Veröffentlicht am

Nach dem Virus ist vor dem Virus

VirusentfernungVor Kurzem ging es wieder durch die Presse: „Wie reinige ich meinen Rechner von Viren?“

Das ist auch im Jahr 2014 noch immer eine berechtigte Frage.

Das kann auch dieser Beitrag nicht ad hoc ändern. Letztendlich muss jeder Anwender selbst entscheiden, inwieweit er nach einem Viren- oder Trojanerbefall seinem Rechner noch trauen will. Danach richtet sich nämlich der Reinigungsaufwand.

Fangen wir einmal mit dem Grundsätzlichen an

Grundlage eines sauberen Rechners ist ein Virenscanner. Punkt. Wer in der heutigen Zeit, die vom Datenaustausch lebt, einen Rechner ohne Virenschutz betreibt, handelt fahrlässig.

Das gilt heute leider auch für Anwender mit Betriebssystemen unter Linux, Android oder MacOS.

Diese sind vielleicht nicht unmittelbares Ziel einer Attacke, aber über diese Rechner können Viren verbreitet werden. Ich betrachte diese Rechner daher als eine Art „Zwischenwirt“. Denn auf diesen Rechnern finden Viren eine Ruhezone, in der sie eine unternehmensweite Reinigung überstehen können. Nämlich als Anhang in einer darauf abgelegten E-Mail. Wenn diese dann dem vom Virus betroffenen Kollegen freundlicherweise noch einmal zur Verfügung gestellt wird, schließt sich der Kreis.

Damit sind wir beim Punkt „Saubermachen“

Wichtigster Punkt nach einem Viren- oder Trojanerbefall: ALLE Geräte sollten zumindest als befallen betrachtet und nach möglichst objektiver Risikobewertung geprüft werden. Das gilt insbesondere, wenn der Befall durch eine Email ausgelöst wurde.

Und wie reinige ich richtig?

Der beste Weg bleibt eine Formatierung

Den Rechner komplett formatieren, alle Daten und Programme neu aufspielen. Das ist der Weg, der am meisten Arbeit kostet und gerade unter Windows eine endlose Installationskette nach sich zieht. Denn welche Applikation ist noch in dem Versionsstand, der auf der Installations-DVD vorliegt? Und überhaupt, wo ist die?

Oft fängt es schon mit den auf dem Rechner vorhandenen Werksimages an. Die sind nämlich in der Regel auf dem Auslieferungsstand. Hand auf’s Herz: Spielen Sie wirklich regelmäßig auch die Herstellerupdates für den Rechner ein? Lassen Sie da nicht meist genau dieses „Recovery“-Update weg, weil das ja über 1GB groß ist?

Die zu erwartende Größe der Downloads lässt viele an diesem Punkt grübeln.

Hier kürzen dann auch die meisten Betroffenen ab

Aufgrund des zu erwartenden Aufwands wird leider mehr oder weniger optimal abgekürzt. Oft wird nur auf einen vorhandenen Wiederherstellungszeitpunkt unter Windows zurückgegangen. Aber ob da der Virus oder Trojaner nicht schon leise im Hintergrund auf die Befehle seines Kontroll-Servers gewartet hat? Dann könnte er nämlich mit dem nächsten Kontaktversuch direkt wieder aktiv werden.

Auch hier kommen wieder Zweifel auf.

Die „Zwischenwirte“ sind im Vergleich einfach zu reinigen. Hier reicht es in der Regel aus, einen Virusscanner mit AKTUELLEN Virendefinitionen die GESAMTEN Laufwerke scannen zu lassen. Damit schließt man diese Geräte im ersten Schritt als Infektionsquelle für einen erneuten Befall aus und kann sich den anderen Geräten widmen.

Wie gehe ich am besten am befallenen Rechner vor?

Wenn es also ohne Formatierung gehen soll, bleiben nur wenige Wege. Einer wäre, den Rechner von einem USB-Stick oder einer CD mit einem Linux-System zu starten und die Festplatte zu scannen. Hierfür gibt es spezielle Distributionen, die man sich auch selbst zusammenstellen kann. Vorteil hierbei: die Netzwerkfunktionen sind aktiv, der Virenscanner kann also jederzeit problemlos aktuelle Definitionsdateien aus dem Internet nachladen.

