Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zur Verbreitung von Wanna Cry

Frage Sicherheit Viren und Trojaner

Mitglied: twin850

twin850 (Level 1) - Jetzt verbinden

15.05.2017, aktualisiert 18:41 Uhr, 3040 Aufrufe, 10 Kommentare, 1 Danke

Hallo,

ich bin ein bisschen irritiert über die ganzen Meldungen zum derzeitigen Randsomware Angriff WannaCry. Es wird ja überall geschrieben das Installieren der aktuellen Sicherheitspatches würde das Problem beheben und die Schwachstelle schliessen. Bezieht sich das aber nicht nur auf die Verbreitung in interen Netzwerken ? Wie soll denn sich bitte ein Trojaner über das SMB Protokoll von ganz alleine über das Internet verbreiten ? Jeder 08/15 Router und insbesondere die in Firmennetzwerken lassen die entsprechenden Ports doch gar nicht durch. Und wenn das so wäre würde die Zahl der infizierten PC's doch irgendwo im 7-8 stelligen Bereich liegen. Selbst ein nicht gepatchter XP Rechner ist doch von aussen erst mal gar nicht zu erreichen ? (Router mit aktivierter Firewall vorausgesetzt)

Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?

Vielleicht kann mich mal jemand aufklären.

Danke
Mitglied: Lochkartenstanzer
15.05.2017 um 18:49 Uhr
Zitat von twin850:

Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?

Nich tunbedingt. je nachdem, über welchen verbreitungsweg (drive--by-download, shares, mail, etc. ) und dem benutzen "Injektor" wäre auch eine Infektion ohne zutun des Nutzers denkbar, auch wenn das konkret noch nciht gemeldet wurde.

Also drauf achten, daß die User ordentlich eingewiesen werden oder am besten gleich eine whitelist für die Programme verwenden.

Vielleicht kann mich mal jemand aufklären.

Zu Bienchen und Blümchen gibt es Genug im Netz..

lks
Bitte warten ..
Mitglied: BassFishFox
15.05.2017 um 18:56 Uhr
Hallo,

Vielleicht kann mich mal jemand aufklären.

Lies einfach mal :

https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...

Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?

Im manchen Faellen soll ein Autstart von Outlook/OE mit Autoplay aller Mail-Inhalte gereicht haben.


BFF
Bitte warten ..
Mitglied: DerWoWusste
15.05.2017, aktualisiert um 19:36 Uhr
Es ist wie immer sehr simpel: Öffnet den Explorer, klickt auf "Netzwerkumgebung" - eine (Fehler?-)Meldung erscheint, "Netzwerkerkennung ist ausgeschaltet" - oh mein Gott, das müssen wir schnell ändern, denkt der Firmenadmin...was sollen denn meine User nur sagen.
Und so nimmt das Unglück seinen Lauf, Netzwerkerkennung und damit auch file und printersharing werden eingeschaltet, obwohl die Mitarbeiterrechner doch überhaupt keine Drucker oder gar Freigaben hosten - sie greifen lediglich auf welche zu! Und schon ist der SMB-Port offen.

Aus diesem uralten Missverständnis entstehen dann sagenhafte Möglichkeiten für Wannacry-Würmer. Einen Rechner infizieren per Mailanhang, und schon hat man ein ganzes Netzwerk im Sack! Ein ganzes Netzwerk? Nein, ein gallisches Dorf hat es doch geschafft und die Märzpatchtestphase schon vor Mitte Mai abgeschlossen und ist nun doch nicht infiziert.
Bitte warten ..
Mitglied: twin850
15.05.2017 um 19:29 Uhr
Zitat von BassFishFox:

Lies einfach mal :

https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...

Im manchen Faellen soll ein Autstart von Outlook/OE mit Autoplay aller Mail-Inhalte gereicht haben.

Ok. das ist für mich im weitesten Sinne auch eine Useraktion, bzw. eine Aktion die von einem auf dem Rechner ausgeführten Programm ausgeht.

Alles in allem ist doch die Initialverbreitung genauso wie bei allen anderen Verschlüsselungstrojanern Email bzw. schadhafter Code der jedoch auf einem Rechner ersteinmal intial ausgeführt werden muss. Ob nun von Benutzer versehentlich durch Öffnen eines Anhanges oder durch falsche Einstellungen in Outlook/Browser etc.

Mich verwundert halt das darauf in so ziemlich allen Medien (den Heise Link ausgeschlossen) überhaupt nicht darauf eingegangen wird sondern behauptet wird der Torjaner würde sich aufgrund einer Schwachstelle im Windows SMB Protokoll auf der ganzen Welt verbreiten. Das ist doch aber nur der zweite Schritt innerhalb lokaler bzw. verbundener Netzwerke/Standorte.

Ich muss halt viele User sensibilisieren und die einschläge Meinung des Großteils der User ist "installieren Sie bitte alle Sicherheitsupdates damit ich wieder ohne Sorgen meine Emailanhänge öffnen kann". Das aber wahrscheinlich genau hier weiterhin das ursächliche Problem besteht will mir heute irgendwie keiner glauben, weil es steht ja überall "installieren sie blablabla Sichheitsupdates und die Schwachstelle ist behoben". Das einzige was damit behoben wird ist doch nur das der am Tisch gegenüber sitzt nicht auch gleich betroffen ist ??!

