Was tun gegen "Drive-by" Infektionen?
 

Hi!

Nun hat es mich in letzter Zeit schon 2x per Drive By mit dem blöden UCASH Trojaner infiziert.

Zum Glück bin ich in Sachen Malware beseitigen etwas Fit und habe die Infektionen selber wieder weg bekommen.

Das erstemal wars ein über Java ausgeführtes Programm...Malwarebytes im Abgesicherten drüber und schon hatte ich die Dinger. Alles wieder gut!

Heute Abend surf ich so auf meinen üblichen normalen Seiten, die ich immer ansurfe (Nichts wirklich gefährliches) und auf einmal, wieder UCASH Trojaner, aber etwas anders. Der vorher war die Version "Windows nicht legal..." und der hier war der, das ich Pornografische Inhalte auf dem rechner hätte...:wtf:

OK...Malwarebytes Vollscan drüber und da kam dann noch ein Spyeye zum vorschein...nach bischen zeit hatte ich dann auch den weg. Hatte etwas gedauert, aber er ist jetzt weg. Zumindest hat er keinen sichtbaren Driver mehr und auch die Registry ist von den überresten geräumt, auch die Sys Wiederherstellung muss da natürlich neu gemacht werden, da sich Spyeye da auch reinhaut!

Aber jetzt mal zum Thema...ich schätze mal das ich da durch ein I-Frame infiziert wurde...man sieht das ja nicht...das Witzige ist, das ich auf den Seiten noch nie mit sowas Infiziert worden bin.

Was kann man den noch gegen "Drive-by" Infektionen machen ausser Avira Guard und Webguard an zu haben?

Im Grunde kann es dich ja überall treffen. Das ist ja wie russisch Rulette?

Ich hab noch einen Amiga Emulator... dort gibts auch einen Browser...und aufs internet kann der auch zugreifen...mit dem Dingen kann man sich mit I-Frames ja nicht mehr infizieren, da viel zu alt, aber leider stellt die Mühle ja nichts mehr richtig dar...

Mich ärgert es wirklich, das ich nicht wirklich was dagegen tun kann!

Vieleicht könnt ihr mich ja etwas aufklären!

Danke euch!

Da stellt sich mir die Frage, was man als "nicht wirklich" gefährlich bezeichnet....

Alles aktuell halten und z.B. Firefox mit AdBlock+ und NoScript verwenden.


Also ein paar Fragen

1. Welches Betriebssystem verwendest Du?
2. Welchen Browser nutzt Du?
3. Auf was für Seiten passiert Dir das?
4. Ist bei Dir alles auf dem aktuellen Stand?

MfG, Kaos

WinXP Sp3 mit allen aktuellen Updates...

Ok, der FF ist ne alte 3.6.17...

Und Avira...leider war er aus...Mist!

Wie ist das mit GUMBLAR...der wird doch über Javascript angesprochen, oder?
Heisst kein JS, da hat er nicht so viel Chancen, oder?

Hab jetzt mal Avira beides an und auf Hohe Heuristic...und NoSkript und Adblock Plus als Addon im FF...gibt es sonst noch was, was man tun könnte?

Gumblar war/ist da keine Ausnahmen, es gibt eine Menge Exploits im Netzt, Java ist nur ein Programm, das ausgenutzt wird, wenn es Sicherheitslücken gibt.

Hier ist eine Anleitung zur Absicherung des Rechners.
EMET (Enhanced Mitigation Experience Toolkit) hiflt vorallem bei XP, einige Exploits einzuschränken.
Desweiteren kannst Du Sanboxie nutzen, wenn Du im Internet surfst.

Bei EMET sollten zumindest folgende Programme hinzugefügt werden:

• Java JRE
• Flashplayer
• Browser (Firefox, Internet Explorer, etc..)
• PDF Reader
• E-Mail Programme
• Andere Programme, die im Internet genutzt werden.

Es kann vorkommen, dass Programme nicht richtig funktionieren, wenn sie mit EMET eingeschränkt werden, dann solltest Du sie wieder aus der Liste nehmen.

Firefox solltest Du unbedingt auf die aktuellste Version bringen, ansonsten ist es nicht sehr verwundelich, dass Dein System etwas anfällig ist. Deine Version ist etwas sehr alt.