Der zweite Weg: Festplatte ausbauen und an einem anderen Rechner als externes Laufwerk anschließen. Empfehlenswert hierbei ist ebenfalls ein Nicht-Windows Betriebssystem um Nebenwirkungen auszuschließen.

Diese Wege führen aber ganz oft auch nicht zum gewünschten Ergebnis. Viren und Trojaner ersetzen nämlich gerne auch einmal für das Betriebssystem notwendige Dateien oder modifizieren sie. Beim Scan am externen Rechner werden dies infizierten Dateien dann in der Regel gelöscht, weil die Modifikation nicht problemlos erfolgen kann. Im Endergebnis habe ich dann zwar einen vom Virus befreiten Rechner der nicht mehr startet.

Danach muss meist erst einmal eine Systemrettung laufen, die dann aber aufgrund der zwischenzeitlich installierten Systemupdates auch für einige Überraschungen und unkalkulierbaren Mehraufwand sorgt.

Meine Empfehlung daher: Vorbereiten auf den Moment der Formatierung

So leid es mit tut, aber ich halte nach wie vor die Formatierung des Rechners auch unter betriebswirtschaftlichen Aspekten für die beste Lösung. Kalkulieren Sie doch einmal eine unbedient ablaufende Datensicherung gegen manuelle Rettungsversuche durch einen Administrator, der an anderer Stelle fehlt.

Aufgrund der eingesparten Zeit rechnen sich Sicherungsfestplatten und -software sofort. Ganzheitliches Denken ist in der IT ein Kostensenker, der völlig falsch bewertet wird.

Mein Vorschlag: Nach Installation ein Festplattenimage des Rechners sichern

Für mich hat sich bewährt, nach einer Grundinstallation aller Programme und der Aktualisierung des Betriebssystems ein komplettes Festplattenimage auf eine externe USB-Platte zu sichern. Damit hat man die Sicherheit, relativ schnell zu einem funktionsfähigen Basisrechner zu kommen.

Diese Sicherung sollte man gut verwahren und nur noch bei einem absolut sauberen Rechner in regelmäßigen Abständen ersetzen! Sinnvollerweise nach einem zwei Generationen Prinzip. Damit erhält man nämlich ein zusätzliches Backup falls der Rechner aktuell doch nicht einwandfrei war.

Danach gehören diese Laufwerke an einem Platz in der dunkelsten Ecke des Betriebs verwahrt. Am besten sogar außer Haus, damit man nicht in Versuchung kommt, „mal eben“ ein paar Dateien zusätzlich darauf zu sichern.

Aktuelle Daten regelmäßig auf den Server oder einen USB-Stick sichern

Mit diesem Datenträgern kann man im Zweifel mit relativ wenig Aufwand wieder einen betriebsfähigen Zustand herstellen nachdem man den Rechner formatiert hat.

Problematisch ist an diesem Punkt immer wieder die Sicherung der Outlook-Dateien! Hierin findet sich nach Wiederherstellung nämlich meistens der ein oder andere Trojaner als Anhang.

Ebenfalls nicht gesichert gehören Ordner wie „Temporäre Internetdateien“ oder „Downloads“. Auch hier warten nach einer Recovery gerne Überraschungen.

Obacht auch bei serverbasierten Profilen

In vielen Unternehmen werden Benutzerprofile auf dem Server gespeichert. Hier sollte umgehend der Serveradministrator einen kompletten Scan des Benutzerprofils vornehmen. Hier kann der Trojaner durchaus auch noch „überwintern“ und dann nach Wiederherstellung des Profils wieder aktiv werden.

Und immer gilt: Don’t Panic

Das gilt nicht nur bei Reisen durch die Galaxis, sondern im Falle eines Virusbefalls.

Durch vorbeugende Sicherungsmaßnahmen kann man einen Rechner lächelnd durchformatieren.

Veröffentlicht am

Noch ein Kriechtier: KOOBFACE

KOOBFACE ist unterwegs.

Und da es kein Karnevalsumzug ist, ist das auch nicht so lustig.