Will mir einfach nur ein paar Meinungen einholen ohne jetzt "fundierte wissenschaftliche Erkenntnisse" zu fordern.
Bitte warten ..
Mitglied: BassFishFox
15.05.2017 um 19:45 Uhr
Halloele,

Mich verwundert halt das darauf in so ziemlich allen Medien (den Heise Link ausgeschlossen) überhaupt nicht darauf eingegangen wird
sondern behauptet wird der Torjaner würde sich aufgrund einer Schwachstelle im Windows SMB Protokoll auf der ganzen Welt verbreiten.
Das ist doch aber nur der zweite Schritt innerhalb lokaler bzw. verbundener Netzwerke/Standorte.

Damit liegst Du richtig. Er kam per Mail, ein Doedel schaute und klickte oder was immer und dann kam die Luecke.
Siehs mal so. Es macht doch viel mehr Spass auf einer ausgenutzten Sicherheitsluecke herum zu hacken, anstatt auf den Unverstand der meisten Mailempfaenger. Es haben immer andere Schuld, niemals nicht und nimmer die verpassten Patche weil die lokale IT eingestampft wurde oder die Entscheidungsprozesse fuer Updates so lang sind oder der PC des Geschaeftsfuehrer der aus Spass noch mit Vista laeuft. Ist beliebig erweiterbar.

BFF
Bitte warten ..
Mitglied: twin850
15.05.2017 um 20:36 Uhr
Danke BFF, deine Aussagen treffen sich mit meiner Ansicht.

Ich finde die Berichterstattung nur total missverständlich, dem 1 Platz/Homeuser bringt dieses Sicherheitsupdate in diesem Falle nämlich rein garnichts. Und oftmals reicht im Netzwerk sowieso auch schon 1 infizierter PC um Dateien auf allen berechtigten Shares zu verschlüsseln.

twin850
Bitte warten ..
Mitglied: Herbrich19
16.05.2017 um 03:08 Uhr
Wie weit ist der Virtus schon?? :D
01.
intitle:"index of" "WNCRY"
Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: maretz
16.05.2017 um 06:49 Uhr
Moin,

das ist so nicht ganz richtig. Klar - in erster Linie brauchst du jemanden der dir hilft indem irgendwas geöffnet wird. Hast du ein Büro mit 100 Leuten würde ich sagen du hast schon fast ne Garantie das es klappt... Sei es nen Download, Mail-Anhang,... -> irgendwas findet sich immer. Und irgendwer der es öffnet auch.

Jetzt kommt dann der zweite Teil: Deine lokalen Freigaben - eben das SMB-Protokoll. Ganz ehrlich: Mir doch egal wenn es die Arbeitsplätze wegschiesst. Viel Spass damit, die können z.T. ja sogar automatisch oder per Image wiederhergestellt werden. Was ist aber mit einer SMB-Lücke am Server? Der muss idR. ja das Protokoll freigeben (zumindest der Fileserver). Und da wird es doch dann viel Interessanter für den Angreifer. Denn wer zahlt in einer Firma schon Geld damit ein PC neu gemacht wird? Ist es aber der Fileserver mit den ganzen Daten, Mails, whatever dann ist es doch gleich viel besser. Da bestehen schon eher chancen das gezahlt wird weil das Backup wiedermal "doch nicht so gut war" oder sonstiges...

Von daher: Klar, eine Interaktion braucht es immer. Aber die brauchst du generell für jeden Virus -> denn im Endeffekt könnte man sonst auch sagen es erfordert min. den Rechner einzuschalten. Ein abgeschalteter Rechner der noch im Karton beim Händler steht ist nun wirklich sicher vor jedem Viren- oder Trojanerangriff...
Bitte warten ..
Mitglied: Lochkartenstanzer
16.05.2017 um 07:34 Uhr
Zitat von maretz:

Ein abgeschalteter Rechner der noch im Karton beim Händler steht ist nun wirklich sicher vor jedem Viren- oder Trojanerangriff...

Es gab schon systeme, die schon ab werk infiziert waren.
Daher stimmt das so nicht ganz.

lks
Bitte warten ..
Mitglied: Herbrich19
16.05.2017 um 18:21 Uhr
Nicht wen das Master Image im Werk infiziert ist, oder denkt jemand da sind tausende Nerds die Chips und Cola saufen während sie auf jeden neuen PC Windows installieren? :D

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Moskaus Patriarch bekämpft Wanna Cry -Wurm mit Weihwasser - Webmix Web (9)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Viren und Trojaner
gelöst Wanna Cyrpt0r - Patch Windows 10 Version 1703? (9)

Frage von moar70 zum Thema Viren und Trojaner ...

Administrator.de Feedback
gelöst Fragen werden nicht angezeigt? (8)

Frage von Lochkartenstanzer zum Thema Administrator.de Feedback ...

Neue Wissensbeiträge
Multimedia

Raspberry Pi als Digital-Signage-Computer

(1)

Information von BassFishFox zum Thema Multimedia ...

Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Freigabe aus anderem Netz nicht erreichbar (31)

Frage von McLion zum Thema Router & Routing ...

Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail (24)

Frage von ahstax zum Thema Visual Studio ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Windows Netzwerk
Netzwerk Neustrukturierung (15)

Frage von IT-Dreamer zum Thema Windows Netzwerk ...