Metropolitan Police - wie kommt er auf den PC und woher?
 

Hallo,

da ja im Plagegeister Forum die Opfer vom "Metropolitan Police" zahlreich sind, wollte ich mal wissen, ob ihr schon wisst, wie der auf den PC kommt (welche Sicherheitslücken werden ausgenutzt?) und wird er auf bekannten Seiten injiziert, oder durch Werbebanner verteilt?

Danke für die Befriedigung meiner Neugier im Voraus.

Gruss, Cimba

Die Frage müsste normalerweise lauten, wie kommt eigendlich ein Virus auf ein gut gepflegtes Windows 7 . Im Prinzip nicht möglich, oder ?

Ich benutze zum Beispiel `Secunia` und halte dadurch meine Programme immer auf den tagesaktuellen Stand. Natürlich spiele ich immer die Windowsupdates ein und die UAC steht fast auf Anschlag. Als Virenscanner nutze ich Kaspersky 2011 und surfen tue ich nur auf (glaube ich) sicheren Seiten. Natürlich liegt für alle Fälle immer ein Acronis Backup auf der Externen. Aber 1 Frage: Normalerweise dürfte doch schon an der UAC kein Bösewicht vorbei kommen,oder ?

kaspersky 2012 ist aktuell.
naja, wäre er vllt nicht, wenn die uac auf maximum gewesen währe, aber auch das ist nicht 100 %ig.
nutze noch zusätzlich sandboxie zum surfen. da kann das teil auf jeden fall nicht ausbrechen

Hallo markusg, Sandboxie hatte ich mal. Ich bin vieleicht ein etwas misstrauischer Mensch weil ich halte kein Programm für 100 Proz. Dann kann ich mir vorstellen das mancher unter Sandboxie,was das surfen angeht leichtsinnig würd. Und was ist mit den runtergeladenen Datein wenn mann sie aus der Sandbox entlässt ? Aber ich denke mal Sb. ist schon eine gute Hilfe wenn mann nur surfen tut.

hi,
nein 100 %ig sicher ist nichts...
aber diese malware ist ja meist kein selbst angestoßener download, sondern wird automatisch gestartet, wäre also je nach sandboxie einstellungen überhaupt nicht in der lage gewesen zu funktionieren, bzw wäre nach neustart funktionslos gewesen.

deswegen sicherer als auf die uac zu vertrauen

Arbeitest du auch mit Sandboxie ? Ich versetze mich jetzt mal in das Gehirn eines Virenschreibers, ich schreibe Erpresserviren um an Geld zu kommen,ist `ok` , aber warum gibt es Viren die einfach und schlicht nur das Betriebssystem ruinieren ohne finanzielen Hintergrund, was hat ein Virenschreiber davon . Das ergibt für mich keinen Sinn !

Es gibt auch viele Scriptkiddies, die sich den zweifelhaften Ruhm nicht entgehen lassen wollen, dass mit ihrem Code möglichst viele Rechner lahmgelegt wurden.
Naja. Bisher hatten die Rogues eigentlich nur das Ziel aus Scheiße (Fakesoftware, Software ohne wirkliche Funktion außer fiesen Warnmeldungen für den User) Geld zu machen.

Poppi, wurdest du auch befallen? Wenn du Secunia nutzt und auch entsprechend schnell reagierst, solltest du so eine Seuche nicht haben.

Cosinus,nein ich wurde nicht befallen . Ich lese bei Euch bestimmt schon 4 Jahre hier Eure Beiträge mit und gestern dachte ich mir das ich mich mal anmelde und auch meine Meinung schreibe. Ihr habt wirklich ein SEHR interessantes Forum hier und das auch noch alles kostenlos, Super !!!
Meine Meinung ist, wenn man sein Windows pflegt und natürlich auch alle installierten Programme sowie mit Brain Exe surft kann doch normalerweise nichts passieren, oder ?
Meine Frage: Wie installiert sich eigendlich der `Metropolitan Police Virus ` , muss der Nutzer etwas ausführen oder umgeht Er wirklich alle Sicherheitsmaßnahmen , das heist `er ist einfach da` .Das schreiben ja bei Euch viele Hilfesuchenden.

