Server-Administratoren kennen sicherlich die hilfreichen Tools von Sysinternals, seit 2006 eine Microsoft-Tochter. Darunter gibt es seit langem das Programm “Autoruns”, das sehr hilfreich beim Auffinden der beim Windows-Start quersitzenden Programme ist. Die Sysinternals Tools sind nun aber etwas sperrig, komplex zu bedienen und natürlich in Englisch, so dass sich kommerzielle Aufräum-Tools (z.B. CC-Cleaner) eher für den Normaluser eignen.

Die neue Version des “Autoruns”-Tools lohnt sich nun aber auch für jeden, der die Startvorgänge seines Rechners prüfen möchte, denn auch Schadsoftware will ja nach einem Reboot wieder gestartet werden.

Die neue Version des Programms bietet nun die Möglichkeit, auf einfache Weise die gefundenen Programme gegen die Virustotal-Datenbank (inzwischen Google) zu prüfen. Dabei wird nicht jedes Programm hochgeladen, sondern nur die Prüfsumme der Datei wird gecheckt, so dass sich der Traffic in Grenzen hält.

Hier bei Heise gefunden – und hier steht auch eine kleine Anleitung:

http://www.heise.de/newsticker/meldung/Autoruns-macht-Jagd-auf-Viren-2534717.html

Uiui,
jetzt werden schon die Banken beim Phishing vermischt. Macht ja nichts, merkt ja keiner.
Hier wird das Logo “EuroExpresszahlung” von der Sparkasse für eine Volksbank Phishing-Mail missbraucht. Mich würde hier die Statistik des Webservers der Sparkasse interessieren. Wie oft wird das Bild wohl heruntergeladen?

Ich verlinke das Bild absichtlich nicht. Wer unbedingt das Logo sehen möchte, muss den Link in die Browseradresse kopieren.
https://portal.sska.de/ifdata/72050000/IPSTANDARD/3/content/www/pixel/gv_hinweise/express_ohne_hinweis.jpg

Schnell überweisen in Deutschland und Europa Mit der EURO-Expresszahlung online ist Ihr Auftrag schneller beim Empfänger als mit einer normalen Überweisung – sowohl in Deutschland als auch in Europa. Der Preis einer EURO-Expresszahlung online beträgt 10,00 Euro. —————————————————————————-

27. November 2014 um 04:21:51 Uhr

Wir haben den Volksbank benachrichtigt, dass der Artikel verschickt werden kann. Alle Details zu dieser Zahlung:
Zahlungsbestätigung – 552479999799.

Betrugsmail Volksbank

Die Zahlungsbestätigung verweist im Link, einer Zip-Datei, natürlich auf einen gehackten Server.

Ber “Den Volksbank”? Naja, da hat der automatische Übersetzer google-Translate wohl nicht bemüht…

 

Da schreibt mir doch jshong mal endlich wieder an meine webmaster-Adresse und will wohl unseren Kontakt aufbessern. Hm, jshong. Woher kenn ich den nur? War das Josef Stefan Hong? Oder Jupp Shong? Mist, mein Namensgedächtnis war auch schon mal besser.

Virus_mal_wieder

Klasse: Zwei Anhänge, einmal RAR-komprimiert und einmal als Zip. damit man auf jeden Fall irgendwie die Datei geöffnet kriegt. Ein Fuchs, der Absender.

Das Image, dass möchte ich natürlich gerne mal “nackt” sehen und lade die Zip bei Jotti hoch.

Virus_erschreckend

Erschreckend oder? Gerade mal ein einziger Scanner findet die Dateiverschlüsselung “suspicious”.

Bei Virustotal waren es wenigstens 3 aus 49 und meine positive Meinung über malwarebytes wird einmal mehr bestätigt. Die anderen Scanner kenne ich allerdings auch nicht.

Virustotal_Malware

Ich hab es zwei Stunden später bei Virustotal noch einmal probiert, diesmal waren es dann 5 Scanner, darunter “Sophos”, den Namen kenne ich natürlich auch.

