Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Technischer Hintergrund zum BKA Trojaner?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: JPSelter

JPSelter (Level 1) - Jetzt verbinden

29.07.2013 um 10:29 Uhr, 3370 Aufrufe, 9 Kommentare, 1 Danke

Hallo zusammen,

mir geht es hier weniger darum, wie man ihn wieder los wird, sondern eher darum, wie man ihn sich erst gar nicht einfängt. Ein Arbeitskollege hatte sich gerade ein solches Ding eingefangen, mit dem Firmenrechner, keine Adminrechte, aktuelles Trendmicro Update. Er hat nach eigenen Aussagen nur Webradio gehört. Es war auch nicht das erste Mal, dass sich ein Arbeitskollege so einen Trojaner einfängt. Wie man ihn wieder los wird, soll hier nicht die Frage sein, denn ich ziehe eh sofort ein Image über den Rechner und viel Zeit kostet das nicht.

Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden. Aber was kann man da noch machen? Wir haben immer die neusten Virendefinitionen und die User haben keine Adminrechte auf den Rechnern. Trendmicro hat das Ding jedenfalls nicht erkannt. Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?

Danke schonmal für Hintergrundwissen!
Mitglied: SlainteMhath
29.07.2013 um 11:05 Uhr
Moin,

Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden.
Kann auch eine gehackte Webseite sein, iframe, oder auch eine Phishing Mail etc.

Aber was kann man da noch machen?
z.B. eine Firewall verwenden die bereits an der Netzwerkgrenze Malware identifiziert und abfängt.

Wir haben immer die neusten Virendefinitionen und die User haben keine
Adminrechte auf den Rechnern.
Von XP auf Windows 7/8 umsteigen. Die "Dropper" verweden uU Exploit die zu einer Privilege Escalation führen. Damit ist es egal was für Rechte der angemeldete User hat.

Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?
Ja, ja, und ja Die Verteilung hat uU nichts mit dem Trojaner zu tun. Das wird mittlerweile über sog. Exploitkits gemacht (bsp: Blackhole) die alle möglichen

lg,
Slainte
Bitte warten ..
Mitglied: colinardo
29.07.2013, aktualisiert um 12:42 Uhr
Hallo JPSelter,
es sind immer wieder die selben Angriffsvektoren: Der Schädling kommt zu 99% über veraltete Versionen dieser Plugins im Browser auf den Rechner: Flash, Java, Adobe Reader. Da Sicherheitslücken in diesen Plugins sehr schnell von Kriminellen ausgenutzt werden ist es essentiell sie aktuell zu halten, wenn man sie denn nutzt Am besten schützen kann man sich wenn man diese Plugins nur aktiviert wenn man sie denn wirklich benötigt, oder sie ganz abschaltet.
Bei solcher Malware ist bei Virenscannern eine gute Verhaltenserkennung von Nöten, da sich der BKA-Trojaner immer mal wieder verändert, und da kommen die AntiViren-Hersteller einfach nicht schnell genug mit.
Für Browser gibt es Plugins wie z.B. NoScript mit dem der Nutzer selber festlegen kann welche aktiven Inhalte er aktiviert. So werden z.B. bei einer Seite die aktive Inhalte von einer anderen Domain nachlädt standardmäßig deaktiviert. So geht man verseuchter Werbung komfortabel aus dem Weg.

Grüße Uwe
Bitte warten ..
Mitglied: Phalanx82
29.07.2013 um 11:15 Uhr
Zitat von JPSelter:
Hallo zusammen,

Hallo

Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden.

Mit Sicherheit einer der Wege.

Aber was kann man da noch machen? Wir haben immer die neusten Virendefinitionen und die User haben keine Adminrechte auf den Rechnern.

Guter Ansatz aber Tendmicro? ;) Nicht unbedingt die Beste Wahl eines Virenwächters imho.

Trendmicro hat das Ding jedenfalls nicht erkannt.

