9
Technischer Hintergrund zum BKA Trojaner?
Hallo zusammen,
mir geht es hier weniger darum, wie man ihn wieder los wird, sondern eher darum, wie man ihn sich erst gar nicht einfängt. Ein Arbeitskollege hatte sich gerade ein solches Ding eingefangen, mit dem Firmenrechner, keine Adminrechte, aktuelles Trendmicro Update. Er hat nach eigenen Aussagen nur Webradio gehört. Es war auch nicht das erste Mal, dass sich ein Arbeitskollege so einen Trojaner einfängt. Wie man ihn wieder los wird, soll hier nicht die Frage sein, denn ich ziehe eh sofort ein Image über den Rechner und viel Zeit kostet das nicht.
Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden. Aber was kann man da noch machen? Wir haben immer die neusten Virendefinitionen und die User haben keine Adminrechte auf den Rechnern. Trendmicro hat das Ding jedenfalls nicht erkannt. Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?
Danke schonmal für Hintergrundwissen!
mir geht es hier weniger darum, wie man ihn wieder los wird, sondern eher darum, wie man ihn sich erst gar nicht einfängt. Ein Arbeitskollege hatte sich gerade ein solches Ding eingefangen, mit dem Firmenrechner, keine Adminrechte, aktuelles Trendmicro Update. Er hat nach eigenen Aussagen nur Webradio gehört. Es war auch nicht das erste Mal, dass sich ein Arbeitskollege so einen Trojaner einfängt. Wie man ihn wieder los wird, soll hier nicht die Frage sein, denn ich ziehe eh sofort ein Image über den Rechner und viel Zeit kostet das nicht.
Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden. Aber was kann man da noch machen? Wir haben immer die neusten Virendefinitionen und die User haben keine Adminrechte auf den Rechnern. Trendmicro hat das Ding jedenfalls nicht erkannt. Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?
Danke schonmal für Hintergrundwissen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 212739
Url: https://administrator.de/contentid/212739
Printed on: April 19, 2024 at 05:04 o'clock
9 Comments
Latest comment
Moin,
Die Verteilung hat uU nichts mit dem Trojaner zu tun. Das wird mittlerweile über sog. Exploitkits gemacht (bsp: Blackhole) die alle möglichen
lg,
Slainte
Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden.
Kann auch eine gehackte Webseite sein, iframe, oder auch eine Phishing Mail etc.Aber was kann man da noch machen?
z.B. eine Firewall verwenden die bereits an der Netzwerkgrenze Malware identifiziert und abfängt.Wir haben immer die neusten Virendefinitionen und die User haben keine
Adminrechte auf den Rechnern.
Von XP auf Windows 7/8 umsteigen. Die "Dropper" verweden uU Exploit die zu einer Privilege Escalation führen. Damit ist es egal was für Rechte der angemeldete User hat.Adminrechte auf den Rechnern.
Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?
Ja, ja, und ja Die Verteilung hat uU nichts mit dem Trojaner zu tun. Das wird mittlerweile über sog. Exploitkits gemacht (bsp: Blackhole) die alle möglichenlg,
Slainte
2
Hallo JPSelter,
es sind immer wieder die selben Angriffsvektoren: Der Schädling kommt zu 99% über veraltete Versionen dieser Plugins im Browser auf den Rechner: Flash, Java, Adobe Reader. Da Sicherheitslücken in diesen Plugins sehr schnell von Kriminellen ausgenutzt werden ist es essentiell sie aktuell zu halten, wenn man sie denn nutzt Am besten schützen kann man sich wenn man diese Plugins nur aktiviert wenn man sie denn wirklich benötigt, oder sie ganz abschaltet.
Bei solcher Malware ist bei Virenscannern eine gute Verhaltenserkennung von Nöten, da sich der BKA-Trojaner immer mal wieder verändert, und da kommen die AntiViren-Hersteller einfach nicht schnell genug mit.
Für Browser gibt es Plugins wie z.B. NoScript mit dem der Nutzer selber festlegen kann welche aktiven Inhalte er aktiviert. So werden z.B. bei einer Seite die aktive Inhalte von einer anderen Domain nachlädt standardmäßig deaktiviert. So geht man verseuchter Werbung komfortabel aus dem Weg.
Grüße Uwe
es sind immer wieder die selben Angriffsvektoren: Der Schädling kommt zu 99% über veraltete Versionen dieser Plugins im Browser auf den Rechner: Flash, Java, Adobe Reader. Da Sicherheitslücken in diesen Plugins sehr schnell von Kriminellen ausgenutzt werden ist es essentiell sie aktuell zu halten, wenn man sie denn nutzt Am besten schützen kann man sich wenn man diese Plugins nur aktiviert wenn man sie denn wirklich benötigt, oder sie ganz abschaltet.
Bei solcher Malware ist bei Virenscannern eine gute Verhaltenserkennung von Nöten, da sich der BKA-Trojaner immer mal wieder verändert, und da kommen die AntiViren-Hersteller einfach nicht schnell genug mit.
Für Browser gibt es Plugins wie z.B. NoScript mit dem der Nutzer selber festlegen kann welche aktiven Inhalte er aktiviert. So werden z.B. bei einer Seite die aktive Inhalte von einer anderen Domain nachlädt standardmäßig deaktiviert. So geht man verseuchter Werbung komfortabel aus dem Weg.
Grüße Uwe
Hallo
Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden.
Mit Sicherheit einer der Wege.
Aber was kann man da noch machen? Wir haben immer die neusten Virendefinitionen und die User haben keine Adminrechte auf den Rechnern.
Guter Ansatz aber Tendmicro? ;) Nicht unbedingt die Beste Wahl eines Virenwächters imho.
Trendmicro hat das Ding jedenfalls nicht erkannt.
Kann Dir per design bei jedem Anti-Viren Programm passieren da ständig neue Iterationen von Viren, Trojanern und Würmer
auftauchen die dann die neusten Signaturen wieder unterwandern. Trotzdem würde ich nicht unbedingt Trendmicro nehmen.
Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?
Mit Sicherheit auch einer der (erfolgreichsten) Möglichkeiten. Gerade was Java und Flash angeht.
Ich mag den ganzen Mist den Adobe und Oracle produziert nicht sonderlich, bei jeder neuen Version
sind 1-2 Wochen später wieder neue Exploit im Umlauf die ganzen Systeme kompromittieren können.
Ich frage mich daher schon seit geraumer Zeit warum überhaupt noch Leute so blöde sind und auf Flash
zurück greifen statt auf HTML5. Flash ist ein totes Pferd. Never ride a dead horse... ;)
Ich hasse Flash langsam wie die Pest, aber man muss es überall installieren und ständig updaten bei den
Kunden, weil sonst viele Webseiten nicht mehr funktionieren und weil ältere Windows Versionen ohnehin
Flash mit an Board haben in natürlich noch viel älteren Versionen, aber das Problem erübrigt sich ja bald
wenn Windows XP verschwindet bei der Masse.
Ich bin kein Programmierer aber wenn ich mir mal vor Augen führe was Flash eigentlich machen soll, nämlich
dämliche Videos oder annimierte Banner etc. wiedergeben. Dann frage ich mich ernsthaft wie Adobe es seit
Jahren schafft das ihre Software so peinlich schlecht ist und immer neue Exploit darin vor kommen.
Ich persönlich hätte die ganzen Programmierer vor die Tür gesetzt, das grenzt meiner Meinung nach schon
fast an Sabotage was Adobe da zusammen coded.
Bei Oracle siehts leider ähnlich düster aus. Von Sicherheitspolitik und schnellen Fixes haben die auch noch nichts
gehört. Naja kein Wunder, Oracle verdient kein Geld mit Java... Auch hier hätte man niemals eine Übernahme von
Sun durch Oracle genehmigen dürfen, meiner Meinung nach. Sun war da weit besser was Sicherheitsupdates angeht.
So, genug OT zum Thema Flash und Java. Eine weitere Möglichkeit sind natürlich versuchte Mails mit HTML Code oder
entsprechend preparierten Anhängen.
Drive-by Downloads auf geknackten Webservern oder eben Ad-Servern sind auch sehr beliebt um Schadcode zu verschleudern.
Die Möglichkeiten sind vielseitig und so können sich auch Leute Malware einfangen die wirklich regulär Surfen und nicht
auf einschlägigen Seiten herum geistern.
Mfg.
Servus,
Erst mal zum Windows System, es ist offen wie ein Scheunen Tor, ist ja auch keine große Herausforderung manipulierte Datenpakete einzuschleusen.
Viren, Trojaner und anderes Ungeziefer werden gezielt auf Webservern abgelegt, sobald ein Client die Seite abruft, werden diese mit Cookies oder durch manipulierte Datenpakete mit übertragen. Oder eben wie Du schon erwähnt hast über Werbeanzeigen (Flash, Java). Die neuesten BKA Trojaner sind sehr aggressiv, die kann man teilweise nicht durch einfaches Löschen entfernen.
Ein Antiviren Programm ist nur so gut wie die Datenbank des jeweiligen Herstellers.
Meiner Meinung nach liegt es am fehlendem oder schlecht konfiguriertem Proxy.
Wer verwendet heute noch IE? Java und Flash, waren immer schon eine Sicherheitslücke, trotz den Updates von Java 7, wurden neue Sicherheitslücken entdeckt!
Gruß
Lynix
Erst mal zum Windows System, es ist offen wie ein Scheunen Tor, ist ja auch keine große Herausforderung manipulierte Datenpakete einzuschleusen.
Viren, Trojaner und anderes Ungeziefer werden gezielt auf Webservern abgelegt, sobald ein Client die Seite abruft, werden diese mit Cookies oder durch manipulierte Datenpakete mit übertragen. Oder eben wie Du schon erwähnt hast über Werbeanzeigen (Flash, Java). Die neuesten BKA Trojaner sind sehr aggressiv, die kann man teilweise nicht durch einfaches Löschen entfernen.
Ein Antiviren Programm ist nur so gut wie die Datenbank des jeweiligen Herstellers.
