Virusalarm – zum Glück nicht auf dem eigenen PC…

Im Frühjahr gab es eine neue Welle des GVU- oder Bundestrojaners, der den PC sperrt und “Lösegeld” will. Damals haben wir zwei CD erstellt, die angeblich beim Befall mit einem diese Fieslinge einfach helfen soll. Zum Glück waren unsere PC bisher nicht betroffen. Aber aus Angst vor irgendwelchen unbemerkten Infektionen sind bei den PC auch z.B. keine JAVA-Installationen vorhanden, Flash-Animationen müssen manuell berechtigt werden und Cookies sind erstmal grundsätzlich gesperrt. Somit blieben die CD’s bisher im Regal. Beim letzten Aufräumen wären sie fast in den Abfall gewandert.

auf Virensuche

Doch das war gut so, dass sie es nicht sind. Am Allerheiligen-Feiertag erreichte uns der “Notruf” eines Freundes, dessen PC sich in der Halloween-Nacht einen derartigen Virus eingefangen hat. Damit waren die CD’s das erste Mal im Echteinsatz. Doch irgendwie war es enttäuschend. Die erste CD wollte kein WLAN erkennen und konnte sich nicht updaten – mit Stand vom Februar wird wohl kaum ein aktueller Virus zu finden sein. Am Ende lief das ganze mehrere Stunden und es wurde nichts gefunden.

Die zweite CD war dann an der Reihe. Hier wurde ein Schädling gefunden (der aber nicht unser gesuchter GVU-Trojaner war) und danach brach das Programm seinen Suchlauf ab. Es war auch nicht mehr wieder zu einem zweiten Scan zu überreden. So machten wir uns manuell daran, die Registrierung zu durchsuchen und verdächtige Einträge im Autostart zu löschen. Danach war zumindest der abgesicherte Modus wieder erreichbar und es konnte die Suche nach den Dateien beginnen. Die waren dann auch recht bald gefunden und es deutet alles darauf hin, dass die Infektion über eine veraltete JAVA-Version erfolgt ist. Umso besser, dass es bei uns kein JAVA mehr gibt.

Danach nutzen wir eine Live-CD mit einem Tool das sich Windows Unlocker nennt und dieses modifizierte noch weitere Registry-Einträge. Anschließend war auch der “normale” Modus wieder erreichbar ohne Lösegeld-Fenster. Die Suche von Malwarebytes Antimalware brachte dann nochmal 14 gefährliche Dinge zu Tage (u.a. Cookies, Registrierungseinträge, Dateien) und löschte diese.

Die weitere Suche durch das installierte Antivirenprogramm, durch Malwarebyte Antimalware und durch einen Onlinescanner brachte nun keine Infektionen mehr. Geschafft! Und das zeigt, wie wichtig es ist immer alle Programme aktuell zu halten und die Updates nicht zu ignorieren – nicht nur die von Windows selbst sondern auch die von Acrobat Reader, Flash oder JAVA…

Achtung bei der Benutzung des Internet Explorer

Unter dem Codenamen ‘Aurora’ sorgt zur Zeit eine Sicherheitslücke im Internet Explorer ab Version 6 für Aufregung.

Mittels dieser Sicherheitslücke können Angreifer den PC mit Malware angreifen und infizieren. Über diese Lücke wurden beispielsweise die Webseiten von google oder Adobe bereit attackiert.

Das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) warnt derzeit vor der Benutzung des Internet Explorers, vor allem unter Windows XP und Vista. Bei Benutzung des geschützten Modus unter Windows 7 sind die Risiken geringer.

Derzeit arbeitet Microsoft mit Hochdruck an einem Patch für diese Sicherheitslücke. Leider steht dieser aber noch nicht zur Verfügung. Bis dahin ist davon auszugehen, dass die Angriffe und damit das Risiko durch Besuch einer infizierten Seite selbst betroffen zu sein weiter zunimmt. Wer beim surfen bis dahin sicher gehen will, nutzt bis dahin lieber Firefox oder Opera bzw. einen anderen alternativen Browser.

DHL-Paket nicht zugestellt?

Heute landete eine seltsame Email in unserem Postfach, die gar nicht an uns adressiert war. Seit wann schreibt denn die Deutsche Post bzw. ihre Paket-Sparte “DHL” auf englisch? Halten die ihr Kunden für blöd? Nein!

Email mit Virus

Denn Absender ist weder die Deutsche Post noch DHL sondern die Email kommt von jemand, der das Ansehen der DHL als seriös mißbrauchen will, um seinen Virus, Wurm, Trojaner oder sonstwas zu verteilen. Das Rätsel um die heute erhaltene Email lässt sich daher mit dem (nicht mehr vorhandenen) Email-Anhang erklären:

Die Anlage "DHL_INVOICE_571495.zip" ist mit mindestens einem Trojaner infiziert: Generic PWS.ch.
Diese Anlage wurde gelöscht.

Auch wenn viele über eine langsame Zustellung der Post schimpfen, ein am 27.7. versandtes Paket wird nicht erst knapp acht Wochen später wegen einem Adressfehler zurückgesandt. Also aufgepasst, erstens von DHL kommen keine englischen Mails und vor allem kennen die aufgrund eines versandten Pakets keine Emailadresse. Bei solchen Mails einfach Finger weg und ungesehen löschen.