Und schon wieder erreichen mich massenhaft als Faxe getarnte Viren. So neu, dass mein Virenscanner keinen Alarm schlägt.

Faxnachricht [Caller-ID: +49(0)3032734xxx Seiten: 4. Datum: 2014-05-13 09:50:59 UTC. Kennziffer: DE5065AF3275BD6626BE.

Im Zip-Anhang befindet sich das Trojanische Pferd. Ok, eigentlich ist der Anhang ja selbst das trojanische Pferd, also befindet sich im Anhang “der Grieche”, richtig?

Erst in der Detail-Anzeige wird deutlich: Es handelt sich nicht um ein Fax, also eine Bilddatei oder ein PDF, sondern um eine Anwendung. Ausführen der Datei reicht also für die Infektion.

Je nach Ansicht erkennt man leider nicht, was sich im Pferd, also im Anhang verbirgt, bestenfalls das Icon könnte eine Ahnung aufkommen lassen, dass es sich nicht um das angekündigte Fax handelt. Erst nach Klick auf “Ansicht” und “Details” lässt sich erkennen, was los ist. Das System würde mir vor Ausführung einer solchen Datei einen Hinweis geben, Aber wer mit einem Fax rechnet (ich bekomme täglich welche), fällt eventuell schnell drauf rein.

Grieche noch getarnt

Der Typ “Anwendung” verrät, dass es sich um ein ausführbares Programm handelt.

Datei im trojanischen Pferd

Ein Rechtsklick zeigt mir die Dateiendung und auch, wie alt die Datei ist. Hm, 26.05., also von gestern. Mal schauen, was die Virenscanner dazu sagen…

Eigenschaften_Grieche

Ich werde mal bei Virustotal nachsehen, einem Dienst, bei dem man u.a. verdächtige Dateien hochladen und von einer Flotte von Virenscannern prüfen lassen kann.

Virustotal_01Ich lade die Datei hoch und erhalte den Hinweis, dass diese Datei bereits gestern überprüft wurde. Also war jemand schon vor mir misstrauisch und hat die Datei bei Virustotal checken lassen. Ich gebe mich vorerst mit dem gestrigen Ergebnis zufrieden: Aha: Nur 2 (!) von 53 von Virenscannern haben beim ersten Scan diese Datei für verdächtig gehalten! Wenn ich also einer der ersten gewesen wäre, der dieses vermeintliche Fax erhalten hätte, dann hätte ich womöglich also eine knapp 4 prozentige Chance gehabt, dass mein Virenscanner sich gemeldet hätte?

Virustotal_Scan_01Gut, ich weiß ja, dass es Malware sein muss. Ich lasse erneut checken und inzwischen haben 16 von 53 einen Verdacht. Naja, auch noch nicht soo toll, oder?!

Ich lasse die Datei erneut scannen, mal sehen, was ein Scan einen Tag später ergibt. Schon besser, 16 Scanner schlagen Alarm. Aber so richtig toll ist das Ergebnis auch nicht, oder?Virustotal_Scan_02

Hier geht die Geschichte am nächsten Tag weiter.

zuletzt aktualisiert: 19.10.2016
Virus/Trojaner/Malware entdeckt?

Rufzeichen_60In jedem Fall: Prüfen Sie unverzüglich, ob ein Schaden am Konto aufgetreten ist!
Wenn Sie einen sauberen Zweitrechner zur Verfügung haben (Freunde? Nachbarn?), ändern Sie unverzüglich Ihre PIN und Ihren Alias und prüfen Sie die Umsätze Ihres Kontos. Wenn Sie keinen Zweitrechner zur Verfügung haben, sperren Sie im Onlinebanking unter “Service & Verwaltung” Ihren Onlinebanking-Zugang.
Prüfen Sie ebenfalls auf neu angelegte Daueraufträge und Terminbuchungen.

Dann nehmen Sie Kontakt mit Ihrer Bank auf.
Lassen Sie dort prüfen, ob Buchungen (Auslandsbuchungen) angelegt oder terminiert wurden. Bei PIN & TAN geht das bei vielen Banken am einfachsten mit einem Abgleich der verbrauchten TAN.