KOOBFACE ist ein Wurm, der die Rechner seiner Opfer auf Trojanerseiten lenkt. Stellt man die Buchstaben in eine andere Reihenfolge wird auch sofort der Verbeitungsweg klar: FACEBOOK.

Der Wurm verbreitet sich, indem er Pinwandeinträge bei Freunden auf Facebook auslöst.

Wie findet er geeignete Pinwände? Ganz einfach. Er nutzt ein menschliche Schwäche. Er nutzt die Freundelisten um seine nächsten Ziele zu finden. Fündig geworden, versucht er, dort einen Eintrag zu hinterlassen. Wer denkt schon an Böses bie einem Pinwandeintrag eines Freundes? Und wenn dort dann auch noch ein Link auf Youtube steht… hängt man am Fliegenfänger.

Um unnötige Panik zu vermeiden: Mit einem aktuellen Virenscanner, der nach Möglichkeit auch Gefahren auf Webseiten erkennt, kann man aufatmen. Aber da es auch eine menschliche Schwäche ist, diese Hilfsprogramme nicht auf dem Laufenden zu halten, ist das Restrisiko durchaus hoch.

Da menschliche Schwächen nicht einfach zu beseitigen sind, muss eine andere Lösung her, um die Verbreitung zu stoppen.

Neben der Entseuchung des Rechners muss daher die Privatsphäreneinstellung bei Facebook zentrales Thema sein. Die meisten Würmer können sich zum Beispiel nicht mehr verbreiten, wenn die Freundelisten nicht einsehbar sind. Sie finden einfach keine neuen Ziele mehr.

Und die zweite Sicherheitsmaßnahme ist auch ganz klar. Wenn der Wurm sich darüber verbreitet, dass er einen Eintrag auf einer befreundeten Pinwand macht, sollte man das einfach unterbinden.

Also kann an dieser Stelle die Empfehlung nur lauten:

  • Freundeslisten sind nur einsehbar für einen selbst
  • An die Pinwand darf man auch nur selbst posten

Im Grunde ist es vor dem Hintergrund des sozialen Netzwerks nicht wirklich sinnvoll, das zu tun. Ein soziales Medium lebt nun einmal von der Interaktion seiner Nutzer. Aber da es von Seiten Facebook keine wirklichen Sicherheitsmaßnahmen gegen solche Würmer gibt, bleibt eigentlich keine andere Wahl, wenn man Sicherheit ernst nimmt.

Ergänzend sei noch angemerkt, dass es neben KOOBFACE für Facebook auch für andere Netzwerke ähnliche Schädlinge gibt. Verbreitungswege und Gegenmaßnahmen? Siehe oben….

 

Veröffentlicht am

Wurmkur erforderlich?

Wurm - Verbreitung RamnitMomentan wird auf Facebook wieder einmal vor einem Wurm gewarnt.

Leider sind die verbreiteten Informationen nicht ganz korrekt. Es gibt in der Tat einen Wurm namens Ramnit. (Mehr Infos finden sich hier und in Englisch hier) Dieser verbreitet sich aber nicht direkt per Facebook, sondern verbreitet sich auf anderen Wegen. Hauptverbreitungsweg ist offenbar das Öffnen von infizierten .exe-Dateien auf Windows-basierten Rechnern. Sehr beliebt ist der Weg über eine Autorun.inf auf einem USB Stick.

Facebook ist momentan eher Angriffsziel als Verbreitungsweg. Ramnit ist bereits in anderen Formen bekannt. Es handelt sich um einen modifizierbaren Wurm, der nach definierbaren Informationen sucht. In der Vergangenheit waren das unter anderem Zugangsdaten fürs Onlinebanking. Hier werden in den kursierenden Warnungen offenbar Informationen vermischt.

Also keine Panik, die Ramnit-Varianten werden eigentlich von allen bekannten Virenscanner gefunden. Der Tip, einen aktuellen Virenscanner zu benutzen, kann man nicht oft genug wiederholen.Der alleinige Einsatz einer Firewall hilft nicht gegen solche Malware.

[ UPDATE: Grafik eingefügt, um das Alter und die Infektionsrate zu belegen ]