Skip to content

Alle Jahre wieder. Oder: Wenn ich doch nur eine Kreditkarte der Sparkasse hätte...

... dann würden mich derartige Mails auch nicht verunsichern1. Wie André Westphal in Caschis Blog berichtet, ist zur Zeit mal wieder eine Welle von Malware unterwegs. Als Vorsichtsmaßnahme empfehle ich wie immer neben einem aktuellen Virenscanner vor allem Brain 1.0 einzuschalten, bevor panisch auf irgendwelchen Links herum geklickt wird.



1 Virusmeldung durch unseren Mailserver:

VIRUS ALERT

Our content checker found
virus: PhishTank.Phishing.5705579.UNOFFICIAL
in an email to you from probably faked sender:
?@[94.130.79.xx]

claiming to be: <SRS0=jvif=JP=sparkasse-ffb.de=sicherheit@sparkasse-ffb.de>
Content type: Virus
Our internal reference code for your message is 03363-15/r_wL7vrsk91x

First upstream SMTP client IP address: [::1] localhost
According to a 'Received:' trace, the message apparently originated at:
[94.130.79.xx], xxxxxxxxx localhost [IPv6:::1]

Return-Path: <SRS0=jvif=JP=sparkasse-ffb.de=sicherheit@sparkasse-ffb.de>
From: Sparkasse sicherheit@sparkasse-ffb.de
Message-ID: 19ca79595280f1549a9fff8886bc1475@localhost.localdomain
X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
Subject: =?iso-8859-1?Q?Konto:ThomasTr=FCten|Fall:S71548D9?=
The message has been quarantined as: r/virus-rwL7vrsk91x

Please contact your system administrator for details.

Freilauf der Trojaner - hinein in jeden Apparat! Hilfe!

Schirrmacher in der FAZ zeigt sich erregt über den Trojanereinfall. Dieses Mal könnte es ihm sogar ernst sein damit. Auch Großjournalisten haben es nicht gern, dass man ihnen in ihren Entwürfen und Mails herumwühlt. Hinzukommt, dass die "Trojaner" in der jetzigen Entwicklungsphase vom technisch unterwiesenen Jedermann abgefangen werden könnten. Also keineswegs nur vom angeblich befugten Oberbullen oder Spezial-Staatsanwalt. Jeder liest gerne mit!

Schließlich, für die Überwacher das Schönste, man könnte dem heiligsten Schaf einige giftige Kräuter in den Computer pflanzen, die dann bei der nächsten - richterlich genehmigten - Festplattenbeschlagnahmung abgeerntet würden und pflichtmäßiges Entsetzen auszulösen hätten.

Der arme Trost, den Schirrmacher sich und den seinigen zufächelt, lautet dann allerdings wie immer: Lass nur die Gerichte walten, und du wirst dein Recht erhalten. Man müsste also genau den gleichen Staat in einer anderen Verkleidung um Hilfe anbetteln, der eben als Feind auftritt. Das hat als universelles Hilfsmittel bisher nie geklappt, in Einzelfällen selten.

Das Umgekehrte ist zu erwarten. Wie bisher jedes Mal nach großer Erregung wird die staatseigene Djihad-Gruppe in Marsch gesetzt. In der Regel sehr unbegabte Herren, die es meistens mit Vorbereitungen gut sein lassen. Allenfalls mal einen Koffer voller Verschaltungen mitten im Bahnhof vergessen. Aber dafür nach der Festnahme bereit sind, ungeheure Drohungen auszustoßen gegen den ganzen Westen, vor allem aber gegen unsere bescheidene rechtsstaatliche Republik. Wir wollen gar nicht die Unglückswürmer der Sauerland-Truppe einzeln aufpicken. Die anderen, die ihnen nachfolgten, waren nicht wesentlich einfallsreicher oder attentatsergiebiger. Wie man solche zu ihren Plänen ermunterte, wüsste ich gern, kann leider nichts Genaueres beisteuern. Unbestreitbar aber in allen Fällen: Ihre Einfälle bis Planungen konnten immer als supergefährlich hingestellt werden. Wendt von der Polizeigewerkschaft erwies sich allemal als Sirene.

Und alle Blätter, die in Treue zu längstvergangener Zeit vorher noch gegen die Universalüberwachung gewettert hatten, gingen sofort in sich und gaben öffentlich und erregt zu, dass sie sie sich mit ihrer Panikmache geirrt hätten. Natürlich, wenn die Gefahr so groß und so nah war, musste jede Kritik verstummen. Gegen solche muss alles erlaubt sein.

Bösartig, wie wir sind, nehmen wir fest an, dass Djihad- Bataillon-Polizeireserve 3 bis 7 - in Alarmstufe steht. Zuschlagsbereit, kämpferisch, rasch ergriffen und geständnisfroh. Wenns dann soweit ist, lieber SPIEGEL, liebe FR, liebe ZEIT, liebe taz - einen einzigen Augenblick Nachdenken vor dem angebrachten Knicks.

"Wenn das sooo ist..."

Onlinedurchsuchung out - Haustierspionage in?

