Hi!

Nun hat es mich in letzter Zeit schon 2x per Drive By mit dem blöden UCASH Trojaner infiziert.

Zum Glück bin ich in Sachen Malware beseitigen etwas Fit und habe die Infektionen selber wieder weg bekommen.

Das erstemal wars ein über Java ausgeführtes Programm...Malwarebytes im Abgesicherten drüber und schon hatte ich die Dinger. Alles wieder gut!

Heute Abend surf ich so auf meinen üblichen normalen Seiten, die ich immer ansurfe (Nichts wirklich gefährliches) und auf einmal, wieder UCASH Trojaner, aber etwas anders. Der vorher war die Version "Windows nicht legal..." und der hier war der, das ich Pornografische Inhalte auf dem rechner hätte...

OK...Malwarebytes Vollscan drüber und da kam dann noch ein Spyeye zum vorschein...nach bischen zeit hatte ich dann auch den weg. Hatte etwas gedauert, aber er ist jetzt weg. Zumindest hat er keinen sichtbaren Driver mehr und auch die Registry ist von den überresten geräumt, auch die Sys Wiederherstellung muss da natürlich neu gemacht werden, da sich Spyeye da auch reinhaut!

Aber jetzt mal zum Thema...ich schätze mal das ich da durch ein I-Frame infiziert wurde...man sieht das ja nicht...das Witzige ist, das ich auf den Seiten noch nie mit sowas Infiziert worden bin.

Was kann man den noch gegen "Drive-by" Infektionen machen ausser Avira Guard und Webguard an zu haben?

Im Grunde kann es dich ja überall treffen. Das ist ja wie russisch Rulette?

Ich hab noch einen Amiga Emulator... dort gibts auch einen Browser...und aufs internet kann der auch zugreifen...mit dem Dingen kann man sich mit I-Frames ja nicht mehr infizieren, da viel zu alt, aber leider stellt die Mühle ja nichts mehr richtig dar...

Mich ärgert es wirklich, das ich nicht wirklich was dagegen tun kann!

Vieleicht könnt ihr mich ja etwas aufklären!

Danke euch!

Zitat:

Zitat von BIOTEC

Heute Abend surf ich so auf meinen üblichen normalen Seiten, die ich immer ansurfe (Nichts wirklich gefährliches)

Da stellt sich mir die Frage, was man als "nicht wirklich" gefährlich bezeichnet....

Zitat:

Zitat von BIOTEC

Was kann man den noch gegen "Drive-by" Infektionen machen ausser Avira Guard und Webguard an zu haben?

Alles aktuell halten und z.B. Firefox mit AdBlock+ und NoScript verwenden.


Also ein paar Fragen

1. Welches Betriebssystem verwendest Du?
2. Welchen Browser nutzt Du?
3. Auf was für Seiten passiert Dir das?
4. Ist bei Dir alles auf dem aktuellen Stand?

MfG, Kaos

WinXP Sp3 mit allen aktuellen Updates...

Ok, der FF ist ne alte 3.6.17...

Und Avira...leider war er aus...Mist!

Wie ist das mit GUMBLAR...der wird doch über Javascript angesprochen, oder?
Heisst kein JS, da hat er nicht so viel Chancen, oder?

Hab jetzt mal Avira beides an und auf Hohe Heuristic...und NoSkript und Adblock Plus als Addon im FF...gibt es sonst noch was, was man tun könnte?

Gumblar war/ist da keine Ausnahmen, es gibt eine Menge Exploits im Netzt, Java ist nur ein Programm, das ausgenutzt wird, wenn es Sicherheitslücken gibt.

Hier ist eine Anleitung zur Absicherung des Rechners.
EMET (Enhanced Mitigation Experience Toolkit) hiflt vorallem bei XP, einige Exploits einzuschränken.
Desweiteren kannst Du Sanboxie nutzen, wenn Du im Internet surfst.

Bei EMET sollten zumindest folgende Programme hinzugefügt werden:

• Java JRE
• Flashplayer
• Browser (Firefox, Internet Explorer, etc..)
• PDF Reader
• E-Mail Programme
• Andere Programme, die im Internet genutzt werden.

Es kann vorkommen, dass Programme nicht richtig funktionieren, wenn sie mit EMET eingeschränkt werden, dann solltest Du sie wieder aus der Liste nehmen.

Firefox solltest Du unbedingt auf die aktuellste Version bringen, ansonsten ist es nicht sehr verwundelich, dass Dein System etwas anfällig ist. Deine Version ist etwas sehr alt.

MfG, Kaos

Möglicherweise hilft auch ein user agent switcher. Mit iphone oder android kennung bleibt der meiste überflüssige Krempel einer Website außen vor.
Bei mehrfach besuchten Seiten hilft der Adblock hiding helper, oder ein Blick auf die Scriptnamen. 1 ,2 Clicks und wech ...
Das hilft natürlich nicht bei Erstbesuch, aber oft werden nicht die eigentlichen server kompromittiert, sondern einer der AdwareSklaven
.

Den neuen FF 10 werd ich mir heute mal installieren...das alte 3er Dingen ist wirklich eine Sicherheitslücke, auch wegen den Exploits....klar!

Aber man sieht ja hier immer noch viele User, die Probleme mit U-Cash Trojanern haben, obwohl das Teil eigendlich kein grosses Ding ist...auch um es weg zu bekommen, aber nicht jeder bekommts alleine hin. Deshalb gut das es dieses Forum und euch gibt!

Aber da sind sicherlich sehr viele Lücken, wo sowas reinschlüpfen kann und dann ist das gejammer gross! >> Mich eingeschlossen und ich dachte ich bin dank "Brain.exe" sicher...Weit gefehlt!

Hi...ich mal wieder!

Mittlerweile ist ja der FF gegen einen aktuellen getauscht und auch DEP bei WinXP eingeschaltet.

Und heute morgen meldet mir Avira wieder mal ein File das das Erkennungsmuster eines Exploits trägt. Das File war im Doku & Einstellungen Temp Ordner und hiess "Photo.class". Habs dann mal in die Karantäne geschickt.

NoScript ist auch installiert. Schätze mal, das NoScript und Avira da was verhindert haben, sonst hätte ich wieder einen 50€ Trojaner drauf gehabt!

Es ist aber schlimm, das man das nicht zu 100% auf WinXP Systemen in den Griff bekommen kann. Das Exploit versteckt sich einfach als xxx.class Datei und wird irgendwann aktiviert und dann ärgert man sich wieder!

Das blöde ist, das auf dem Rechner hier mit 1GB Speicher kein Win7 richtig laufen wird! Das Ding ist mit 6-7 Jahren zu alt und hat auch nur einen Single Core. Aber laufen tut er Prima!

Gibts nicht einen Browser, der einen Sandbox Modus hat?

Mit Sandboxie will ich nicht unbedingt arbeiten müssen.

Zitat:

Zitat von BIOTEC

Und heute morgen meldet mir Avira wieder mal ein File das das Erkennungsmuster eines Exploits trägt. Das File war im Doku & Einstellungen Temp Ordner und hiess "Photo.class".

Und wann wurde diese Java-Datei auf den Computer übertragen?
Heute? Gestern? Vor 3 Monaten?

Zitat:

Zitat von BIOTEC

NoScript ist auch installiert. Schätze mal, das NoScript und Avira da was verhindert haben, sonst hätte ich wieder einen 50€ Trojaner drauf gehabt!

Schätze mal eher, dass du dies nicht weißt.
Welcher Bösewicht soll denn "Photo.class" sein?

Zitat:

Zitat von BIOTEC

Gibts nicht einen Browser, der einen Sandbox Modus hat?

Chrome soll eine Sandbox integriert haben.
Ich weiß jetzt aber nicht, ob sie in diesem Sinn so funktioniert, dass Drive-by-Downloads wirklich zuverlässig verhindert werden können.

Zitat:

Zitat von BIOTEC

Das blöde ist, das auf dem Rechner hier mit 1GB Speicher kein Win7 richtig laufen wird! Das Ding ist mit 6-7 Jahren zu alt und hat auch nur einen Single Core. Aber laufen tut er Prima!

Gibts nicht einen Browser, der einen Sandbox Modus hat?

Mit Sandboxie will ich nicht unbedingt arbeiten müssen.

Warum muss es Windows sein? Oder willst du mit so einer Kiste auch noch was anderes machen als Surfen?
Nimm eine Linux-Distro und als Desktop sowas wie XFCE oder LXDE und schon rennt die Kiste wieder

Mit etwas Handarbeit sollte es doch möglich sein, in adblock die üblichen Verdächtigen Java-classes bzw. flash-binaries einzutragen. Hilft zwar nicht gegen neue Virusvarianten, aber sicher gegen den Mainstream. Nicht schlecht wäre hier ein Forenprojekt, wo die gefundenen Schädlinge bzw. -quellen als herunterladbare Adblockliste gepflegt werden. Da könnte man natürlich auch gleich die Warezseiten miteintragen, die hier ja nicht gerne gesehen werden (zu Recht). Zumindest die oben genannte java class wird von google im Forum in den geposteten otlfiles schon öfters gefunden.
Das wäre halt ein zusätzlicher Schutz, so eine Blockierliste, zwar ohne Anspruch auf Vollständigkeit, aber die heute aktuellen Viren sind, wie man im Forum sieht meist die gleichen Pappenheimer. Klar wird es schwierig bei den Wegwerfdomains in China, woraus sich Rootkits mit ihren Schadcodes versorgen.
Und am Ende vielleicht weniger arbeitsaufwändig wie die persönliche Betreuung jedes Polizeitrojaneropfers hier im Forum ...

Seh ich auch so!

Man müsste da etwas mehr gegen anstreben! Muss man sich mal das Board hier angucken! Jeder 2. Eintrag ist dieser UCash Trojaner...und die vorgehensweise ist doch fast immer die selbe! Die Leute infizieren sich per Drive by...Javascript!

Da müsste man ein Tut aufbauen, das es den Leuten auch nach einer Infektion sagt, was sie machen müssen, damit das nicht wieder passieren kann!

Die meissten wollen sich ja nicht infizieren (Siehe mich) und trotzdem passierts dann einfach so!

Aber mit den FF Addons und Avira gehts einigermassen...

Die Windows Version von Chrome hat einen Schutz in der Art von Sandboxie. Allerdings sind auch solche Mechanismen kein Allheilmittel:

Schwere Sicherheitslücke in Chrome entdeckt und verkauft

Viel sicherer als Opera oder Firefox scheint er dann doch nicht zu sein.

Das Erkennen von Signaturen das du in Adblock einbauen willst sollte übrigens ein Antivirenscanner der Downloads scant auch können.. z.B. die Bezahlversionen der meisten Scanner..

Webguards halte ich für überflüssig. Ob die Datei nun vor dem Download erkannt wird oder danach ist eigentlich egal. Der Virenscanner wird sie dann in die Quarantäne befürdern. Wenn die Datei vom AV als ungefählich erkannt wird, hilft auch der Webguard nicht viel, kostet dennoch Traffic.

Dateien, die nur auf dem Rechner landen aber nicht ausgeführt werden, stellen keine Bedrohung dar. Da hilft es allgemein den Browser so einzustellen, dass er den Cache beim Beenden löscht.

Drive-By Infektionen werden durch Exploits ins System geschleust, sehr häufig über Java und Flash. Beides wird von NoScript geblockt und nur zugelassen, wenn man es aktiviert. Adblock sperrt Werbung aus und über infizierte Werbebanner kommt gerne mal Malware angeflattert. Allein damit ist man schonmal relativ gut abgesichert.

Mir persönlich stellt sich die Frage, wie es bei manchen so häufig Probleme gibt.... Was für Seiten besucht ihr nur?!?
Ich hatte das letzte mal eine Viruswarnung vor ca. 2 Jahren. Momentan nutze ich FF mit Adblock, NoScript, Ghostery und BetterPrivacy. MS Security Essentials rostet bei mir ein, weil es nie etwas zu tun hat.

.. jetzt hat mir die Forensoftware wieder den Link rauseditiert... der Link zeigte auf einen Artikel über schwere Sicherheitslücken in Chrome, also selbst dieser Browser bleibt nicht verschont.

Ich persönlich habe exakt einmal von einem AV Programm profitiert: ich war damals 1&1 Kunde, hatte Ärger mit der Rechnungsabteilung, war etwas übermüdet, erhielt eine Mail in korrektem Deutsch (das war damals für Viren-Mails noch absolut unüblich) und klickte tatsächlich auf 1&1Rechnung.pdf.exe .... AVG sprang ein und ich kam mir arg dämlich vor....

Ein andermal entdeckte ich mit Disinvec't eine Infektion auf dem Laptop meines Bruders .. die "unter dem Radar" seines AV Programms geblieben war.

Ansonsten waren bisher alle Rechner bei denen ich an der Administration beteiligt war schadsoftwarefrei.. jedenfalls soweit ich das feststellen kann.

Allerdings habe ich von einigen Leuten die ohne Adblock und Noscript "unterwegs" sind gehört dass sie sich über Bannerwerbung Schadsoftware eingefangen haben.

Zitat:

Zitat von Kaos

Mir persönlich stellt sich die Frage, wie es bei manchen so häufig Probleme gibt.... Was für Seiten besucht ihr nur?!?

Ich kann nur von mir berichten, dass der Beifang nicht von den üblichen Verdächtigen kommt, sondern wenn ich über Google ein (nicht alltägliche) Suche starte und dann auf verwaisten oder gekaperten Websites lande. Nämlich dann, wenn man nicht damit rechnet. Auf beliebten Websites, wozu auch Warez&Co gehören, fliegt virenbelasteter Müll viel zu schnell auf - und warezbetreiber verdienen ihr Geld heute anders, sie sind auf den Traffic angewiesen und haben einen Ruf zu verteidigen.
Wie gesagt, Problem heute sind Baukastenwebsites ...