Meiner Meinung nach liegt es am fehlendem oder schlecht konfiguriertem Proxy.
Wer verwendet heute noch IE? Java und Flash, waren immer schon eine Sicherheitslücke, trotz den Updates von Java 7, wurden neue Sicherheitslücken entdeckt!
Gruß
Lynix
3
*hust*
Hört sich alles nach Computer-Bild Halbwissen an
Zitat von @111857:
Servus,
Erst mal zum Windows System, es ist offen wie ein Scheunen Tor, ist ja auch keine große Herausforderung manipulierte Datenpakete einzuschleusen.
Was haben manipulierte Datenpakete damit zu tun?! Und nur zur Info: Linux / OSX haben ebenfalls teils gravierende Sicherheitslücken.Servus,
Erst mal zum Windows System, es ist offen wie ein Scheunen Tor, ist ja auch keine große Herausforderung manipulierte Datenpakete einzuschleusen.
Viren, Trojaner und anderes Ungeziefer werden [...] mit Cookies oder durch manipulierte Datenpakete mit übertragen. [...]
Und jetzt auch noch Cookies? Also ich hab bisher noch keinen Virus/Trojaner gesehen der "mit Cookies" übertragen wird.Hört sich alles nach Computer-Bild Halbwissen an
4Und nur zur Info: Linux / OSX haben ebenfalls teils gravierende
Sicherheitslücken.
Sicherheitslücken.
ach und deshalb wird Linux als Firewall eingesetzt? Zur deiner Info, die Firewall ist nur so gut wie die Software dahinter.
> Viren, Trojaner und anderes Ungeziefer werden [...] mit Cookies oder durch manipulierte Datenpakete mit übertragen.
Und jetzt auch noch Cookies? Also ich hab bisher noch keinen Virus/Trojaner gesehen der "mit Cookies" übertragen
wird.
OK! Das mit die Cookies gebe ich zu, war etwas übereinfrig!wird.
Hört sich alles nach Computer-Bild Halbwissen an
Vielleicht bin ich nur Halbwissend, dennoch habe ich soviel Respekt und Anstand, andere auf seine Fehler freunglich hinzu zuweisen!
Und wer gibt Dir überhaupt das Recht andere zu Beurteilen?! Selbst die falsche WIKI Seite heruntergeladen oder wie? (Ausnahme)
2
Slainte, musste das sein?
Jetzt hat sich der User abgemeldet ...
... du böser böser böser :D
Gruß
@kontext
Zitat von @kontext:
Slainte, musste das sein?
Jetzt hat sich der User abgemeldet ...
... du böser böser böser :D
Ja, Kritikfähigkeit ist was feines Slainte, musste das sein?
Jetzt hat sich der User abgemeldet ...
... du böser böser böser :D
3
Danke für die Antworten soweit!
Trendmicro wird mir leider von der Muttergesellschaft vorgegeben. Habe auch schon gelesen, dass Trend eher schlecht abschneidet. Die vorgegangene Firma hatte auch Trend, hatte es daher irgendwie immer für Firmenstandard gehalten. Was ist denn im Unternehmensumfeld besser? Wenn ich mal in einer anderen Firma komme und dort auch wieder Trend vorfinde, wechsle ich das sofort mal aus
So bin ich leider nur auf die Einstellungen aus London angewiesen... bei denen stößt man leider immer auf taube Ohren, was so etwas angeht. Man ist da recht gelassen. Anekdote am Rande: dort hat man fast alles ausgelagert... letzte Woche wollte ich 2 Firewall-Regeln gesetzt haben. Da ich keinen Zugriff habe und die Jungs da oben so etwas nicht selbst machen können und es nach extern geben, warte ich seit Tagen auf eine Umsetzung, für die ich selbst 2 Minuten gebraucht hätte... es ist ein Kreuz...
Privat setze ich selbst Firefox+NoScript ein, aber erklärt die Funktionsweise mal einem DAU hier in der Firma
Grüße, JPSelter
Trendmicro wird mir leider von der Muttergesellschaft vorgegeben. Habe auch schon gelesen, dass Trend eher schlecht abschneidet. Die vorgegangene Firma hatte auch Trend, hatte es daher irgendwie immer für Firmenstandard gehalten. Was ist denn im Unternehmensumfeld besser? Wenn ich mal in einer anderen Firma komme und dort auch wieder Trend vorfinde, wechsle ich das sofort mal aus
So bin ich leider nur auf die Einstellungen aus London angewiesen... bei denen stößt man leider immer auf taube Ohren, was so etwas angeht. Man ist da recht gelassen. Anekdote am Rande: dort hat man fast alles ausgelagert... letzte Woche wollte ich 2 Firewall-Regeln gesetzt haben. Da ich keinen Zugriff habe und die Jungs da oben so etwas nicht selbst machen können und es nach extern geben, warte ich seit Tagen auf eine Umsetzung, für die ich selbst 2 Minuten gebraucht hätte... es ist ein Kreuz...
Privat setze ich selbst Firefox+NoScript ein, aber erklärt die Funktionsweise mal einem DAU hier in der Firma
Grüße, JPSelter