Hoffentlich erzählt das keiner dem Schäuble, nachher kommt der noch auf dumme Gedanken. Der Kater Mr. Lee macht mittels eingebauter Webcam Fotoreportagen seiner Tagesabläufe.

Mit Sicherheit läßt sich die Kamera noch weiter verkleinern. Wie wäre es zum Beispiel mit Kameras für Wanzen?

Spam-Mails vom BKA?

Zu einem seit einiger Zeit herumgeisternden Virus kam hier ein Hinweis an - vielen Dank:

Falls demnächst eine Mail von einem sogenannten Herbert Klein vom BKA Rheinland-Pfalz eingeht mit dem Hinweis der Rechner sei via Bundestrojaner durchsucht worden und man sollte sich auf eine Anzeige gefasst machen: Kein Stress, das ist eine *spam-mail*!

Herbert Klein gibt's zwar wirklich, aber der Rest ist frei erfunden.

Auf keinen Fall den zip-Anhang öffnen: der enthält einen Virus!!!


Siehe auch: www.toytowngermany.com

Vermeintliche Anwaltspost enthält Trojaner

Die Zahlungsaufforderungen von lebensprognose.com, die hier gestern auch kommentiert wurden unter dem Namen des bekannten Anwalts Olaf Tank, der das Inkasso für die Gebrüder Schmidtlein betreibt, enthalten möglicherweise einen gefährlichen Anhang. Siehe auch die Warnung bei heise.de

Wer den Anhang bereits geöffnet hat, sollte seinen Rechner gründlich - am besten von einer entsprechenden Sicherheitssoftware - auf etwaige Trojaner scannen.

Gefälschte Rechnungen von (angeblich) 1&1 unterwegs!

Seit dem letzten Wochenende haben einige Freunde und Kollegen eMails, die sich als Rechnungen der 1&1 Internet AG tarnen, erhalten. 1&1 warnt Internetnutzer dringend davor, die Dateianhänge dieser Mails zu öffnen, da der Dateianhang einen gefährlichen Virus enthält.

Die Mails wurden offensichtlich an willkürlich gesammelte E-Mail-Adressen im In- und Ausland versandt, so dass nicht nur 1&1 Kunden betroffen sind. Die E-Mails tragen die gefälschten Absenderadressen info@1und1.de, support@1und1.de oder Rechnungsstelle@1und1.de. Der angebliche Rechnungsbetrag beläuft sich bei allen bisher bekannten Mails auf 59,99 €.

Ein Erfahrungsbericht und weitere Informationen im roten Blog

Warum es wenig sinnvoll ist, einen virenverseuchten Rechner zu "reinigen" habe ich hier zitiert. Da hier sowieso nichts zu retten ist empfehle ich persönlich den Wechsel der Betriebssystems, zum Beispiel Linux, zum Beispiel Knoppix, Kubuntu oder Xandros. OpenSuSE ist eine weitere Alternative.

»Sicherheit im Internet« und weitere freie Bücher zum Thema

Der O'Reilly Verlag hat - neben weiten Titeln - das Buch »Sicherheit im Internet« freigegeben. Neben realistischen Angriffsszenarien, die auch "einfachen Surfern" drohen, werden Firewalls und erweiterte Sicherheitssysteme sowie Hilfsmöglichkeiten und Tipps besprochen.

Weitere Themen des auch in gedruckter Form erhältlichen Buches sind unter anderem:"Gefahren und Akteure im Internet", "Sicherheitsbewusstsein", "E-Mail - wer liest mit?", "E-Commerce und Online-Banking", "Anonymität", "Viren, Würmer und Trojaner" usw.

Das Buch steht beim O'Reilly Verlag zum Download

Computersicherheit ist untrennbar auch mit politischen Aspekten verbunden, siehe auch das Thema "Vorratsdatenspeicherung" Auf den Seiten der Rosa Antifa Wien befindet sich ebenfalls ein empfehlenswertes Handbuch zur Computersicherheit zum Download. Achtung: 12 MB groß!!

"(Das Buch) bietet auf über 400 Seiten die wichtigsten Informationen, um den alltäglichen Umgang mit Computern sicherer zu machen. Bei der Erstellung wurde vor allem Wert darauf gelegt die besprochenen Themen - unter anderem Verschlüsselung mit WinPT/GnuPG, verschlüsselte Festplatten und anonymes Surfen - für Nicht-"ExpertInnen" verständlich zu erklären. Die Kapitel sind dabei praxisorientiert gestaltet.

Die wichtigste Änderung zu den beiden bisherigen Versionen betrifft die Verschlüsselung von Texten/Mails und Festplattenbereichen: statt dem bisher beschriebenen Programmpaket PGP (Pretty Good Privacy) werden jetzt die kostenlosen Open Source-Programme WinPT (Windows Privacy Tools, mit GnuPG) und TrueCrypt vorgestellt.

Neu ist auch eine ausführlichere Behandlung des Themas Internet-Browser (Firefox) und allgemeine Infos wie z.B. zu den Themenbereichen Spam und Open Source.