MfG, Kaos

Möglicherweise hilft auch ein user agent switcher. Mit iphone oder android kennung bleibt der meiste überflüssige Krempel einer Website außen vor.
Bei mehrfach besuchten Seiten hilft der Adblock hiding helper, oder ein Blick auf die Scriptnamen. 1 ,2 Clicks und wech ...
Das hilft natürlich nicht bei Erstbesuch, aber oft werden nicht die eigentlichen server kompromittiert, sondern einer der AdwareSklaven
.

Den neuen FF 10 werd ich mir heute mal installieren...das alte 3er Dingen ist wirklich eine Sicherheitslücke, auch wegen den Exploits....klar!

Aber man sieht ja hier immer noch viele User, die Probleme mit U-Cash Trojanern haben, obwohl das Teil eigendlich kein grosses Ding ist...auch um es weg zu bekommen, aber nicht jeder bekommts alleine hin. Deshalb gut das es dieses Forum und euch gibt!

Aber da sind sicherlich sehr viele Lücken, wo sowas reinschlüpfen kann und dann ist das gejammer gross! >> Mich eingeschlossen und ich dachte ich bin dank "Brain.exe" sicher...Weit gefehlt!

Hi...ich mal wieder!

Mittlerweile ist ja der FF gegen einen aktuellen getauscht und auch DEP bei WinXP eingeschaltet.

Und heute morgen meldet mir Avira wieder mal ein File das das Erkennungsmuster eines Exploits trägt. Das File war im Doku & Einstellungen Temp Ordner und hiess "Photo.class". Habs dann mal in die Karantäne geschickt.

NoScript ist auch installiert. Schätze mal, das NoScript und Avira da was verhindert haben, sonst hätte ich wieder einen 50€ Trojaner drauf gehabt!

Es ist aber schlimm, das man das nicht zu 100% auf WinXP Systemen in den Griff bekommen kann. Das Exploit versteckt sich einfach als xxx.class Datei und wird irgendwann aktiviert und dann ärgert man sich wieder!

Das blöde ist, das auf dem Rechner hier mit 1GB Speicher kein Win7 richtig laufen wird! Das Ding ist mit 6-7 Jahren zu alt und hat auch nur einen Single Core. Aber laufen tut er Prima!

Gibts nicht einen Browser, der einen Sandbox Modus hat?

Mit Sandboxie will ich nicht unbedingt arbeiten müssen.

Und wann wurde diese Java-Datei auf den Computer übertragen?
Heute? Gestern? Vor 3 Monaten?

Schätze mal eher, dass du dies nicht weißt.
Welcher Bösewicht soll denn "Photo.class" sein?

Chrome soll eine Sandbox integriert haben.
Ich weiß jetzt aber nicht, ob sie in diesem Sinn so funktioniert, dass Drive-by-Downloads wirklich zuverlässig verhindert werden können.

Warum muss es Windows sein? Oder willst du mit so einer Kiste auch noch was anderes machen als Surfen?
Nimm eine Linux-Distro und als Desktop sowas wie XFCE oder LXDE und schon rennt die Kiste wieder :kloppen:

Mit etwas Handarbeit sollte es doch möglich sein, in adblock die üblichen Verdächtigen Java-classes bzw. flash-binaries einzutragen. Hilft zwar nicht gegen neue Virusvarianten, aber sicher gegen den Mainstream. Nicht schlecht wäre hier ein Forenprojekt, wo die gefundenen Schädlinge bzw. -quellen als herunterladbare Adblockliste gepflegt werden. Da könnte man natürlich auch gleich die Warezseiten miteintragen, die hier ja nicht gerne gesehen werden (zu Recht). Zumindest die oben genannte java class wird von google im Forum in den geposteten otlfiles schon öfters gefunden.
Das wäre halt ein zusätzlicher Schutz, so eine Blockierliste, zwar ohne Anspruch auf Vollständigkeit, aber die heute aktuellen Viren sind, wie man im Forum sieht meist die gleichen Pappenheimer. Klar wird es schwierig bei den Wegwerfdomains in China, woraus sich Rootkits mit ihren Schadcodes versorgen.
Und am Ende vielleicht weniger arbeitsaufwändig wie die persönliche Betreuung jedes Polizeitrojaneropfers hier im Forum ...

