenzunehmen.

Als Medium wird in der Regel der
IRC verwendet. IRC ist ein Chatprotokoll, der so genannte "Internet Relay Chat".
Daher zählen auch alle
Instant Messenger Dienste wie z.B. ICQ und AOL-Messenger usw.
mittlerweile zur
Gefahrenklasse 1, weil sie durch ihre speziellen Protokolle und Channelmanagements bestimmte Ports permanent öffnen und so ideale Plattformen für die genannten Botnetze bieten.

Die Gefahren und kriminellen Potentiale sind enorm!
Jedes infizierte System kann z.B. als Proxy Server für kriminelle Aktivitäten verwendet werden.
Neben reinen DDOS und Brutforce Attacken etwa zum Nuken (Abstürzen lassen) fremder Server und Webseiten werden mittlerweile
massenhaft auch verbotene Dateien aus den Bereichen Kinderpornografie, Warez, sowie Propagandamaterial terroristischer Vereinigungen oder auch illegale Downloads (Filme, Musik, …) verschoben um von den infizierten System aus verbreitet zu werden, ohne daß der Besitzers des Rechners selbst irgendetwas davon bemerkt.
Er ist aber dennoch dafür verantwortlich und natürlich auch haftbar.
Jedes infizierte System kann selbstverständlich auch weitere Systeme direkt infizieren.
Botnetze eignen sich auch hervorragend, um bestimmte Webseitenbetreiber oder sogar Provider zu erpressen.
Wenn man bedenkt, dass durch den meist mehrtägigen Ausfall einer Firmenwebseite oder eines Internetdienstes Millionenverluste durch Umsatzstillstände sowie Wartungs und Reparaturkosten entstehen, kann man leicht nachvollziehen, dass sich hier durchaus mit Erfolg größere Summen erpressen lassen.
Eine subtile, wenn auch noch seltene Alternative zu solchen Attacken stellt übrigens auch die unerwünschte Verschlüsselung der Daten oder die Vergabe eines Festplattenpasswortes dar, welches der Angreifer erst nach Erhalt einer bestimmten Summe zu nennen oder wieder aufzuheben bereit ist.
Schließlich lassen sich Botnetze zum Versand von Spam nutzen, um damit sowohl weitere Schädlinge, aber auch unerwünschte Werbung zu verbreiten. Das bedeutet einerseits das Rekrutieren neuer Zombierechner und andererseits bares Geld durch unseriöse Auftraggeber, die das Bot-System zur Werbung und/oder zum Adressen- und Datenhandel etwa zum Erstellen von personenbezogenen Nutzerprofilen und Mailinglisten verwenden.

Lesen hier mehr darüber.

Wichtige INFO:

Der Verband der deutschen Internetwirtschaft (eco) stellt seit dem 15.September 2010 im Dezember 2009
angekündigte Anti-Botnet-Beratungszentrum in Betrieb. Internet-Anwender, deren Computer verseucht sind,
finden unter
www.botfrei.de Anleitungen und Programme, mit denen sie die Schadprogramme beseitigen können.

Lesen Sie HIER weiter


Mein Tip:

Bitte keine Panik!

Die Medien neigen prinzipiell zu Übertreibungen und wenn solche Meldungen in der Tagespresse erst einmal erschienen sind, ist die eigentliche Gefahr in vielen Fällen schon längst vorbei und die angekündigte Kathastrophe bleibt entweder völlig aus, oder lässt sich im nachhinein ohnehin nicht mehr abwenden.

Die beste Taktik ist demzufolge eine permanente Wachsamkeit jedes einzelnen Users.-Wer Internetanbindung und E-Mail mit seinem Rechner aktiv nutzt, der ist auch grundsätzlich gefährdet. Man sollte sich darüber im Klaren sein, dass diese Gefahr sich keineswegs nur in einzelnen Angriffswellen erschöpft, sondern vielmehr definitiv permanent vorhanden ist. Es ist daher auch unbedingt anzuraten, eine Dreierkombination aus einem guten Virenwächter, einer vernünftig konfigurierten Firewall und noch einem aktuellen 0190-er Warner ständig und via Autostart im Hintergrund laufen zu lassen.-Auch dann, wenn man gerade nicht mit dem Internet verbunden ist, denn erstens nutzen viele Eindringlinge gerade diese Phase zur Installation ihrer Dateien,- und zweitens vergisst man selbst nur allzuleicht das manuelle Starten der Schutzprogramme bevor man Online gehen möchte.

Dabei ist es von immenser Wichtigkeit, alle Schutzprogramme ein- bis zweimal pro Woche zu Updaten! Nichts ist gefährlicher als ein falsches Gefühl von vermeintlicher Sicherheit, während sich klammheimlich im Hintergrund eifrige Programme damit beschäftigen, die bestehenden Sicherheitsmaßnahmen zu umgehen oder ganz auszuhebeln, etwa weil sie bei ihrer Einschleusung mangels aktuellster Virensignaturen nicht erkannt werden konnten.

Das verwendete Virenprogramm sollte unbedingt ein Virenwächtermodul besitzen und dennoch der Virenscanner selber einmal pro Woche zusätzlich für einen kompletten Scan aller auf den Laufwerken befindlichen Dateien und Programme genutzt werden.-Dabei ist auch die heuristische Suche zu verwenden, selbst wenn der Vorgang dann längere Zeit in Anspruch nehmen sollte. Das gleiche gilt für zusätzliche Scans nach Trojanern oder sonstiger Spyware mittels Spezialprogrammen wie Ad-Aware oder ANTs, die man ebenfalls regelmässig einmal pro Woche durchführen und updaten sollte

Je nach Bedarf kann man im Falle einer aktiven Internetverbindung dann auch noch einige nützliche Zusatztools verwenden, etwa um zu große Grafiken, lästige Pop Up Fenster oder bedenkliche Aktive-X Controls zu deaktivieren. Zu empfehlen sind der Webwasher welcher sich auch als Proxyserver konfigurieren lässt und somit sehr viele Informationen verschleiert, oder ganz zurückhält, die der eigene Browser üblicherweise klammheimlich und im Hintergrund an die gerade betrachteten Webseiten vermittelt.-Zwar sind dies in der Regel nur Daten für statistische Erhebungen, aber man kann nie vorsichtig genug sein.

Webwasher ist Freeware und entweder über Internet oder auch durch Beilagen-CD's vieler Computerzeitschriften erhältlich. Webwasher sollte allerdings nur bei Bedarf verwendet und keinesfalls per Autostart verwendet werden, weil er auch auf seriösen Seiten teilweise ganze Grafiken und Animationen ausblendet, die weder eine Gefahr noch eine Belästigung darstellen und damit die Seiten teilweise recht heftig verstümmeln kann. Als Beispiel verweise ich auf meine eigene Startseite, deren großes Logo in der Mitte ebenfalls unterdrückt wird und deren kleines Logo in der Navigationsleiste nicht mehr animiert ist.

 

DER TECHNODOCTOR


         
Aktuelles   ARCHIV   Security 5   Startseite