Prüfen und ändern Sie am “sauberen” Rechner auch alle anderen Zugänge.

Eine unvollständige Liste zur ersten Hilfe:erste_Hilfe

  • sämtliche Bankzugänge, (klar, oder?) ändern Sie PIN und Anmeldenamen (Alias)
  • Mail-Konten
  • Zugang Ihres Internetanschlusses
  • Konten sozialer Netzwerke, Foren, Blogs, Twitter…
  • Shops für Handy & Co (iTunes, google Playstore, aber auch Xbox, etc.)
  • Kreditkarten (3D-Secure, Verified by visa,…)
  • Online-Shops und Payment (amazon, ebay, paypal,…)
  • Zugänge zu Abrechnungssystemen und Verwaltung (Mobilfunk-Vertrag?)
  • Spiele mit Internetanschluss, Browserspiele
  • Wallets (Bitcoins und Co)
  • Microsoft Konto
  • HBCI-Signaturdateien (Schlüssel ändern und Passwort, lesen Sie bitte >hier weiter)
  • Zugangspassworte Ihrer FinTS/HBCI-Software oder -App
  • WLAN-Passwort/Schlüssel, Router Passwort
  • VPN Usernamen und die Passwörter tauschen , dazu Dyndns, Fritzbox..
  • Passwörter der Datensicherungen, z.B. der Festplattenverschlüsselung
  • Ihre Haussteuerung / der Controller Ihrer Solaranlage oder Heizung, Alarmanlage
  • Online-Radio, -video, -medien, pay per view
  • Prepaid-Systeme und Bonuskarten
  • Passwörter für Behörden (Elster)  oder Ausschreibungssysteme, Onlinebörsen, DATEV
  • prüfen Sie Legitimationsmedien mit eigenen Zugängen, wie PushTAN-Apps.
  • Elektronischer Personalausweis
  • online Telefonie und Kontaktsysteme (Skype, Videochat, etc.)
  • (Fern-) Wartungszugänge (Teamviewer, Netviewer, Cisco, etc.)
  • (Own-)Cloud-Zugänge, Speichersysteme wie online-Festplatten, Truecrypt, etc.
  • One-Click-Hoster (Share-Online, etc.)
  • PIN Ihres elektronischen Anrufbeantworters, Fax
  • Serverpassworte, auch von Wartungszugängen, Backups etc.
  • Nutzen Sie eine Passwortverwaltungssoftware wie “Keepass”?
  • (GNU-)PGP-Schlüssel: Falls der Private-Key in falsche Hände geraten sein könnte: Sperren Sie diesen und reichen Sie neue Schlüssel auf den Verwaltungsservern

Prüfen Sie die Favoriten-Liste/Lesezeichen Ihres Browsers und die Liste Ihrer ggf. dort gespeicherten Passwörter. Gehen Sie davon aus, dass diese Liste in fremde Hände geraten ist.

Wenn Sie eine Internetseite pflegen: Ändern Sie unbedingt auch hier sämtliche (ftp-)Passwörter, bzw. lassen Sie sich ggf. neue Passwörter senden. Ihre Seite könnte sonst in kürzester Zeit selbst zu einer Virenschleuder werden. Tauschen Sie ggf. die Verschlüsselungszertifikate.

Überlegen Sie ganz genau, wo Ihnen Schaden entstehen könnte, weil Daten entwendet wurden.

Sind Sie als Unternehmen betroffen? Beachten Sie, dass Sie ggf. sogar den Angriff melden müssen, wenn der Datenschutz Ihrer Kunden betroffen sein könnte.

Lesen Sie hier: Rechner desinfizieren oder alles neu installieren?

Denken Sie über Ihre Datensicherung nach: Wann haben Sie alle Daten zuletzt gesichert, existieren eventuell wichtige, unwiederbringliche Daten – und wenn es nur die Urlaubsfotos sind – die Sie vermissen würden? Es gibt erpresserische Schadsoftware (sogenannte “Ransomware”), die nimmt Ihre Daten als Geisel…