Kann Dir per design bei jedem Anti-Viren Programm passieren da ständig neue Iterationen von Viren, Trojanern und Würmer
auftauchen die dann die neusten Signaturen wieder unterwandern. Trotzdem würde ich nicht unbedingt Trendmicro nehmen.

Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?

Mit Sicherheit auch einer der (erfolgreichsten) Möglichkeiten. Gerade was Java und Flash angeht.
Ich mag den ganzen Mist den Adobe und Oracle produziert nicht sonderlich, bei jeder neuen Version
sind 1-2 Wochen später wieder neue Exploit im Umlauf die ganzen Systeme kompromittieren können.

Ich frage mich daher schon seit geraumer Zeit warum überhaupt noch Leute so blöde sind und auf Flash
zurück greifen statt auf HTML5. Flash ist ein totes Pferd. Never ride a dead horse... ;)
Ich hasse Flash langsam wie die Pest, aber man muss es überall installieren und ständig updaten bei den
Kunden, weil sonst viele Webseiten nicht mehr funktionieren und weil ältere Windows Versionen ohnehin
Flash mit an Board haben in natürlich noch viel älteren Versionen, aber das Problem erübrigt sich ja bald
wenn Windows XP verschwindet bei der Masse.

Ich bin kein Programmierer aber wenn ich mir mal vor Augen führe was Flash eigentlich machen soll, nämlich
dämliche Videos oder annimierte Banner etc. wiedergeben. Dann frage ich mich ernsthaft wie Adobe es seit
Jahren schafft das ihre Software so peinlich schlecht ist und immer neue Exploit darin vor kommen.
Ich persönlich hätte die ganzen Programmierer vor die Tür gesetzt, das grenzt meiner Meinung nach schon
fast an Sabotage was Adobe da zusammen coded.

Bei Oracle siehts leider ähnlich düster aus. Von Sicherheitspolitik und schnellen Fixes haben die auch noch nichts
gehört. Naja kein Wunder, Oracle verdient kein Geld mit Java... Auch hier hätte man niemals eine Übernahme von
Sun durch Oracle genehmigen dürfen, meiner Meinung nach. Sun war da weit besser was Sicherheitsupdates angeht.

So, genug OT zum Thema Flash und Java. Eine weitere Möglichkeit sind natürlich versuchte Mails mit HTML Code oder
entsprechend preparierten Anhängen.
Drive-by Downloads auf geknackten Webservern oder eben Ad-Servern sind auch sehr beliebt um Schadcode zu verschleudern.

Die Möglichkeiten sind vielseitig und so können sich auch Leute Malware einfangen die wirklich regulär Surfen und nicht
auf einschlägigen Seiten herum geistern.


Mfg.
Bitte warten ..
Mitglied: 111857
29.07.2013 um 11:26 Uhr
Servus,

Erst mal zum Windows System, es ist offen wie ein Scheunen Tor, ist ja auch keine große Herausforderung manipulierte Datenpakete einzuschleusen.
Viren, Trojaner und anderes Ungeziefer werden gezielt auf Webservern abgelegt, sobald ein Client die Seite abruft, werden diese mit Cookies oder durch manipulierte Datenpakete mit übertragen. Oder eben wie Du schon erwähnt hast über Werbeanzeigen (Flash, Java). Die neuesten BKA Trojaner sind sehr aggressiv, die kann man teilweise nicht durch einfaches Löschen entfernen.

Ein Antiviren Programm ist nur so gut wie die Datenbank des jeweiligen Herstellers.

Meiner Meinung nach liegt es am fehlendem oder schlecht konfiguriertem Proxy.

Wer verwendet heute noch IE? Java und Flash, waren immer schon eine Sicherheitslücke, trotz den Updates von Java 7, wurden neue Sicherheitslücken entdeckt!

Gruß
Lynix
Bitte warten ..
Mitglied: SlainteMhath
29.07.2013 um 11:38 Uhr
*hust*

Zitat von 111857:
Servus,

Erst mal zum Windows System, es ist offen wie ein Scheunen Tor, ist ja auch keine große Herausforderung manipulierte Datenpakete einzuschleusen.
Was haben manipulierte Datenpakete damit zu tun?! Und nur zur Info: Linux / OSX haben ebenfalls teils gravierende Sicherheitslücken.