Seh ich auch so!

Man müsste da etwas mehr gegen anstreben! Muss man sich mal das Board hier angucken! Jeder 2. Eintrag ist dieser UCash Trojaner...und die vorgehensweise ist doch fast immer die selbe! Die Leute infizieren sich per Drive by...Javascript!

Da müsste man ein Tut aufbauen, das es den Leuten auch nach einer Infektion sagt, was sie machen müssen, damit das nicht wieder passieren kann!

Die meissten wollen sich ja nicht infizieren (Siehe mich) und trotzdem passierts dann einfach so!

Aber mit den FF Addons und Avira gehts einigermassen...

Die Windows Version von Chrome hat einen Schutz in der Art von Sandboxie. Allerdings sind auch solche Mechanismen kein Allheilmittel:

Schwere Sicherheitslücke in Chrome entdeckt und verkauft

Viel sicherer als Opera oder Firefox scheint er dann doch nicht zu sein.

Das Erkennen von Signaturen das du in Adblock einbauen willst sollte übrigens ein Antivirenscanner der Downloads scant auch können.. z.B. die Bezahlversionen der meisten Scanner..

Webguards halte ich für überflüssig. Ob die Datei nun vor dem Download erkannt wird oder danach ist eigentlich egal. Der Virenscanner wird sie dann in die Quarantäne befürdern. Wenn die Datei vom AV als ungefählich erkannt wird, hilft auch der Webguard nicht viel, kostet dennoch Traffic.

Dateien, die nur auf dem Rechner landen aber nicht ausgeführt werden, stellen keine Bedrohung dar. Da hilft es allgemein den Browser so einzustellen, dass er den Cache beim Beenden löscht.

Drive-By Infektionen werden durch Exploits ins System geschleust, sehr häufig über Java und Flash. Beides wird von NoScript geblockt und nur zugelassen, wenn man es aktiviert. Adblock sperrt Werbung aus und über infizierte Werbebanner kommt gerne mal Malware angeflattert. Allein damit ist man schonmal relativ gut abgesichert.

Mir persönlich stellt sich die Frage, wie es bei manchen so häufig Probleme gibt.... Was für Seiten besucht ihr nur?!?
Ich hatte das letzte mal eine Viruswarnung vor ca. 2 Jahren. Momentan nutze ich FF mit Adblock, NoScript, Ghostery und BetterPrivacy. MS Security Essentials rostet bei mir ein, weil es nie etwas zu tun hat.

.. jetzt hat mir die Forensoftware wieder den Link rauseditiert... der Link zeigte auf einen Artikel über schwere Sicherheitslücken in Chrome, also selbst dieser Browser bleibt nicht verschont.

Ich persönlich habe exakt einmal von einem AV Programm profitiert: ich war damals 1&1 Kunde, hatte Ärger mit der Rechnungsabteilung, war etwas übermüdet, erhielt eine Mail in korrektem Deutsch (das war damals für Viren-Mails noch absolut unüblich) und klickte tatsächlich auf 1&1Rechnung.pdf.exe .... AVG sprang ein und ich kam mir arg dämlich vor....

Ein andermal entdeckte ich mit Disinvec't eine Infektion auf dem Laptop meines Bruders .. die "unter dem Radar" seines AV Programms geblieben war.

Ansonsten waren bisher alle Rechner bei denen ich an der Administration beteiligt war schadsoftwarefrei.. jedenfalls soweit ich das feststellen kann.

Allerdings habe ich von einigen Leuten die ohne Adblock und Noscript "unterwegs" sind gehört dass sie sich über Bannerwerbung Schadsoftware eingefangen haben.

Ich kann nur von mir berichten, dass der Beifang nicht von den üblichen Verdächtigen kommt, sondern wenn ich über Google ein (nicht alltägliche) Suche starte und dann auf verwaisten oder gekaperten Websites lande. Nämlich dann, wenn man nicht damit rechnet. Auf beliebten Websites, wozu auch Warez&Co gehören, fliegt virenbelasteter Müll viel zu schnell auf - und warezbetreiber verdienen ihr Geld heute anders, sie sind auf den Traffic angewiesen und haben einen Ruf zu verteidigen.
Wie gesagt, Problem heute sind Baukastenwebsites ...