Ja, so sollte es sein. Jedenfalls ist dann das Risiko verschwindend gering. So hatte ich mich bisher auch immer verhalten und mich hatte es noch nicht erwischt.
Den letzten Befall hatte ich 2003 als der Blaster rum ging. Da war ich aber noch ein Greenhorn und surfte noch mit Analogmodem, folglich war mein damals verwendetes Windows 2000 auch offen wie ein Scheunentor, sämtliche Dienste komplett aus dem Internet erreichbar. Naja man lernt nicht aus, hatte dann das System neu aufgesetzt und mit dem ntsvcfg-script damals abgesichert bsi dann ca. 1 Jahr später mein DSL-Anschluss aktiv war und ich dann auf Routerbetrieb stellte.


Wie bei jedem Einzelfall die Installation vonstatten ging kann ich nicht sagen, aber mein Eindruck ist, dass schon der Besuch von "bösen" bzw. manipulierten Seiten genügt, wenn man alte verwundbare Software von Java, Flashplayer oder AdobeReader hat (der AdobeReader installiert im Browser Plugins für die eingebettete Anzeige von PDF im Browser). Ob unbedingt Adminrechte im Spiel sein müssen weß ich so jetzt nicht und auch nicht ob der Browser selbst auch verwunfbar (veraltet) sein muss. Jedenfalls wird immer empfohlen nie mit Adminrechten zu surfen und wirklich alle Programme aktuell zu halten um alle Einfallstore zu schließen. Kann man auch kombinieren mit Sandboxie, Browser in der Sandbox, empfiehlt markusg ja auch häufiger.

Danke für die Antwort Cosinus, das man nie auslernt das stimmt sonst wäre ja das Leben langweilig. Ich hatte bis jetzt auch noch keine Viren, vieleicht weil ich auch `zu vorsichtig` im www surfe (dadurch entgeht mir auch bestimmt einiges) . Ich habe mal irgendwo gelesen das zum Beispiel Internatcaffes Programme verwenden die alles wieder auf den Ursprungszustand zurück setzen (auf Knopfdruck) wenn der oder die Pc`s dort verseucht sind. Ist denn so ein Programm für den Hausgebrauch zu empfehlen ?

Musst du doch wissen, ob es für dich was wäre, wenn jede Änderung, jeder Download jedesmal wieder weg ist.
cosinus wird es nicht beurteilen könnenm, was für dich in Frage kommt - schätze ich mal.
Eine Sandboxumgebung kommt dem übrigens recht nahe. :blabla:

@ cosinus: Rechtzeitig patchen hätte vor Blaster geschützt - und normalerweise lass ich immer erst mal andere die Patches "testen", hatte gerade früher (zu dieser Zeit auch noch) zu oft Ärger gegeben, aber diesen Patch habe ich bei mir und allen Kunden rechtzeitig eingespielt. Und trotzdem wärs hinterm Router ja sowieso eher zweitrangig gewesen. :party:

Der Verbreitungsweg vom Metropolitan-Police-Virus wäre aber durchaus nicht uninteressant. Irgendwie habe ich Zweifel ob es wirklich ein echter Drive-by-Download ohne jegliche Nutzebeteiligung ist. :kaffee: Aber dies ist Teil meiner misanthropischen Weltsicht.:heilig:

Da hast du recht, Eure Hilfesuchenden schreiben immer nur `ich habe mir etwas eingefangen` ,wenn sie ehrlicher wären und würden schreiben wie der Ablauf der Infektion war dann könnte man bestimmt schon im Voraus vor solchen Seiten bzw. Sicherheitslücken warnen.