Conficker – es geht weiter…

Wer gedacht hat, nachdem das große Chaos am vergangenen Mittwoch ausgefallen ist, es passiert nichts mehr sollte sich getäuscht haben. Wie das Bürger-CERT berichtet, ist seit Donnerstag der Wurm “Conficker” in Version C und D aktiv beim aktualisieren. Allerdings erfolgt dies nicht über die errechneten Internetseiten sondern über die P2P-Funktion über das mit den übrigen infizierten PCs aufgebaute Netzwerk…

…Die neue Variante des Wurms verbreitet sich erneut über die Schwachstelle im Windows-Betriebssystem,die bereits im Oktober 2008 bekannt wurde und eigentlich durch einen Patch behoben ist.

Neben dem Update auf die neue Variante “D” wurde offensichtlich erstmals auch Programmcode mit direkter Schadfunktion nachgeladen. Hierbei handelt es sich um das Schadprogramm Waledac, das infizierte Rechner an ein Botnetz zum Versand von Spammails anschliesst. Was sonst noch über’s Update nachgeladen wird, analysieren Fachleute derzeit…

Also unbedingt Updates installieren, auch für häufig genutzte Programme (Firefox, Adobe Reader, Flash Player,…) und für eine aktuelle Schutz-Software sorgen.

Update vom 14.04.09: Wie dem Blog von Kaspersky zu entnehmen ist, nimmt Conficker nun auch ein falsches Sicherheitsprogramm mit an Bord – die Fake-Software “SpywareProtect2009” nervt dann die Besitzer von infizierten PC mit falschen Warnmeldungen und “erpresst” die stolze Summe von 50$, um dieses Tool wieder loszuwerden.

Conficker – Was wird morgen passieren?

Der Computerwurm Conficker macht sich seit seinem ersten Auftauchen im November weiter breit. Aber der Schaden ist bisher nicht wirklich messbar und sein Verhalten gibt den Fachleuten Rätsel auf.

Fest steht, dass der Wurm die infizierten PC’s in ein sogenanntes Bot-Netz einbindet, mit dem die Programmierer auf eine Armee von PC zugreifen können. Was dann mit der Rechenkraft der Computer geschieht, weiß noch keiner. Allerdings haben Virenforscher herausgefunden, dass der Code von “Conficker” eine Funktion enthält, die am 1.April aktiv wird.

Von Spam-Mails, DoS-Attacken, Werbe-Popups, Dateien löschen/ändern bis hin zu Server-Angriffen ist theoretisch alles denkbar.
Es könnte auch sein, dass Conficker am 1. April zwar neue Befehle bekommt, aber dann nicht sofort aktiv wird. Die Hintermänner könnten also erst einmal abwarten, bis sich die Aufregung um den Schädling gelegt hat. Zu einem günstigeren, vielleicht ungeschützteren Zeitpunkt wäre dann eine Attacke denkbar.

In der ersten Version war Conficker eigentlich harmlos – außer einer ständigen Verbreitung zeigte der Wurm keine Aktivität, die neue Version “B” war dagegen in der Lage einfache Windows-Passwörter zu knacken und kurze Zeit später sperrte der Schädling den Zugang zu Internetseiten (z.B. McAfee, Norton, Windows Update,…). Mit Version “C” ist nun die Updatefunktion erweitert – folgt morgen vielleicht das Update auf “Conficker D”?

Weil der 1. April näher kommt und niemand garantieren kann, dass sich das mögliche Problem mit Conficker in Wohlgefallen auflöst, ist Vorsicht geboten. Doch jeder Internetuser kann aktiv zum Schutz des eigenen Rechners beitragen:

Wer seine Sicherheitssoftware auf dem aktuellen Stand hält, ist gut geschützt. Alle anderen User sollten sich schnell aktuelle Programme besorgen. Dies kann beispielsweise über den nachfolgenden Link erfolgen (kostenfrei für 90 Tage)

McAfee-Testversion bei 1&1 herunterladen

Ob und was der Wurm morgen unternimmt, wird man erst wissen, wenn er tatsächlich versucht, mit dem Download neuer Befehle oder Funktionen zu beginnen. Das Ganze ist ein Katz-und-Maus-Spiel. Wir PC-Nutzer werden Teil eines “Pokerspiels” von Virenschreibern und Virenbekämpfern, mit allem, was dazu gehört – Bluffs inklusive. Noch immer ist noch nicht einmal klar, was die Virenautoren überhaupt wollen.

Ein Update hat Conficker bereits zweimal versucht, was allerdings durch die Bemühungen der wohl breitesten Firmenallianz, die je gegen ein Virus angetreten ist, verhindert wurde. Die "Conficker Cabal" ist ein informelles Bündnis, das Firmen und Organisationen von Microsoft über IT-Sicherheitsfirmen bis hin zur Icann umfasst. Anfang Februar setzte Microsoft ein Kopfgeld von 250.000 Dollar auf die Ergreifung der Virenautoren aus, bisher allerdings vergeblich: Die programmieren fleißig weiter.

Was passiert am 1. April mit den Computern? (Gablenberger-Klaus-Blog)

Conficker-Wurm lädt nach – vielleicht (Heise)

Alles nur April, April ? (Spiegel.de)

Offensichtlich blieb der große Angriff aus. Auch das Handelsblatt berichtet am 01.04.09 “Conficker-Gau blieb aus”