Und genau dort sollte eigentlich alles blockiert sein, kein Flash, kein JavaScript etc.

na ja
flash blockieren geht ja noch,
aber mit no script laufen >90% der websites nicht mehr. Wäre eher eine Aufgabe für Google&Co infizierte Websites nicht mehr in ihren Suchkatalog aufzunehmen. Ich habe zumindest meist no script deaktiviert, bringt nix. Und wenn ich es jededsmal manuell deaktivieren muss, um eine website anzuschauen, passiert die drive-by infektion dann eben beim 2.Click
Und wenn wir schon beim Thema sind:
Browserupdates sind zunehmend inkompatibel zu den add ons :headbang::headbang::headbang:
diese ständige major release Änderungen sind einfach z.K.
bleibt der alte Browser eben drauf. Und damit sind dann auch in kurzer Zeit Flash und /oder java out of date.
Wenn jeder meint wild neue Versionen herauszubringen, ohne Kompatibilitätsrücksicht, bleibt am Ende eben die Sicherheit auf der Strecke

Das ist Unsinn. Auch wenn viele Sites vieler hirnloser Webmaster eben nur noch mit JavaSript laufen. Die meisten davon braucht man eben aber nicht. Mit ein bisschen Intelligenz und weniger Blick auf Dummheit und Blink-Zack-Bumm kann man jede Website so machen (als Websiteanbieter/-ersteller), dass ohne JavaScript die Seiten zumindest noch problemlos grundsätzlich laufen, dies ist eine Vorstufe(!) zum barrierefreien Web.
Wer solche Seiten besucht und JavaScript OHNE triftigen Grund aktiviert, der ist selber Schuld.
Google warnt bei erkannt infizierten Webseiten. (sieht man aber IIRC nur wenn man JS erlaubt :blabla: - was bei mir aber nicht der Fall ist.)
Und es wäre eine Aufgabe von intelligenten Nutzern, Seiten die grundlos JavaScript voraussetzen, einfach aktiv zu meiden.
Eine Seite muss mir einen triftigen guten Grund liefern, damit ich JS zulasse. Ansonsten kann die Seite mir mal den Buckel kratzen.

wenn ich was auf Google suche, muss das bei dutzenden oder Millionen Suchtreffern auf den ersten Blick sehen, ob ich die Suchanfrage modifizieren muss oder einen weiteren Treffer auswählen soll. Und nicht funktionierende Seiten sind da kontraproduktiv, wenn der Browser dann hängt oder der Suchtreffer nicht asngezeigt wird weil der Alternativtext ihn nicht enthält.
Akademische Ansätze sind nett, aber oft nicht praxisrelevant. Windoof ist praktischer wie Linux, ganz einfach, wenn auch oft unsicherer.

Das ist eine ziemlich subjektive Aussage. Ich finde Linux in vielen Dingen praktischer, logischer und viel einfacher. Stichwort: Paketverwaltung :zunge:

overall windoof rulez
nutze linux am liebsten auf der Kommandozeile für alles was windows nicht kann
(z.B. vi , mc oder dd )

Tja, wo siehst du einen rein akademischen Ansatz?

Ich lebe und arbeite (!) damit schon lange recht problemlos.
Aber man mag damit im Bereich der Trivalinformationen und des Webs für Datenloser (soziale Netzwerke) schneller seine Grenzen finden. Ist aber nichts wichtiges was da nicht geht.
Restriktives, vernunftorientiertes Surfen als rein akademisch abtun ist ziemlich kurzsichtig, aber verständlich bei Nutzern die "Windoof" scheinbar noch für originell halten. :blabla:

Na dann ist unsere Grundansicht ja nicht sooo verschieden. Bei jedem ist das eine oder andere eben ein bisserl mehr oder weniger ausgeprägt.
Bisher konnte man durch gesunden Menschenverstand und einem gewartetem Rechner auch ohne Virenechtzeitschutz auskommen. Die aktuellen drive-by Infektionen erfordern wieder ein umdenken wie seinerzeit die Einführung einer Firewall (oder einen Router mit NAT) bei lovesan&co.
Und soziale Netzwerke kommen und gehen ... Wer spricht heute noch über second life?
Signierte Software und auch Webinhalte werden Einzug halten (tun sie ja schon im Handy- und Settopboxenbereich), keine Frage, um die Systemsicherheit zumindest teilweise zu erhöhen. Wenn da nicht Gängelung und DRM die Oberhand erlangen, könnte es klappen

hxxp://www.heise.de/newsticker/meldung/Werbe-Trojaner-mit-Schweizer-Segen-1474414.html

:confused:
Beides gab es schon vorher, beides war schon vorher üblich, NAT war und ist bei Internet-Routern rein technisch immer nötig und ein aktualisierter PC war bei Erscheinen von Lovesan/Blaster schon hinreichend geschützt. Nur geisterte damals noch als Schutztipp gegen Microsoft die Idee die Firewall (von Microsoft) ja auszuschalten durch die Lande und z.B. die Installation der damals aktuellen T-Online-Softwareversion schaltete die Windows-Firewall ungefragt ab - und Windows hat da noch nicht danach geschaut und gewarnt.

Ja, dies ist auch meine Hoffnung bei Facebook :pfeiff:

Wikipedia ist dein Freund: Die windows firewall (in der heutigen Form) kam erst im Herbst 2004 mit SP2,
rund ein Jahr nach Sasser. Damals waren Router auch noch nicht so verbreitet, meistens steckte das Modem oder DSL Modem direkt im PC.
Mit den heutigen o-day exploits ist kein Kraut gewachsen, die nachgeladenen Codeteile bereits verschlüsselt (kann kein Antivirenkit detektieren). Ein bereits infiziertes System ist sowieso außen vor (stealth root kits ).
Internetbrowser wird wohl demnächst in einer abgesicherten VM laufen müssen. Das meinte ich mit umdenken. Sowie vor 8 Jahren eben die flächendeckende Einrichtung einer Firewall bzw. Nutzung eines NAT-Routers.

Ich glaube shadow weiß das schon :pfeiff: aber

wer ohne Router ins Netz ging und dann seine Dienste nicht beendet bzw die Windows-Firewall eingeschaltet hatte, hat da schon gehörig was verschlafen. Zudem wurden die Rechner auch dann erst befallen wenn der Patch nicht installiert wurde, um die Lücken zu schließen.

Na das ist ja nun ziemlich hysterisch. Es ist schon sehr viel für die Sicherheit getan wenn man keine Adminrechte beim Surfen hat, Browser sowie alle Plugins, Programme und das OS aktuell immer ist!

Na und? Windows XP "Gold" hat eine Firewall schon ab Werk dabei gehabt, man muss(te) sie nur zu nutzen wissen.
Dass die Form später verbessert wurde, ist eine andere Sache, tut aber nichts zur Sache.
Um "lovesan" nicht auf seinen Windows-PC zu bekommen, waren weder Router noch SP2 nötig. Windows XP hat von Anfang an eine dafür ausreichende Firewall gehabt, nur hat die Paranoia-Fraktion diese damals (vorher - 2001 und 2002) sehr erfolgreich als "böse" (da von Microsoft) gebrandmarkt und es wurde auch in "Expertenforen" (s.a. XP AntiSpy) früher die Deaktivierung empfohlen bzw. die Aktivierung verteufelt.

:stirn:
Sasser ist Ende April 2004 herausgekommen, der Patch GEGEN Sasser kam Anfang April 2004 (zweieinhalb Wochen VORHER!) raus.

1. Rechnen lernen
2. du siehst den Zusammenhang zwischen ungepatchtem System und erfolgreichem Sasser?
3. Sasser != Lovesan/Blaster

Und? Auch Internetanschlüsse hatte damals noch nicht jeder DAU.
Aber jeder mit 2 Cent Ahnung von der Materie hat den Vorteil diesbezüglich von Routern gewusst und vor allem: jeder hätte es wissen können.