caipi

Tweets vom 2012-02-29

Für alle Virengeplagten, die auf der Suche nach TR/Sirefef.BP1 hierher kommen, hier ein paar Infos, wie ich das Ungeziefer (und seinen Kollegen TR/Sirefef.A.28) wegbekommen habe – alle ohne Gewähr und nicht mit Anspruch auf Vollständigkeit oder richtige Reihenfolge, da ich in der Hektik nicht alle Schritte dokumentiert habe und auch die Reihenfolge nicht mehr hinbringe. Es gibt spezielle Foren genau für solche Probleme, z. B. trojaner-board.de, am besten dort die Forensuche bemühen und ggf. dort einen Thread aufmachen oder an einen vorhandenen Thread anhängen, falls die Frage dort noch nicht beantwortet wurde. Da sind viele kompetente Leute unterwegs, die nützliche Hinweise geben.

Hier meine (nicht repräsentativen) Erfahrungen:

• Avira meldete bei mir mehrere infizierte DLLs (u. a. WINFLASH.DLL) und beförderte diese in Quarantäne. Leider war damit der Virus aber noch nicht komplett unschädlich gemacht.
• Wenn euer Virenscanner anschlägt, auf keinen Fall einen Neustart durchführen! In diesem Fall wird der Virus nämlich erst richtig aktiv und kann seine ganzen Dienste starten, die sich dann z. B. als “parental controls” tarnen und deaktiviert Antivirusprogramm und Windows-Sicherheitscenter, außerdem leitet er Google-Suchergebnisse auf eine dubiose Seite um! Sofort den Rechner vom Netz nehmen!! (Lan-Kabel ziehen/Wlan ausschalten). Außerdem Browser schließen. Taskliste auf unbekannte Programme überprüfen und verdächtige Tasks beenden. Das Benutzerverzeichnis (Nachtrag: sicherheitshalber alle Benutzerverzeichnisse) auf eine Datei nach dem Muster abcdefghijk.exe durchsuchen und diese Datei löschen, falls möglich. Datensicherung auf externen Datenträger wie USB-Platte durchführen (Daten, nicht Windows/Programme) für den Fall, dass ihr den Rechner neu aufsetzen müsst.
• Mit Hilfe der Systemwiederherstellungsfunktion von Windows das System auf einen älteren Stand (Wiederherstellungspunkt, muss natürlich ein Stand vor Auftreten des Virus sein) zurücksetzen (das war bei mir die entscheidende Rettung, weil damit die Virus-Dienste nicht mehr geladen wurden und meine Registry wieder clean war, nachdem ich vorher eine Weile manuell darin rumgewurschtelt und u. a. den Schlüssel der oben erwähnten .exe gelöscht hatte). Prüfen, ob unbekannte Systemdienste beim Systemstart geladen werden (Befehl: Ausführen, msconfig)
• Im abgesicherten Modus starten (F8 beim Systemstart drücken) und alle verdächtigen/neuen Dateien löschen (oder ein Tool das erledigen lassen, siehe weiter unten)
• Wenn das Löschen über Windows-Explorer nicht möglich ist (dort versteckte und Systemdateien anzeigen lassen!), funktioniert es oft im DOS-Fenster. Unter Umständen müssen dann Attribute (z. B. S = system, H = hidden) entfernt werden. Befehlsreferenz hier
• Tools zum Löschen von Rootkit/Trojaner: TDSSKiller von Kaspersky, CureIt, McAffee Avert Stinger, Kaspersky Anti Virus (voll funktionsfähige Testversion 30 Tage kostenlos, nach Informationsstand 7.3.2012), RootKit Zero Access Removal Tool von Bitdefender (nicht ausprobiert, aber das hätte mein Problem wohl auch gelöst, Sirefef ist nämlich auch als ZeroAccess bekannt, Download auf malwarecity)
• Ein Tool, das auf keinem Rechner fehlen sollte: TCPView – zeigt an, welcher Traffic über das Netz wandert mit Anfangs- und Endpunkten und Protokoll, z. B. SMTP-Aktivität, wenn Viren ihre eigene SMTP-Engine mitbringen und via SMTP Spam oder gar Passwörter verschicken. Spätestens wenn hier verdächtige Aktivität zu sehen ist: Rechner sofort vom Netz trennen und erst wieder ans Netz nehmen, wenn die Schädlinge beseitigt sind!
• Sicherheitshalber nach Virenbefall alle Passwörter ändern (insbesondere Onlinebanking, Onlineshopping, Auktionshäuser, Webspace, Mail etc.)
• Statistiken bei Avira zu TR/Sirefef zeigen, dass der Schädling seit Ende Februar vermehrt aktiv ist. Ich kann bis heute nicht nachvollziehen, über welche Website ich ihn mir geholt habe, es war aber in jedem Fall eine unauffällige, gängige, und es gab keinerlei Meldung oder auffällige Vorkommnisse bis zum Zeitpunkt des Alarms durch das Virenprogramm. Also ein typischer “Drive by”-Download.