Ja, als wäre es einfach ein zufälliger, gottgegebener, schuld- und ursachenloser Schicksalschlag für den man (der Nutzer) nichts dafür könnte. :twak:
So ist der Mensch halt :kaffee:

Ach sach bloß Schatti :D damals - ist ja schon 8 Jahre her - wusste ich das aber noch nicht. Da kannte ich weder den Sicherheitsbereich im damaligen Forum wo ich immer war (spotlight.de) noch das TB ;)

sollte doch nur belegen, dass es durchaus sinnvoll sein kann, vorallem Sicherheitsupdates "zeitnah" einzuspielen. :party:

Mal so als Wink an alle Nutzer und Helfer, die es nicht kümmert wenn an einem XP SP2 oder ähnlichem rumgebastelt wird.

Guten Morgen an alle, Shadow wenn das mal alle machen würden dann würden die Virenschreiber vieleicht irgendwann müde werden UND Windows würde was die Sicherheit betrifft irgendwann total veralten. Meine These ist sogar, ohne die bösen Jungs wäre Windows heute nicht das was es ist.

Wenn ich sowas mache, weise ich eigentlich immer darauf hin, dass das OS veraltet und später auf SP3/IE8 plus Folgeupdates hochgezogen werden muss.
Aber erst Updates einspielen ohne zu analysieren was noch an Schädlingen drauf ist, halte ich nicht für soo sinnvoll. Dann lieber erst bereinigen, dann zum Schluss updaten.

Ja, das kann ich auch nachvollziehen, MS hat AFAIR ja auch nach den Würmern wie Blaster und Sasser reagiert, mit dem SP2 für WinXP die Windows-Firewall global für alle Netzwerkadapter aktiviert.

Ich hatte dich nicht gemeint und bei Malwarebekämpfung ist es u.U auch nicht sinnvoll, denn eventuell muss man so ein versautes System sowieso komplett neu aufsetzen.

Ok, ich hatte aber vorsorglich geantwortet :D

Nicht streiten bitte !!! Ich habe folgenden Vorschlag um die Hilfe auf diesen Board zu verbessern , jeder Hilfesuchende weis ganz genau wie er sich die Viren oder Würmer eingefangen hat d.h. auf welchen websides er war bzw. was er wo runtergeladen hat. Wenn er dies beschreiben würde dann könnte mann doch eurerseids vieleicht in einer art Liste vor solchen Sites bzw. Downloads warnen . Naja ich bin halt ziemlich naiv um zu glauben das jeder so ehrlich ist. Ich würde wenn ich Probleme hätte den Ablauf der Infection mitteilen um andere Leser zu warnen.

Nein
...
Ja
Nein

Außerdem streiten wir nicht, ist an gelegentlichen Smilies :twak: oder http://cosgan.de/images/smilie/boese/a037.gif zu erkennen :zunge:
Oder waren es andere Smilies? :party:

Egal, wir streiten (wirklich) nicht, ich glaube nicht das tatsächlich jeder Nutzer weiß wo er sich die jeweilige Malware wirklich geholt hat und ich bezweifle, dass man von objektiver Ehrlichkeit ausgehen kann. Und letzteres ist nicht eimal unbedingt böse gemeint oder gedacht. Der Mensch ist auch jenseits von vorsätzlicher Unehrlichkeit gut daran, auch sich selber und andere (und ohne Vorsatz) zu belügen. Dies ist eine ganz normale Schutzfunktion des menschlichen Geistes.

Diese :party: :alc: http://cheesebuerger.de/images/smilie/nahrung/a015.gif http://cheesebuerger.de/images/smilie/nahrung/f015.gif

Sowas wie http://cheesebuerger.de/images/smilie/boese/a010.gif http://cheesebuerger.de/images/smilie/boese/g080.gif http://cheesebuerger.de/images/smilie/boese/h046.gif http://cheesebuerger.de/images/smilie/boese/k046.gif http://cheesebuerger.de/images/smilie/boese/k030.gif

würde ich shadow niemals antun!