Folgende Gebiete werden im Handbuch behandelt:

• WinPT (mit GnuPG) - Verschlüsselung von Mails / Einsatz mit verschiedenen Mail-Clients
• TrueCrypt - Verschlüsselung von Festplattenbereichen
• Zone Alarm - Firewall / Eindringlinge abhalten
• AntiVir - Schutz vor Viren und Würmern
• JAP - Anonymes Surfen
• Ad-aware - Spionageprogramme entfernen
• Spybot - ebenfalls zum Entfernen von Spionageprogrammen
• XP Antispy - Den Spionageambitionen von Microsoft einen Riegel vorschieben
• Firefox - Internet-Browser
• Thunderbird - Mailprogramm
• Window Washer - System"pflege"
• Passwörter - Tipps und Tricks zur Auswahl vernünftiger Passwörter"


Absolut lesenswert.

Informationsquelle: Das Rote Blog und pro-linux

Virenbefallenes Windows noch zu retten?

Aus gegebenem Anlass:

WICHTIGER HINWEIS! WER DIESEN TEXT FUER UEBERZOGEN HAELT, ODER UNGLAUBWUERDIG,
DER MöGE BITTE BEI MICROSOFT SELBST NACHLESEN, DASS DAS DER EMPFOHLENE WEG IST.

http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

Auch zum Lesen:

http://www.heise.de/security/suche.shtml?T=auf+der+Spur+Teil+1&Suchen=suchen&type=ha

http://isc.sans.org/diary.php?date=2004-07-23
http://isc.sans.org/diary.php?date=2004-08-23
http://isc.sans.org/diary.php?date=2004-11-04
http://isc.sans.org/diary.php?date=2004-11-24

Und jetzt der urspruengliche Artikel:

---------
> Ich verwende Windows XYZ
>
> folgendes trat auf

[Beschreibung typischer Symptome einer Virus/Wurm-Infektion]

> Was ist zu Tun?

Dein System ist kompromittiert, d.h. keine einzigen Komponente davon
ist mehr Vertrauenswuerdig. Komplettes loeschen und neu installieren
ist der einzige Ratschlag, der dir ernsthaft gegeben werden kann.


Unvollstaendig. Korrekte Liste: (ACHTUNG! REIHENFOLGE IST UNBEDINGT ZU
BEACHTEN!)

0) Zu Schritten der Beweissicherung befragst du am besten einen
Anwalt, der sich auf sowas spezialisiert hat.
Ansonsten:
1) Netzwerkanschlusskabel abziehen (ISDN, Ethernetkabel)
2) Plattmachen (formatieren aller partitionen) (oder neue Harddisk)
3) OS von original-Medien (oder sauberer kopien davon) neu installieren
4) alle vom Hersteller angebotenen Sicherheitspatches einspielen
(diese solltest du auf einem sauberen Rechner herunterladen und dauf CD
brennen oder als CD vom Hersteller deines OS einfordern)
5) OS gemaess den unten gelisteten URLs sicher konfigurieren
6) Backup erstellen, Checksummen aller Dateien erstellen und auf einen
externen Datentraeger speichern (zur Referenz spaeter, idealerweise auf
einer CDR)
7) Netzwerkanschlusskabel wieder anstecken und Netzzugang konfigurieren.

Schritte 4,5 und 6 sind regelmaessig zu wiederholen, mindestens bei
jedem vom Hersteller neu herausgegebenen Patch. Ja, nach 4 ist bei
allen Herstellern immer auch 5 und 6 nachzuziehen (manche Patches
machen Teile der Konfigurationsarbeit aus 5 rueckgaengig)!

> 1. Was ist das genau auf meinen PC, was da alle EXE-Dateien verändert?

Irgend ein Virus, Wurm oder ein Trojanisches Pferd. Da dein Rechner
(1300 mails outgoing) bereits als "offen" getagged war, ist es sehr
wahrscheinlich das neben der Erstinfektion noch weitere Backdoors
eingebaut wurden, falls du mal auf die Idee kommst, mit nem
Virenscanner aufzuraeumen, so das der Angreifer nacher immernoch
Vollzugriff auf deinen Rechner hat. Das ist nicht unueblich.

> 3. Hilft mir zum Schutz überhaupt ein Virenkiller oder brauch ich eine Firewall?
> 4. Wie schütze ich mich am besten?

Die Antwort auf diese Fragen findest du u.a. dort:

LINKBLOCK

[Anm.: Der Linkblock liegt online unter http://www.linkblock.de/
oder als Kopie auf http://faq.jors.net/linkblock.html ]


!!! BITTE http://www.linkblock.de/ DIE AKTUELLE VERSION BENUTZEN !!!

[Linkliste geloescht, da nicht laenger Aktuell und hier nicht wirklich
sinnvoll (zumindest fuer mich ;) aktuell zu halten]

> 5. Darf ich Outlook überhaupt verwenden?

Outlook (nicht Express) ist nicht weiter schlimm, es ist wie ne Zecke
am Arsch des Netzes, aber es ist im Gegensatz zu Outlook Express keine
offiziel vom Hersteller als "fuer die Virenreplikation entwickelte"
Software.


Quelle
cronjob