Damit es gar nicht so weit kommt – oder nicht wieder so weit kommt, sollten folgende Sicherheitsmaßnahmen auf jeden Fall auf dem Windows-System ergriffen werden:

• User mit Admin-Rechten nur zum Installieren und zu System-Wartungsarbeiten nutzen! Zum Surfen einen User mit normalen Nutzerrechten oder sogar nur Gastrechten nutzen. Denn ein Virus nutzt die Rechte des gerade angemeldeten Users für seine Attacken aufs System! Im Windows-Sicherheitscenter die Passwortabfrage (Benutzerkontensteuerung) aktivieren – im Sicherheitscenter sollte alles auf grün sein, nichts auf rot, und wenn was auf gelb steht, dann nur, wenn ein Antivirenprogramm die entsprechenden Aufgaben übernimmt (“Schutz vor schädlicher Software”).
• Webbrowser und Plugins (Flash, Acrobat Reader, Java) immer auf dem neuesten Stand halten! Veraltete Versionen enthalten oft Sicherheitslücken, durch die Angreifer Zugang zum System erhalten können.
• Popup-Blocker installieren und aktivieren (z. B. Adblocker, oder in Antivirusprogramm eingebauter Popup-Blocker)
• Passwörter nach Möglichkeit nicht im Browser speichern (und wenn, auf alle Fälle mit Masterpasswort sichern, falls Option vorhanden, z. B. in Firefox). Denn Virenprogramme können die Dateien, die diese Passwörter erhalten, abgreifen und an Unbefugte senden und auslesen. Der sicherste Passwortspeicher ist aber der Kopf – und wenn es um Trojaner geht und der Kopf als Speicher nicht ausreicht, würde ich eher die Passwörter auf einen Zettel schreiben und in einer Kassette oder einem Safe einschließen, als sie auf dem Rechner zu speichern.
• Vorsicht beim Anklicken von Mailanhängen, vor allem bei unverlangt zugesandten Dateien. Immer einen Virenscan drüber laufen lassen. Das Gleiche gilt für den Download aller Programme aus dem Internet, insbesondere “verlockender” Freeware und Shareware. Mailprogramm so einstellen, dass Mails standardmäßig als Text und nicht als HTML angezeigt werden.
• Aktuelles Antivirusprogramm installieren und aktivieren (ich habe gute Erfahrungen mit Avira und Kaspersky, die meisten Programme bieten kostenlose Trial-Versionen, damit man sehen kann, ob man mit dem Programm klarkommt) und hier keinesfalls sparen und besser die paar Euro Jahresgebühr in eine kostenpflichtige Version investieren.
• Regelmäßig Daten sichern und Systemwiederherstellungspunkte erstellen – wobei Windows das auch automatisch macht, aber auf jeden Fall prüfen, ob die Systemwiederherstellung aktiviert ist.
• Wenn irgend möglich, mehr als einen Rechner vorhalten. Wenn ein Rechner infiziert und vom Netz getrennt ist, kann man dann den anderen für die Recherche und Kommunikation nutzen. Darüber hinaus empfiehlt sich v. a. bei geschäftlicher Nutzung, besonders sensible Daten auf einen separaten, besonders gesicherten (z. B. Linux mit Windows in virtueller Maschine, siehe auch c’t-Bericht)  oder gar nicht ans Internet angeschlossenen Rechner oder ggf. externen Datenträger (der nur bei Bedarf angeschlossen wird) auszulagern.

Und hier jetzt die Tweets vom 29.2.12:

• wurschtel mich grad hier durch:http://t.co/xmHdzRwZ #trojaner #
• avira meldete TR/Sirefef.BP1 und TR/Sirefef.A.28. dateien sind in quarantäne, aber prozess aktiv. #
• poste gerade vom desktop rechner, notebook ist infiziert, avira schlug bei winflash.dll und noch weiteren dateien live-alarm. #
• mayday! hab tr/sirefef auf dem rechner, wie krieg ich den weg? außerdem prozess p20s8ybwjw.exe laufen, leitet google-links um! #trojaner #
• My week on twitter: 16 retweets received, 40 mentions. Via: http://t.co/BmBl7d6l #
• hier nochmal schnarchender kolibri in besserer qualität: Sleeping hummingbird “snores” in Peru: http://t.co/rVxX1NKY via @youtube #
• Schnarchender Kolibri Video – gerade in #pro7 gesehen http://t.co/eJ60hmvJ #
• there’s no such thing like a free lunch – or mail (video by microsoft): Gmail Man: http://t.co/SqBK1Qpc via @youtube #
• wusstet ihr, dass brogues ursprünglich schottische hirtenschuhe waren und durch die löcher das wasser ablaufen sollte? http://t.co/ZEyv2XtX #
• hehe. ich hab die infografiken alle abbestellt. RT @cschm: “Pinterest ein idealer Ort für Infografiken.” Hallo? #
• The limone Daily wurde gerade veröffentlicht! http://t.co/w6KkzQ3S ▸ Topthemen heute von @spreeblick @modxcms @cschm #

Powered by Twitter Tools

Keine verwandten Beiträge.