trueten.de

"Wer wagt es, sich den donnernden Zügen entgegenzustellen? Die kleinen Blumen zwischen den Eisenbahnschwellen." Erich Kästner

Gefälschte Rechnungen von (angeblich) 1&1 unterwegs!

Seit dem letzten Wochenende haben einige Freunde und Kollegen eMails, die sich als Rechnungen der 1&1 Internet AG tarnen, erhalten. 1&1 warnt Internetnutzer dringend davor, die Dateianhänge dieser Mails zu öffnen, da der Dateianhang einen gefährlichen Virus enthält.

Die Mails wurden offensichtlich an willkürlich gesammelte E-Mail-Adressen im In- und Ausland versandt, so dass nicht nur 1&1 Kunden betroffen sind. Die E-Mails tragen die gefälschten Absenderadressen info@1und1.de, support@1und1.de oder Rechnungsstelle@1und1.de. Der angebliche Rechnungsbetrag beläuft sich bei allen bisher bekannten Mails auf 59,99 €.

Ein Erfahrungsbericht und weitere Informationen im roten Blog

Warum es wenig sinnvoll ist, einen virenverseuchten Rechner zu "reinigen" habe ich hier zitiert. Da hier sowieso nichts zu retten ist empfehle ich persönlich den Wechsel der Betriebssystems, zum Beispiel Linux, zum Beispiel Knoppix, Kubuntu oder Xandros. OpenSuSE ist eine weitere Alternative.

Virenbefallenes Windows noch zu retten?

Aus gegebenem Anlass:

WICHTIGER HINWEIS! WER DIESEN TEXT FUER UEBERZOGEN HAELT, ODER UNGLAUBWUERDIG,
DER MöGE BITTE BEI MICROSOFT SELBST NACHLESEN, DASS DAS DER EMPFOHLENE WEG IST.

http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

Auch zum Lesen:

http://www.heise.de/security/suche.shtml?T=auf+der+Spur+Teil+1&Suchen=suchen&type=ha

http://isc.sans.org/diary.php?date=2004-07-23
http://isc.sans.org/diary.php?date=2004-08-23
http://isc.sans.org/diary.php?date=2004-11-04
http://isc.sans.org/diary.php?date=2004-11-24

Und jetzt der urspruengliche Artikel:

---------
> Ich verwende Windows XYZ
>
> folgendes trat auf

[Beschreibung typischer Symptome einer Virus/Wurm-Infektion]

> Was ist zu Tun?

Dein System ist kompromittiert, d.h. keine einzigen Komponente davon
ist mehr Vertrauenswuerdig. Komplettes loeschen und neu installieren
ist der einzige Ratschlag, der dir ernsthaft gegeben werden kann.


Unvollstaendig. Korrekte Liste: (ACHTUNG! REIHENFOLGE IST UNBEDINGT ZU
BEACHTEN!)

0) Zu Schritten der Beweissicherung befragst du am besten einen
Anwalt, der sich auf sowas spezialisiert hat.
Ansonsten:
1) Netzwerkanschlusskabel abziehen (ISDN, Ethernetkabel)
2) Plattmachen (formatieren aller partitionen) (oder neue Harddisk)
3) OS von original-Medien (oder sauberer kopien davon) neu installieren
4) alle vom Hersteller angebotenen Sicherheitspatches einspielen
(diese solltest du auf einem sauberen Rechner herunterladen und dauf CD
brennen oder als CD vom Hersteller deines OS einfordern)
5) OS gemaess den unten gelisteten URLs sicher konfigurieren
6) Backup erstellen, Checksummen aller Dateien erstellen und auf einen
externen Datentraeger speichern (zur Referenz spaeter, idealerweise auf
einer CDR)
7) Netzwerkanschlusskabel wieder anstecken und Netzzugang konfigurieren.

Schritte 4,5 und 6 sind regelmaessig zu wiederholen, mindestens bei
jedem vom Hersteller neu herausgegebenen Patch. Ja, nach 4 ist bei
allen Herstellern immer auch 5 und 6 nachzuziehen (manche Patches
machen Teile der Konfigurationsarbeit aus 5 rueckgaengig)!

> 1. Was ist das genau auf meinen PC, was da alle EXE-Dateien verändert?

Irgend ein Virus, Wurm oder ein Trojanisches Pferd. Da dein Rechner
(1300 mails outgoing) bereits als "offen" getagged war, ist es sehr
wahrscheinlich das neben der Erstinfektion noch weitere Backdoors
eingebaut wurden, falls du mal auf die Idee kommst, mit nem
Virenscanner aufzuraeumen, so das der Angreifer nacher immernoch
Vollzugriff auf deinen Rechner hat. Das ist nicht unueblich.

> 3. Hilft mir zum Schutz überhaupt ein Virenkiller oder brauch ich eine Firewall?
> 4. Wie schütze ich mich am besten?

Die Antwort auf diese Fragen findest du u.a. dort:

LINKBLOCK

[Anm.: Der Linkblock liegt online unter http://www.linkblock.de/
oder als Kopie auf http://faq.jors.net/linkblock.html ]


!!! BITTE http://www.linkblock.de/ DIE AKTUELLE VERSION BENUTZEN !!!

[Linkliste geloescht, da nicht laenger Aktuell und hier nicht wirklich
sinnvoll (zumindest fuer mich ;) aktuell zu halten]

> 5. Darf ich Outlook überhaupt verwenden?

Outlook (nicht Express) ist nicht weiter schlimm, es ist wie ne Zecke
am Arsch des Netzes, aber es ist im Gegensatz zu Outlook Express keine
offiziel vom Hersteller als "fuer die Virenreplikation entwickelte"
Software.


Quelle

Windows-Update ohne Internet-Verbindung

Keine Chance für Sasser & Co: Mit unserem Update-Paket für Windows XP und 2000 schützen Sie beliebig viele PCs via CD oder LAN mit den aktuellen Sicherheits-Updates vor Wurm-Epidemien. Die Vorbereitung ist jetzt kinderleicht: Ein fertiges Skript lädt die Patches vollautomatisch von Microsofts Servern herunter.

Quelle und weitere Informationen zum Windows-Update ohne Internet-Verbindung