Und schon wieder erreichen mich massenhaft als Faxe getarnte Viren. So neu, dass mein Virenscanner keinen Alarm schlägt.

Faxnachricht [Caller-ID: +49(0)3032734xxx Seiten: 4. Datum: 2014-05-13 09:50:59 UTC. Kennziffer: DE5065AF3275BD6626BE.

Im Zip-Anhang befindet sich das Trojanische Pferd. Ok, eigentlich ist der Anhang ja selbst das trojanische Pferd, also befindet sich im Anhang „der Grieche“, richtig?

Erst in der Detail-Anzeige wird deutlich: Es handelt sich nicht um ein Fax, also eine Bilddatei oder ein PDF, sondern um eine Anwendung. Ausführen der Datei reicht also für die Infektion.

Je nach Ansicht erkennt man leider nicht, was sich im Pferd, also im Anhang verbirgt, bestenfalls das Icon könnte eine Ahnung aufkommen lassen, dass es sich nicht um das angekündigte Fax handelt. Erst nach Klick auf „Ansicht“ und „Details“ lässt sich erkennen, was los ist. Das System würde mir vor Ausführung einer solchen Datei einen Hinweis geben, Aber wer mit einem Fax rechnet (ich bekomme täglich welche), fällt eventuell schnell drauf rein.

Grieche noch getarnt

Der Typ „Anwendung“ verrät, dass es sich um ein ausführbares Programm handelt.

Datei im trojanischen Pferd

Ein Rechtsklick zeigt mir die Dateiendung und auch, wie alt die Datei ist. Hm, 26.05., also von gestern. Mal schauen, was die Virenscanner dazu sagen…

Eigenschaften_Grieche

Ich werde mal bei Virustotal nachsehen, einem Dienst, bei dem man u.a. verdächtige Dateien hochladen und von einer Flotte von Virenscannern prüfen lassen kann.

Virustotal_01Ich lade die Datei hoch und erhalte den Hinweis, dass diese Datei bereits gestern überprüft wurde. Also war jemand schon vor mir misstrauisch und hat die Datei bei Virustotal checken lassen. Ich gebe mich vorerst mit dem gestrigen Ergebnis zufrieden: Aha: Nur 2 (!) von 53 von Virenscannern haben beim ersten Scan diese Datei für verdächtig gehalten! Wenn ich also einer der ersten gewesen wäre, der dieses vermeintliche Fax erhalten hätte, dann hätte ich womöglich also eine knapp 4 prozentige Chance gehabt, dass mein Virenscanner sich gemeldet hätte?

Virustotal_Scan_01Gut, ich weiß ja, dass es Malware sein muss. Ich lasse erneut checken und inzwischen haben 16 von 53 einen Verdacht. Naja, auch noch nicht soo toll, oder?!

Ich lasse die Datei erneut scannen, mal sehen, was ein Scan einen Tag später ergibt. Schon besser, 16 Scanner schlagen Alarm. Aber so richtig toll ist das Ergebnis auch nicht, oder?Virustotal_Scan_02

Hier geht die Geschichte am nächsten Tag weiter.

Goldene Regel: Ist alles so wie gewohnt? Nein? Dann geben Sie keine TAN ein! Wenn Sie mit ungewohnten Menüs, Aufforderungen oder Fenstern oder auch Werbeseiten etc. überrascht werden, klären Sie vorher, was dahinter steckt! Einmal überwiesenes Geld ist meist weg (Ok, es ist nicht weg, es hat jemand anders)!

Predigt zur sicheren Benutzung des Sm@rtTAN-Verfahrens:

  • Lesen Sie immer die Anzeige vollständig und vergleichen Sie immer die Angaben mit Ihrem Auftrag!
  • Wenn dort eine Summe steht, dann wird Geld gebucht!
  • Es gibt keine Tests!
  • Ändern Sie regelmäßig Ihre PIN!
  • Ein seriöser Ansprechpartner der Bank würde Sie nie nach Ihrer TAN fragen.
  • Geben Sie Ihre Chipkarte nicht aus der Hand und geben Sie auch niemandem Ihre PIN
  • Es gibt keine Sicherheitserweiterungen, die für das TAN-Verfahren nachinstalliert werden müssten.

Goldene Regel: Ist alles so wie gewohnt? Nein? Dann geben Sie keine TAN ein! Wenn Sie mit ungewohnten Menüs, Aufforderungen oder Fenstern oder auch Werbeseiten etc. überrascht werden, klären Sie, was dahinter steckt! Einmal überwiesenes Geld ist meist weg! (Ok, Zitat: „es ist nicht weg, es hat jemand anders.“)

Predigt: Die sichere Benutzung des mobileTAN-Verfahrens:

  • Lesen Sie immer die SMS vollständig und vergleichen Sie diese mit Ihrem Auftrag und zwar z.B. mit der Rechnung und nicht mit dem Computerbildschirm, weil der schon manipuliert sein könnte!
  • Wenn in der TAN-Nachricht eine Summe steht, dann wird Geld gebucht!
  • Es gibt keine Tests, schon gar nicht mit Überweisungen!
  • Ändern Sie regelmäßig Ihre PIN!
  • Ein seriöser Ansprechpartner der Bank würde Sie nie nach Ihrer TAN fragen.
  • Die Bank kennt Ihre Telefonnummer und muss diese nicht verifizieren.