Und außerdem streite ich mich shadow nie! :abklatsch:

Das ist ja lustig,Ihr habt ja richtig Humor !!!
Und ich habe nochmal eine kurze Frage an euch, ich habe neulich mal gelesen das ein jungfreuliches System ohne jegliche Updates von Windows und anderen Programmen und ohne Virenscanner innerhalb von wenigen Minuten verseucht sein soll mit Viren. Und das sogar wenn mann nicht einmal den Browser offen hat . Natürlich muss aber eine I-net Verbindung bestehen. Wie ist das möglich ? Wie spielt sich so ein Szenario ab ? Gruß Poppi

Funktioniert nur OHNE (handelsüblichem DSL-)Router (bzw. mit einem falsch eingestelltem Router), also mit einer ganz direkten Internetverbindung und auch "nur" m.W. mit Windows XP vor SP2 (? müsste nachsehen) oder Windows 2000 vor SP4 (und Server 2000 bzw. 2003 ohne entsprechende SPs) UND soweit ich weiß nicht immer "zuverlässig" bzw. nicht über jeden Internetzugangsprovider.
Neuere Windows-Versionen bzw. Service Packs haben standardmäßig die Firewall (an) und die Ports besser abgesichert.

Das Geheimnis sind "(Netz-)Würmer", also Malware die sich selbständig via Netzwerk verbreiten, d.h. diese Würmer versuchen sich automatisch auf jede zugreifbare IP-Adresse via offene Ports zu etablieren.

Ein normaler DSL-Router verhindert rein aus technischen Gründen einen Zugriff von außen auf Geräte im LAN, solange die Anfrage nicht ursprünglich aus dem LAN initiiert wurde oder für bestimmte Ports eine expliziete Weiterleitung (Port-Forwarding) auf einen Port einer (dieser) lokalen IP-Adresse eingerichtet wurde.

Stichwort z.B. Blaster-Wurm.

Danke für die interessante Antwort. Wie sicher sind eigendlich .pdf und .avi Dateien ?

Mehr zu Netzwerkwürmern findest du auch hier => Netzwerk-Würmer Agobot, Rbot, Spybot, SdBot - Maßnahmen zu Schutz und Entfernung

An für sich sind das "sicherere" Formate da sie nichts Ausführbares haben. Manipulierte Dateien können aber Sicherheitslücken in alten PDF-Readern bzw. alten Videoplayern ausnutzen um das System zu kompromittieren. Es gibt nunmal keine 100% Sicherheit.

Danke Cosinus, ein sehr lehrreicher Artikel. Das ist ja so in etwa,als wenn ein Einbrecher durch ein Wohngebiet läuft und schaut wo eine Haustür auf steht.
Die Leute die so etwas programmieren sind auf jeden Fall keine Dummen. Die könnten Ihr Auskommen bestimmt auch auf legale Weise verdienen . Ich könnte mir vorstellen das AV-Hersteller oder vieleicht Windows u.a. Firmen so `begabte` Leute mit Kusshand nehmen würden.

Nö. AFAIK stellt zB Kaspersky keine Leute ein, die mal Schädlinge programmiert haben. Egal wie begabt die sind.

Du hältst Statements von Jewgeni Kasperski für vertrauenswürdig?

So gut wie kein Sicherheits(wasauchimmer)-Unternehmen gibt gerne bekannt, dass sie einschlägige Kriminelle eingestellt haben oder einstellen würden.
Egal in welcher Teilbranche vom Thema Sicherheit.

Und Herr Kasperski selber ist kein schlechter PR-Mann (bedeutet, ich würde seinen Worten nur sehr wenig glauben (1)) und seine Herkunft (KGB) ist auch nicht sehr der Wahrheit verpflichtet (bedeutet, ich würde seinen Worten nur sehr wenig glauben (2)).
Wenn du (1) und (2) zusammenrechnest, weißt du meine Meinung diesbezüglich.

Allerdings wird sicherlich nicht jeder dahergelaufene Malwareprogrammierer "branchenintern" (deshalb) eingestellt werden, auch nicht wenn er kein schlechter Programmierer ist.

