Schlagwort-Archive: Trojaner

Ärgerlich – SPAM Kommentare im Blog oder Facebook

AnonymLange Zeit gab es bei diesem Blog nur ganz vereinzelt  SPAM Kommentare. Inzwischen hat sich die Zahl der SPAM Kommentare drastisch erhöht.

Kommerzielle Firmen versuchen “zur Optimierung für Suchmaschinen” Links auf Websites ihrer Kunden in Kommentaren zu setzen. Damit soll die Bewertung dieser Seiten z.B. bei Google verbessert werden. Kommentare mit Textbausteinen wie “great blog” oder  “your blog is a great source of information for me”  sind ein typisches Anzeichen für einen SPAM Kommentar. Inzwischen gibt es aber auch raffiniertere Kommentare, die Teile aus dem Blog Artikel aufnehmen und auf den ersten Blick ziemlich echt aussehen. Die Links führen häufig nicht direkt zu einer Werbeseite sondern zu einer YouTube Seite auf der dann die Werbung läuft. Das macht es für die Blog Filter schwerer unerlaubte Werbung in Kommentaren zu erkennen.

Weit schlimmer sind Kommentare die z.B. im Avatar Trojaner oder Botnet Code einschleusen. Dies kann sogar dazu führen, dass der Blog oder das Konto beim Provider gesperrt wird, weil mit diesem importierten Schadcode illegale Operationen gestartet werden.

Als Vorsichtsmaßnahme sollte man nur Kommentare zulassen, die von einem Administrator geprüft werden, der sich dieser Probleme bewusst ist. Auch dieser Blog lässt nur geprüfte Kommentare zu. Es ist schade, dass damit die Spontanität im Web verloren geht. Ohne diese Maßnahme können aber Blogs, die nicht täglich kontrolliert werden (z.B. im Urlaub) , von den Übeltätern im Web für illegale Aktionen mißbraucht werden.

Häufig liegt das Problem auch nicht beim eigenen Blog sondern in der Installation des Providers (Hoster). Da kann man selbst nichts ändern und wird vom Provider für seine Probleme bestraft. Diskussionen mit dem Support sind meist langwierig und wenig ergiebig.

Das SPAM Kommentar Problem gibt es auch bei Facebook. Auch dort werden schädliche Trojaner über Links, Dokumente oder Bilder eingeschleust. Die Benutzer sehen dann ziemlich alt aus, wenn ihre Life Line wegen illegaler Aktionen gekappt werden auch wenn sie nur das Opfer der nicht ausreichenden Sicherheitssysteme des Trägersystems geworden sind.

Die Blockade von Blogs oder Facebook Konten ist nicht nur ärgerlich sondern kann die Reputation einer Website drastisch verringern, da auch die Suchmaschinen die Sperrung einer Werbsite als Alarmsignal werten. Es hängen leider auch ziemlich schwarze Wolken in der Cloud. Rechtlich kann man gegen unberechtigte Blockaden der Provider praktisch nicht vorgehen, da die Nutzungsbedingungen (Terms of Use) von erfahrenen Juiristen erstellt werden. Hat der Provider seinen Sitz in den USA müsste man dort vor Gericht klagen. Hat der Provider seinen Sitz in Deutschland hat man erst recht verloren, da Internet Recht in Deutschland Neuland ist und die Benutzer/Kunden vorwiegend Pflichten und wenig Rechte haben.

FedEX Trojaner kommt mal wieder mit eMail

Der FedEX Trojaner geht mal wieder um. Da man aufgefordert wird eine zip Datei im Anhang zu öffnen müssen sofort alle Warnlampen angehen. Leider entdeckt z.B. Avira den Trojaner nicht, obwohl  zip Dateien im Anhang ja höchst gefährlich sind.

eMail mit Anhang sofort löschen. Mehr bei scareware.de 

BSI macht Panik – DNS Trojaner Test www.dns-ok.de

Wie so häufig bei Sicherheitsfragen kommt das BSI mit seinen Ratschlägen zu spät und die Ratschläge sind nicht immer gut. DNS Trojaner gibt es bereits seit 2006 in veschiedenen Ausprägungen, die meist von den Benutzern entdeckt und in Foren auch dikutiert werden.  Der DNS-Changer ist wohl deshalb beim BSI aktenkundig geworden weil das FBI in USA die Trojaner Server in USA deaktiviert hat. Der Ratschlag, seine PC Installation auf der Site http://www.dns-ok.de zu überprüfen, ist ja gut gemeint. In der Sicherheitsszene ist es aber allgemein bekannt, dass Trojaner gerne über eine fiktive Schadensmeldung verteilt werden, durch die Benutzer auf eine Webseite gelockt werden,die einen Trojaner enthalten. Als das BSI diese Seite empfohlen hat, haben natürlich einige mißtrauische Experten vermutet, dass damit der Bundestrojaner verteilt werden soll. Ganz so schlimm wird es wohl nicht sein. Experten werden aber keine Trojaner Prüfprogramme benutzen, die sie nicht kennen. Auch Otto Normalverbraucher sollte sich nicht auf Abwege locken lassen zumal man beim DNS-Changer relativ leicht selbst prüfen kann, ob man betroffen ist. (Man kann solche Probleme auch benutzen um die Organisation und die Einstellungen seines PCs etwas besser zu verstehen.) Vereinfachte Anleitung vor Normalverbraucher:

Zunächst schaut man sich die IP Konfiguration des PCs an.Klick auf  -> Start (bei Vista das runde Windows Symbol unten links) und gibt dann in das darüberliegende Suchfeld cmd ein.  Es öfnet sich die CMDLINE Box und man gibt nach dem Zeichen >  ipconfig/all ein. Dadurch erhält man die aktuellen Einstellungen der IP Konfiguration. Beispiel:

IP Configuration

Im Beispiel hat der DNS Server die IP Adresse: 192.168.2.1 das ist in der Regel die IP Adress des Internet Routers. In meiner Installation ist dies eine ARCOR Easy Box 800.  Den Router schaut man sich im Browser an mit der Adresse http://192.168.2.1 (aus der IPConfig Anzeige siehe oben ). Gibt man nun den Benutzernamen und das Passwort für den Router an, so erhält man auf der Startseite folgende Information : 

Hier findet man nun die Adresse des Primären DNS Servers: 195.50.140.248 . Leider weiß man nicht ob das wirklich ein DNS Server des Internet Providers ARCOR ist. Bei ARCOR wird man da bei der Suche auch nicht fündig, da diese Adressen ab und zu geändert werden. Im Web gibt es  Listen der häufig benutzten DNS Server . Man kann den Besitzer einer IP Adresse aber auch mit einem IP Lokalisier Service finden z.B. www.ip-adress.com/ip_lokalisieren/ . Dort gibt man die im Router gespeicherte IP Adresse 195.50.140.248 ein und kann dann sehen, dass dies ein ARCOR Server ist, der in der Nähe von Stuttgart steht.  Dieser PC ist also nicht vom DNS Trojaner infiziert.

PS Den Link (IP Adresse) zum Router sollte man sich abspeichern. Durch einen Klick auf Neu Verbinden (siehe Router Bild oben) kann man nämlich auch die IP Adresse ändern – das ist manchmal ganz hilfreich wenn man nicht an der IP Adresse erkannt werden möchte.

Stuxnet Trojaner – die Zündler sind oft bei der Feuerwehr

Jeder PC Besitzer hat sicher schon einen Trojaner auf seinem PC gehabt (meist unbemerkt) und noch mehr darüber in der Presse gelesen. Inzwischen ist es schon selbstverständlich, dass man ein “professionnelles” Virenschutzprogramm auf seinem PC installiert und auch dafür bezahlt. Die Sicherheitsindustrie hat damit ein wesentliches Ziel, nämlich den Umsatz zu erhöhen, erreicht. Es ist ein offenes Geheimnis, dass die Sicherheitsfirmen nicht unglücklich über die Aktionen der Hacker vorwiegend aus dem Osten sind, die sich mangels regulärer IT Jobs mit der Produktion und Verteilung von Viren und Trojanern beschäftigen. Eine zehnköpfige Hackergruppe aus Russland hat es sogar geschafft, Microsoft so lange zu ärgern, bis die kleine Firma aufgekauft wurde und die Hacker eine gut bezahlte Festanstellung bekamen. Für Microsoft hat sich das gelohnt. Wo sonst erhält man heute noch fertige, gut ausgebildete Sicherheitsexperten?

Aus Sicht der “Sicherheitsfirmen” gibt es aber immer noch zahlungskräftige Benutzergruppen in der Industrie, die nicht genügend für Sicherheit bezahlen, weil sie glauben, dass sie nicht gefährdet sind, wenn sie ein obskures, wenig bekanntes Betriebssystem benutzen. Der Trojaner Stuxnet greift nun über PCs auf das Betriebssystem einer Siemens Steuerung zu (sehr zur Freude der Konkurrenz uas USA von Siemens), die weltweit zur Steuerung von Industrieanlagen eingesetzt wird. Da Industrieanlagen üblicherweise nicht am Internet hängen, wird der Trojaner z.B. über Datenträger z.B. Memory Stick, Dateien auf CD usw verteilt. Das gab es schon zur Steinzeit der IT, wo Viren z.B. über Floppy Disks verbreitet wurden.  Wenn Sie den Avira Virenschutz verwenden und Sie erhalten ab und zu eine Meldung: Guard Autorun blockiert … Zugriff auf  … \:Autorun.INF blockiert, sind Sie auch stolzer Besitzer eines Trojaners, der sich ähnlich wie Stuxnet verbreiten will.  (Der Virenschutz ist nur bei bekannten Viren wirksam – gegen gezielte neue Angriffe hilft das nicht!)

Ein Trojaner in Industrieanlagen kann relativ leicht unsinnige Kommandos vom Steuer PC an die Steuergeräte schicken. Schwieriger wird es schon, das Programm auf dem Steuergerät ohne Zugriff zur Hardware zu ändern. Vorsichtige Benutzer stellen ihre Geräte so ein, dass neue Programme nicht eingespielt und bestehende Programme nicht geändert werden können.

Problematisch ist allerdings, dass viele Firmen die komplexe technische Anlagen betreiben, zumindest Teile der Programmierung und des Managements der Hardware zur Freude des Controllers an Unterfirmen vergeben haben (es lebe das Outsourcing) und in der Firma selbst sich niemand mehr richtig auskennt. Nachwuchs gibt es in Deutschland auch kaum, da sich die Professoren an der Uni mangels Ausstattung und fehlender akademischer Anerkennung nicht mit praktischer IT Sicherheit befassen. Verantwortungsvolle Unternehmen sollte sich rechtzeitig in der Hackerszene in Polen, Weissrussland und der Ukraine nach tüchtigen Mitarbeitern mit Detailkenntnissen umschauen und diese sehr gut bezahlen, wenn sie hochsichere Industrieanlagen betreiben.

Die meisten IT Fehler entstehen in hochkritischen Anlagen nicht durch Hacker, sondern bei Änderung bestehender Altsysteme, bei denen die Schöpfer schon in Rente sind und die Junginformatiker die Systeme und deren Entwicklungssysteme nicht mehr genau kennen. Die Modernisierung der Steuerung bestehender Kernkraftwerke ist deshalb ein sehr kritisches Unternehmen. Nichtstun ist da manchmal besser.

PS Nach neuesten Gerüchten in der NY Times, könnte der israelische Geheimdienst für Stuxnet verantwortlich sein, zumindest deutet das Wort Myrtus darauf hin. Die Myrte hat in der israelischen Mythologie auch im Zusammenhang mit Persien (Iran) eine besondere Bedeutung, u.a. schmückt sich der Bräutigam mit einem Myrtenzweig, wenn er das Gemach der jungfreulichen Braut betritt. Man muss also den Schöpfern von Stuxnet nicht nur hohe Sachkenntnis sondern auch einen gewissen Sinn für schrägen Humor zubilligen.

Beim zukünftigen Cyberwar wird Deutschland wohl nicht mithalten können, weil in Deutschland interessierte und sachkundige Hacker kriminalisiert werden. Mit dem Knowhow dass die Beamten im BSI aufbauen, wird wohl wenig Staat zu machen sein.

Viren und Trojaner von falschen Freunden nicht nur aus China

Kanadische Forscher haben ein Spionagenetzwerk im Internet aufgedeckt, mit der die Aktivitäaten des Dalai Lama und seiner Anhänger bespitzelt wurden. Interessant wird es wenn man den vollständigen Bericht aus dem University of Cambridge Computer Laboratory liest. Zunächst einmal ist interessant, dass der Bericht von der U.S. Department for Homeland Security gefördert wurde. In Sicherheitsfachkreisen ist das UCAM Security Labor bekannt für publikumswirksame Veröffentlichungen von altbekannten Tatsachen. Das ist wohl der Grund dafür dass das UCAM für diese Untersuchung ausgewählt wurde. Liest man den Bericht, entdeckt man technisch wenig Neues. Die Viren und Trojaner wurden hauptsächlich über .doc und .pdf Attachments an eMail eingeschleust, die bekannte Schwachstellen von MS WORD und Outlook benutzen, die speziell von Non Profit Organisationen und ihren Anhängern  häufig illegal genutzt werden und von Microsoft deshalb nicht automatisch upgedated werden.  Teilweise wurden auch kontaminierte “offizielle” Relay Server, die zur Anonymisierung genutzt wurden, benutzt um eMail umzuleiten und zu infizieren – hier geht der Security Schuss nach hinten los.