Nutzen Sie ein Smartphone?

  • Es gibt keine Sicherheitserweiterungen, die für das mobileTAN-Verfahren per SMS nachinstalliert werden müssten. Wenn Ihre Bank Ihnen Apps zur TAN-Erzeugung anbietet, dann finden Sie diese auch auf der Bankseite erklärt und beschrieben.
  • Installieren Sie keine Apps aus anderen Quellen außer den offiziellem Appstore! Prüfen Sie Ihre Apps regelmäßig und löschen Sie alle Apps, die Sie nicht benötigen!
  • Installieren Sie nur Apps, die genügend positive Bewertungen und viele Benutzer haben, sofern es sich nicht um Spezial-Apps handelt, deren Herausgeber Sie kennen.
  • Installieren Sie einen seriösen Virenscanner und aktualisieren Sie diesen regelmäßig! Lesen Sie Testberichte über Ihre Apps und Virenscanner.
  • Seien Sie misstrauisch, wenn Programme mehr Rechte benötigen, als für den Betrieb unbedingt nötig. Wenn Ihr System dies unterstützt, entziehen Sie die Rechte, SMS zu lesen oder online zu gehen.
  • Geben Sie das Telefon nicht aus der Hand und nutzen Sie keine offene WLAN-Zugänge. Schalten Sie die automatische Verbindung zu offenen WLAN-Zugängen ab!
  • Wenn Sie regelmäßig Ihr Smartphone für das Banking nutzen möchten, installieren Sie eine gesicherte App für das Onlinebanking.
  • Wenn Sie sich über die Sicherheit Ihres Telefons nicht sicher sein können, dann wechseln Sie bitte auf das Sm@rtTAN-Verfahren und lassen Sie das mobileTAN-Verfahren deaktivieren!

Fragezeichen_100Frage: Soll man nun versuchen, den Rechner zu desinfizieren oder muss das komplette System neu installiert werden?

Stellen Sie sich selbst folgende wichtige Frage, bevor Sie an die Sache herangehen: Ist Ihr Computer womöglich ein Beweismittel? So lange Sie dies nicht mit einem klaren Nein beantworten können, sollten Sie keine Spuren verwischen!

Die einen Fachleute empfehlen eine komplette Neuinstallation (nach einer Sicherung der kompletten Daten), eine andere, kleinere Fraktion empfiehlt nach Analyse eine gezielte Desinfektion. Die einen sagen: Einem einmal infizierten Rechner kann man nicht mehr trauen, die anderen sagen: Eine Neuinstallation sei zu aufwändig und erzeugt bei der Installation neue Sicherheitslücken, da eine ganze Zeit ohne aktuelles System gearbeitet werden muss.

Ich bin der Meinung, dass eine Desinfektion nur dann sinnvoll ist, wenn wirklich jemand mit Fachwissen zur Verfügung steht, der/die

a) genau weiß, was er/sie tut,erste_Hilfe
b) die Desinfektion signifikant günstiger ist oder
c) keine Alternative besteht, weil z.B. die Nach-Installation einiger unverzichtbarer Programme nicht mehr möglich ist, z.B., weil Programm-CDs nicht mehr zur Verfügung stehen.
d) und nicht zuletzt: Die entdeckte Malware eher harmlos ist – und wer kann dies schon wirklich beurteilen?

Dazu kommt noch der Kostenfaktor. Eine Neuinstallation kann zeitlich und finanziell günstiger sein und hat mit dem Aufräumen auch häufig einen „Jungbrunneneffekt“ für ältere Rechner.

Prüfen Sie vor allen Aktionen unbedingt, ob Sie sämtliche wichtigen Daten gesichert haben. Schauen Sie nach, ob Sie sämtliche Lizenznummern und Aktivierungscodes gesichert haben.

Erstellen Sie ggf. eine Image Ihrer Festplatte, also ein Komplettbackup, dass Ihr System komplett wieder herstellen kann. Bekannte Tools sind z.B. Norton Ghost, Acronic Disk Image.

Tipp: Überlegen Sie, ob der Einbau einer neuen Festplatte nicht praktische Vorteile bietet: Die alte, eventuell noch verseuchte Platte können Sie in ein externes USB-Gehäuse einbauen (lassen) und damit über das System säubern. Die neue, meist größere und schnellere Platte dient dann der Neuinstallation Ihres Betriebssystems. Lassen Sie sich beraten, da diese Lösung nicht immer funktioniert, bei verschlüsselten Datenträgern z.B. kann es gewaltig schief gehen.

Die alte Platte können Sie erstmal zur Seite legen und in Ruhe die neue Platte einbauen und dort das Betriebssystem installieren. An der Stelle: Was halten Sie davon, bei der Gelegenheit einen Teil der Platte einem alternativen Betriebssystem, nämlich Linux zur Verfügung zu stellen? Hier ist die Virengefahr vorhanden und das Surfen und E-Mail funktioniert dort genauso gut, wie unter Windows. An die Bedienung werden Sie sich schnell gewöhnen.