Ich hab bisher nur gehört, dass "offiziell" keine Kriminelle eingestellt werden :pfeiff:
Der Typ der den Sasser programmiert hat, den wollte doch auch keiner haben oder nicht :confused:

Sag ich ja, öffentlich wird damit keiner werben.
Und?
Erstens weiß ich es nicht und zweitens so toll ist es nicht, eine eigentlich allgemein bekannte (!) Lücke auszunützen. IIRC war Sasser auch nicht besonders herausragend programmiert.

Naja ist ja logisch, keine IT. Firma würde öffentlich sagen: Wir haben den Gauner -Ronaldo Pecee Kaputti- eingestellt. Aber wenn er sein Handwerk versteht warum nicht. Es soll ja auch schon böse Programmierer gegeben haben, nachdem sie aufgeflogen sind das sie vor die `Wahl` gestellt worden sind Geheimdienst oder Knast. Gab es da nicht mal ein Film darüber ? Funktionieren sogenannte Drive by Downloads auch wenn alles auf dem PC auf dem neuesten Stand ist ?

Naja, dies dürfte - zumindest nach Ende des kalten Krieges (s.a. KGB/Kasperski) - eher Fiktion sein.
Auszuschließen ist aber nichts, schließlich haben nach Ende des zweiten Weltkriegs Ost wie West auch kein Problem gehabt Nazis "einzustellen", die teilweise auch mit Menschenvernichtung oder Kriegsverbrechen zu tun gehabt haben. Wenn's dem System nützt.
Aber bei deinem Szenario müsste eben der Geheimdienst und sonst niemand den "bösen Programmeirer" aufspüren.
Ja, es gab auch Filme über ET, das Krümelmonster, dem Mann im Mond und einem Agenten namens James Bond.
Öffentliche Selbstdarstellungen und Hollywoodfilme sind in der Regel alles andere als korrekte Tatsachenwidergaben.
Sie können funktionieren, wenn unbekannte oder eventuell sogar schon bekannte, aber noch nicht geschlossene Lücken ausgenutzt werden.
Aber die Wahrscheinlichkeit ist wohl zur Zeit dafür recht niedrig.

Ja da hast du recht. Hm Krümelmonster , hat der nicht in `James Bond - Die Welt ist nicht genug`den Bösen gespielt ? Aber mal im ernst ,wie alt seit Ihr eigendlich und was macht Ihr Beruflich ?

Einzeln oder kumuliert? :crazy:
:glaskugel: Nix vernünftiges aka Ende Der Vernunft (okay, wird heute i.d.R. mit anglizistischen Bezeichnung definiert) - oder so.

Kleiner Hinweis, der Rest fällt unter Datenschutz und Paranoia: cosinus tut immer so als ob ich älter als das Krümelmonster wäre :heilig:

Super,nach der Antwort bin ich kein bisschen schlauer. Euer Board ist wirklich echt hilfreich und vor allen umsonst. Ich lese hier schon bestimmt 4 Jahre mit , wieviel Anfragen pro Tag habt Ihr denn so ca. ? Übrigens das Krümelmonster ist bestimmt 40 Jahre alt,das habe ich nämlich schon als Kind gesehen und musste immer lachen. Wie kann ich denn meine Tastatur und Maus sperren damit meine Kinder nichts am PC machen ,habe Windows 7 und eine Funk Tast. & Maus ? Ihr habt Humor,das gefällt mir macht weiter so !!!

Ich habe das Krümelmonster als Kind nie gesehen und habe bei Wikipedia nachgesehen :blabla: KM dürfte also 1969 geboren sein. :kaffee:
Ehrlich gesagt, habe ich gar nicht gewusst, dass das Krümelmonster dieses blaue "etwas" ist - da habe ich mich jetzt aber auf Google verlassen.
Und ich bin jetzt zu faul nachzusehen, wann die Sesamstraße angefangen hat, auch deutsche Kinder zu behelligen :twak: