Hi!

Nun hat es mich in letzter Zeit schon 2x per Drive By mit dem blöden UCASH Trojaner infiziert.

Zum Glück bin ich in Sachen Malware beseitigen etwas Fit und habe die Infektionen selber wieder weg bekommen.

Das erstemal wars ein über Java ausgeführtes Programm...Malwarebytes im Abgesicherten drüber und schon hatte ich die Dinger. Alles wieder gut!

Heute Abend surf ich so auf meinen üblichen normalen Seiten, die ich immer ansurfe (Nichts wirklich gefährliches) und auf einmal, wieder UCASH Trojaner, aber etwas anders. Der vorher war die Version "Windows nicht legal..." und der hier war der, das ich Pornografische Inhalte auf dem rechner hätte...

OK...Malwarebytes Vollscan drüber und da kam dann noch ein Spyeye zum vorschein...nach bischen zeit hatte ich dann auch den weg. Hatte etwas gedauert, aber er ist jetzt weg. Zumindest hat er keinen sichtbaren Driver mehr und auch die Registry ist von den überresten geräumt, auch die Sys Wiederherstellung muss da natürlich neu gemacht werden, da sich Spyeye da auch reinhaut!

Aber jetzt mal zum Thema...ich schätze mal das ich da durch ein I-Frame infiziert wurde...man sieht das ja nicht...das Witzige ist, das ich auf den Seiten noch nie mit sowas Infiziert worden bin.

Was kann man den noch gegen "Drive-by" Infektionen machen ausser Avira Guard und Webguard an zu haben?

Im Grunde kann es dich ja überall treffen. Das ist ja wie russisch Rulette?

Ich hab noch einen Amiga Emulator... dort gibts auch einen Browser...und aufs internet kann der auch zugreifen...mit dem Dingen kann man sich mit I-Frames ja nicht mehr infizieren, da viel zu alt, aber leider stellt die Mühle ja nichts mehr richtig dar...

Mich ärgert es wirklich, das ich nicht wirklich was dagegen tun kann!

Vieleicht könnt ihr mich ja etwas aufklären!

Danke euch!

Zitat:

Zitat von BIOTEC

Heute Abend surf ich so auf meinen üblichen normalen Seiten, die ich immer ansurfe (Nichts wirklich gefährliches)

Da stellt sich mir die Frage, was man als "nicht wirklich" gefährlich bezeichnet....

Zitat:

Zitat von BIOTEC

Was kann man den noch gegen "Drive-by" Infektionen machen ausser Avira Guard und Webguard an zu haben?

Alles aktuell halten und z.B. Firefox mit AdBlock+ und NoScript verwenden.


Also ein paar Fragen

1. Welches Betriebssystem verwendest Du?
2. Welchen Browser nutzt Du?
3. Auf was für Seiten passiert Dir das?
4. Ist bei Dir alles auf dem aktuellen Stand?

MfG, Kaos

WinXP Sp3 mit allen aktuellen Updates...

Ok, der FF ist ne alte 3.6.17...

Und Avira...leider war er aus...Mist!

Wie ist das mit GUMBLAR...der wird doch über Javascript angesprochen, oder?
Heisst kein JS, da hat er nicht so viel Chancen, oder?

Hab jetzt mal Avira beides an und auf Hohe Heuristic...und NoSkript und Adblock Plus als Addon im FF...gibt es sonst noch was, was man tun könnte?

Gumblar war/ist da keine Ausnahmen, es gibt eine Menge Exploits im Netzt, Java ist nur ein Programm, das ausgenutzt wird, wenn es Sicherheitslücken gibt.

Hier ist eine Anleitung zur Absicherung des Rechners.
EMET (Enhanced Mitigation Experience Toolkit) hiflt vorallem bei XP, einige Exploits einzuschränken.
Desweiteren kannst Du Sanboxie nutzen, wenn Du im Internet surfst.

Bei EMET sollten zumindest folgende Programme hinzugefügt werden:

• Java JRE
• Flashplayer
• Browser (Firefox, Internet Explorer, etc..)
• PDF Reader
• E-Mail Programme
• Andere Programme, die im Internet genutzt werden.

Es kann vorkommen, dass Programme nicht richtig funktionieren, wenn sie mit EMET eingeschränkt werden, dann solltest Du sie wieder aus der Liste nehmen.

Firefox solltest Du unbedingt auf die aktuellste Version bringen, ansonsten ist es nicht sehr verwundelich, dass Dein System etwas anfällig ist. Deine Version ist etwas sehr alt.

MfG, Kaos

Möglicherweise hilft auch ein user agent switcher. Mit iphone oder android kennung bleibt der meiste überflüssige Krempel einer Website außen vor.
Bei mehrfach besuchten Seiten hilft der Adblock hiding helper, oder ein Blick auf die Scriptnamen. 1 ,2 Clicks und wech ...
Das hilft natürlich nicht bei Erstbesuch, aber oft werden nicht die eigentlichen server kompromittiert, sondern einer der AdwareSklaven
.

Den neuen FF 10 werd ich mir heute mal installieren...das alte 3er Dingen ist wirklich eine Sicherheitslücke, auch wegen den Exploits....klar!

Aber man sieht ja hier immer noch viele User, die Probleme mit U-Cash Trojanern haben, obwohl das Teil eigendlich kein grosses Ding ist...auch um es weg zu bekommen, aber nicht jeder bekommts alleine hin. Deshalb gut das es dieses Forum und euch gibt!

Aber da sind sicherlich sehr viele Lücken, wo sowas reinschlüpfen kann und dann ist das gejammer gross! >> Mich eingeschlossen und ich dachte ich bin dank "Brain.exe" sicher...Weit gefehlt!

Die Windows Version von Chrome hat einen Schutz in der Art von Sandboxie. Allerdings sind auch solche Mechanismen kein Allheilmittel:

Schwere Sicherheitslücke in Chrome entdeckt und verkauft

Viel sicherer als Opera oder Firefox scheint er dann doch nicht zu sein.

Das Erkennen von Signaturen das du in Adblock einbauen willst sollte übrigens ein Antivirenscanner der Downloads scant auch können.. z.B. die Bezahlversionen der meisten Scanner..

Webguards halte ich für überflüssig. Ob die Datei nun vor dem Download erkannt wird oder danach ist eigentlich egal. Der Virenscanner wird sie dann in die Quarantäne befürdern. Wenn die Datei vom AV als ungefählich erkannt wird, hilft auch der Webguard nicht viel, kostet dennoch Traffic.

Dateien, die nur auf dem Rechner landen aber nicht ausgeführt werden, stellen keine Bedrohung dar. Da hilft es allgemein den Browser so einzustellen, dass er den Cache beim Beenden löscht.

Drive-By Infektionen werden durch Exploits ins System geschleust, sehr häufig über Java und Flash. Beides wird von NoScript geblockt und nur zugelassen, wenn man es aktiviert. Adblock sperrt Werbung aus und über infizierte Werbebanner kommt gerne mal Malware angeflattert. Allein damit ist man schonmal relativ gut abgesichert.

Mir persönlich stellt sich die Frage, wie es bei manchen so häufig Probleme gibt.... Was für Seiten besucht ihr nur?!?
Ich hatte das letzte mal eine Viruswarnung vor ca. 2 Jahren. Momentan nutze ich FF mit Adblock, NoScript, Ghostery und BetterPrivacy. MS Security Essentials rostet bei mir ein, weil es nie etwas zu tun hat.

Zitat:

Zitat von Kaos

Mir persönlich stellt sich die Frage, wie es bei manchen so häufig Probleme gibt.... Was für Seiten besucht ihr nur?!?

Ich kann nur von mir berichten, dass der Beifang nicht von den üblichen Verdächtigen kommt, sondern wenn ich über Google ein (nicht alltägliche) Suche starte und dann auf verwaisten oder gekaperten Websites lande. Nämlich dann, wenn man nicht damit rechnet. Auf beliebten Websites, wozu auch Warez&Co gehören, fliegt virenbelasteter Müll viel zu schnell auf - und warezbetreiber verdienen ihr Geld heute anders, sie sind auf den Traffic angewiesen und haben einen Ruf zu verteidigen.
Wie gesagt, Problem heute sind Baukastenwebsites ...

Zitat:

Zitat von popeye2

Suche starte und dann auf verwaisten oder gekaperten Websites lande. Nämlich dann, wenn man nicht damit rechnet.

Und genau dort sollte eigentlich alles blockiert sein, kein Flash, kein JavaScript etc.

na ja
flash blockieren geht ja noch,
aber mit no script laufen >90% der websites nicht mehr. Wäre eher eine Aufgabe für Google&Co infizierte Websites nicht mehr in ihren Suchkatalog aufzunehmen. Ich habe zumindest meist no script deaktiviert, bringt nix. Und wenn ich es jededsmal manuell deaktivieren muss, um eine website anzuschauen, passiert die drive-by infektion dann eben beim 2.Click
Und wenn wir schon beim Thema sind:
Browserupdates sind zunehmend inkompatibel zu den add ons
diese ständige major release Änderungen sind einfach z.K.
bleibt der alte Browser eben drauf. Und damit sind dann auch in kurzer Zeit Flash und /oder java out of date.
Wenn jeder meint wild neue Versionen herauszubringen, ohne Kompatibilitätsrücksicht, bleibt am Ende eben die Sicherheit auf der Strecke

.. jetzt hat mir die Forensoftware wieder den Link rauseditiert... der Link zeigte auf einen Artikel über schwere Sicherheitslücken in Chrome, also selbst dieser Browser bleibt nicht verschont.

Ich persönlich habe exakt einmal von einem AV Programm profitiert: ich war damals 1&1 Kunde, hatte Ärger mit der Rechnungsabteilung, war etwas übermüdet, erhielt eine Mail in korrektem Deutsch (das war damals für Viren-Mails noch absolut unüblich) und klickte tatsächlich auf 1&1Rechnung.pdf.exe .... AVG sprang ein und ich kam mir arg dämlich vor....

Ein andermal entdeckte ich mit Disinvec't eine Infektion auf dem Laptop meines Bruders .. die "unter dem Radar" seines AV Programms geblieben war.

Ansonsten waren bisher alle Rechner bei denen ich an der Administration beteiligt war schadsoftwarefrei.. jedenfalls soweit ich das feststellen kann.

Allerdings habe ich von einigen Leuten die ohne Adblock und Noscript "unterwegs" sind gehört dass sie sich über Bannerwerbung Schadsoftware eingefangen haben.

hxxp://www.heise.de/newsticker/meldung/Werbe-Trojaner-mit-Schweizer-Segen-1474414.html

Zitat:

Wikipedia ist dein Freund: Die windows firewall (in der heutigen Form) kam erst im Herbst 2004 mit SP2,

Ich glaube shadow weiß das schon aber

Zitat:

rund ein Jahr nach Sasser. Damals waren Router auch noch nicht so verbreitet, meistens steckte das Modem oder DSL Modem direkt im PC.

wer ohne Router ins Netz ging und dann seine Dienste nicht beendet bzw die Windows-Firewall eingeschaltet hatte, hat da schon gehörig was verschlafen. Zudem wurden die Rechner auch dann erst befallen wenn der Patch nicht installiert wurde, um die Lücken zu schließen.

Zitat:

Mit den heutigen o-day exploits ist kein Kraut gewachsen,

Na das ist ja nun ziemlich hysterisch. Es ist schon sehr viel für die Sicherheit getan wenn man keine Adminrechte beim Surfen hat, Browser sowie alle Plugins, Programme und das OS aktuell immer ist!