Interessant ist aber, wie man sich das Vertrauen der Bespitzelten erschlich. Ein uralter Trick ist es, die infizierte eMail von einem “Freund” zu verschicken. Dazu liest man z.B.das eMail Adressbuch des zu Bespitzelnden aus und schickt es an den Angreifer. Beliebt ist es auch infiziererte eMail an einen Empfänger außerhalb des gesicherten Systems zu senden mit der Bitte an Weiterleitung. Auf keinen Fall sollten eMails von Bekannten oder Dokumente von den vielen “FreunInnen” der sozialen Netzwerke als vertrauenswürdig eingestuft werden. Es gibt fast nichts, was leichter zu fälschen ist als die Absenderadresse einer eMail. Während als eMail Attachment verschickte Dokumente in der Regel von Virenscannern überprüft werden, gilt das häufig nicht für Dokumente, die von Facebook usw heruntergeladen werden oder die man als PDF Dokumente im Browser betrachtet. Wer seinen Browser, MS Word oder Adobe Reader nicht auf dem neuesten Stand mit allen Sicherheits Updates hält, handelt grob fahrlässig. Unternehmen und speziell Behörden sind hier anders als Privatleute besonders gefährdet, weil interen Sicherheitsprozeduren häufig das Aufspielen von Sicherheitsupdates verzögern. Es ist wohl naiv anzunehmen, dass ausser ein paar Chinesen und den Beaufragten von Herrn Zumwinkel und Mehdorn niemand im Internet spioniert.

Viren und Trojaner auf dem PC – unvermeidlich!

Viren und Trojaner nisten sich irgendwann einmal auf dem PC ein – egal welchen Firewall oder welches Anti-Virus Programm man verwendet. Hat man ein Anti-Virus Programm mit regelmäßigen Updates wie z.B. Norton in Betrieb und läßt den Viren Scanner auch jede Woche zusätzlich laufen (das kann mehrere Stunden dauern!) so werden in der Regel keine oder nur einige Probleme berichtet und man fühlt sich einigermaßen sicher. Nun hat aber jedes Anti-Virus Programm spezifische Schwächen. Auch werden neue Viren in der Anfangszeit nur zu etwa 50 % entdeckt. Es empfiehlt sich deshalb von Zeit zu Zeit bei der “PC Kehrwoche” den eigenen PC mit einem anderen Virenscanner z.B. die Online Version von Bit Defender zu überprüfen. Dabei werden auch viele Viren und Trojaner entfernt. Man kann ja nicht mehrere Virenscanner kaufen und parallel betreiben. Man wird überrascht sein, wieviele zusätzliche Probleme dabei gefunden werden. Üblicherweise wird in den Sicherheits Foren geraten, anstatt Microsoft Internet Explorer und eMail den Browser Firefox und Thunderbird eMail zu verwenden, was heute wenig hilfreich ist – da die Hacker inzwischen alle Systeme verunsichern. 

Die meisten Viren und Trojaner werden in SPAM eMail mitgeliefert und in der Regel  vom SPAM Filter aussortiert. Solange man sich diese eMail nicht ansieht, werden die Viren auch nicht aktiv. Es empfiehlt sich vor dem Einsatz des Viren Scanners SPAM eMail und auch den System Papierkorb zu löschen. Auf keinen Fällen sollte bei der Meldung eines Virus das komplette Windows neu installiert werden. Das ist wirklich nur dann nötig, wenn der normale Betrieb des PCs massiv gestört wird. Eine gute Anti Virus Software und ein Firewall sollten in der Lage sein, den PC adequat zu schützen. 

Falls dennoch ein Problem mit Viren und Trojanern auftritt, wird der normale Benutzer einen Experten zu Hilfe rufen müssen. Es empfiehlt sich rechtzeitig bei Bekannten und Firmen umzuhören, wer wirklich ein Experte ist und Schäden mit minimal invasiven Eingriffen beheben kann. Wer beruflich auf seinen PC angewiesen ist, handelt grob fahrlässig, wenn er sich nicht auf den Fall der PC Vireninfektion vorbereitet.  

Private Benutzer können viele Probleme vermeiden, indem sie Server basierende eMail benutzen, die von Providern wie gmx, 1&1, usw angeboten werden. Google Gmail ist für private Benutzer besonders attraktiv, da sehr viel Speicherplatz auf dem Server angeboten wird. Zusätzlich gibt es auch für das Handy sowohl Browser basierende eMail als auch einen lokalen Clienten für GMail. Damit kann man viele Probleme mit Viren und Trojanern vermeiden.