Viren, Trojaner und anderes Ungeziefer werden [...] mit Cookies oder durch manipulierte Datenpakete mit übertragen. [...]
Und jetzt auch noch Cookies? Also ich hab bisher noch keinen Virus/Trojaner gesehen der "mit Cookies" übertragen wird.

Hört sich alles nach Computer-Bild Halbwissen an
Bitte warten ..
Mitglied: 111857
29.07.2013 um 12:39 Uhr
Und nur zur Info: Linux / OSX haben ebenfalls teils gravierende
Sicherheitslücken.

ach und deshalb wird Linux als Firewall eingesetzt? Zur deiner Info, die Firewall ist nur so gut wie die Software dahinter.

> Viren, Trojaner und anderes Ungeziefer werden [...] mit Cookies oder durch manipulierte Datenpakete mit übertragen.


Und jetzt auch noch Cookies? Also ich hab bisher noch keinen Virus/Trojaner gesehen der "mit Cookies" übertragen
wird.
OK! Das mit die Cookies gebe ich zu, war etwas übereinfrig!

Hört sich alles nach Computer-Bild Halbwissen an

Vielleicht bin ich nur Halbwissend, dennoch habe ich soviel Respekt und Anstand, andere auf seine Fehler freunglich hinzu zuweisen!

Und wer gibt Dir überhaupt das Recht andere zu Beurteilen?! Selbst die falsche WIKI Seite heruntergeladen oder wie? (Ausnahme)
Bitte warten ..
Mitglied: kontext
29.07.2013 um 13:07 Uhr
Zitat von SlainteMhath:
Hört sich alles nach Computer-Bild Halbwissen an

Slainte, musste das sein?
Jetzt hat sich der User abgemeldet ...
... du böser böser böser :D

Gruß
@kontext
Bitte warten ..
Mitglied: SlainteMhath
29.07.2013 um 13:14 Uhr
Zitat von kontext:
Slainte, musste das sein?
Jetzt hat sich der User abgemeldet ...
... du böser böser böser :D
Ja, Kritikfähigkeit ist was feines
Bitte warten ..
Mitglied: JPSelter
29.07.2013 um 13:48 Uhr
Danke für die Antworten soweit!

Trendmicro wird mir leider von der Muttergesellschaft vorgegeben. Habe auch schon gelesen, dass Trend eher schlecht abschneidet. Die vorgegangene Firma hatte auch Trend, hatte es daher irgendwie immer für Firmenstandard gehalten. Was ist denn im Unternehmensumfeld besser? Wenn ich mal in einer anderen Firma komme und dort auch wieder Trend vorfinde, wechsle ich das sofort mal aus

So bin ich leider nur auf die Einstellungen aus London angewiesen... bei denen stößt man leider immer auf taube Ohren, was so etwas angeht. Man ist da recht gelassen. Anekdote am Rande: dort hat man fast alles ausgelagert... letzte Woche wollte ich 2 Firewall-Regeln gesetzt haben. Da ich keinen Zugriff habe und die Jungs da oben so etwas nicht selbst machen können und es nach extern geben, warte ich seit Tagen auf eine Umsetzung, für die ich selbst 2 Minuten gebraucht hätte... es ist ein Kreuz...

Privat setze ich selbst Firefox+NoScript ein, aber erklärt die Funktionsweise mal einem DAU hier in der Firma

Grüße, JPSelter
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
Kopierte Dateien im Hintergrund anzeigen (1)

Frage von MichiBLNN zum Thema Windows 7 ...

Viren und Trojaner
Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung

Link von VGem-e zum Thema Viren und Trojaner ...

Windows Server
gelöst Windows Server 2012R2 in Hintergrund aufbauen (5)

Frage von David2804 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...