Schutz gegen Drive-by-Malware

C

countvoncount

New member
Themenstarter
Registriert
21 Jan. 2012
Beiträge
90
Ich habe mir das erste Mal in meiner rund 15-jährigen Internet-Nutz-Karriere eine Malware eingefangen - es handelt sich um eine Variante des Bundestrojaners. Das Ding zu entfernen scheint ja ziemlich aufwendig zu sein, weswegen ich kurzerhand das System platt gemacht habe und nun neu aufsetze. Gottseidank ist mein TP nicht betroffen, sondern nur die Desktop-Kiste zuhause, die von anderen Familienmitgliedern auch genutzt wird. Alle sensiblen Daten befinden sich eh auf meinem NAS und nicht auf den Clients im Heimnetzwerk.

An einem Punkt kratze ich mich allerdings doch am Kopf: Ich frage mich natürlich, ob es noch irgendeine Schutzmaßnahme gibt, die ich noch ergreifen kann, um zukünftig die Gefahr noch weiter einzudämmen (ich weiß - absolute Sicherheit is nich usw.). Hier die bisherige Konfi des befallenen Rechners:

Win7 64bit SP1 automat. Updates
Avira Free Antivirus
ThreatFire Verhaltensscanner
Cisco-Router mit Firewall
UAC-Sicherheit mittlere Stufe
Browser: Chrome, Firefox, Opera, kein NoScript bzw. AdBlock installiert

ThreatFire hatte die CT mal empfohlen als sinnvolle Ergänzung zum Avira, der ja nur alle 24 Stunden aktualisiert wird.

Als Sofortmaßnahmen habe ich schon mal recherchiert, dass die UAC-Sicherheit voll aufgedreht sein sollte - OK, mach ich dann. NoScript für den jeweils genutzten Browser scheint ja auch ein Plus an Sicherheit zu geben, wobei ich Chrome am intensivsten nutze und unschlüssig bin, welches Add-On ich denn da nun installieren soll ("ScriptNo", "NotScript" usw). Zumindest hat Chrome Flash ja schon integriert, so dass ich mich um Aktualisierungen wohl nicht selbst kümmern muss, wenn ich nur den einen Browser installiere, oder?

Die Grundfrage ist für mich bei allem, welche konkrete Aktion die Infektion des Systems mit einer Drive-By-Malware verhindert hätte. Wie man auch diesem Forum entnehmen kann, ist es nicht allein mit vernünftigem Surf-Verhalten getan (die Homepage der New York Times wird gern als prominentes Opfer-Beispiel genannt, wo man sich Malware einfangen konnte).

Also, erlauchte Nutzer des Forums - welche Tips habt ihr auf Lager?
 
countvoncount schrieb:
ThreatFire hatte die CT mal empfohlen als sinnvolle Ergänzung zum Avira, der ja nur alle 24 Stunden aktualisiert wird.
Zum Vergrößern anklicken....
Meines Wissens aktualisiert Avira Free in der neuen 2013er Version häufiger.
Threatfire macht nicht dasselbe wie Avira Free. Damit ergänzt es diese, aber gleicht nicht die selteneren Virenupdates aus.
 
threatfire ersetzt die bei avira free fehlende verhaltensanalyse. mit der häufigkeit der updates hat das nichts zu tun.
 
Flash- und Java-Plugin im Browser deaktivieren bzw. "Click to Play" aktivieren.
 
hallo,

ich fahre sowohl auf desktop als auch auf meinem notebook die gleiche sicherheitsstrategie.

-alle windows updates regelmäßig installieren
-alle nicht benötigten windows dienste sind deaktiviert
-windows firewall aktiviert
-sämtliche genutzten programme aktuell halten
-arbeiten nur als benutzer ohne administratorrechte
-recht starkes admin passwort
-alle plugins im browser die nicht benötigt werden sind generell deaktiviert, die restlichen wie flash via clicktoplay erst wenn sie gebraucht werden
-browser mit adblock + seitenspezifische einstellungen ( nur auf vertrauenswürdigen seiten sind skripte teilweise erlaubt)
-software nur aus vertrauensvollen quellen downloaden (keine warez sachen usw. - die programme die man illegal runterladen kann werden nicht immer zum wohle der gemeinschaft dortangeboten, sondern auch um hintertüren zu öffnen)

desweiteren muss ich zugeben das ich keine av-software nutze. ich habe mich sehr mit autoruns und process explorer eingearbeitet bzw. dessen open source clone process hacker.
unbekannte oder neue prozesse werden farblich dargestellt und man kann schnell online recherchieren ob der prozess schadhaft ist oder nicht. sollte man wirklich was finden, dann kann man der systemkompromitierung auch auf den grund gehen. av softwarehersteller bewerben ihre produkte mit über 90%igen erkennungsraten. aber das sind nur die erkannten viren von denen sie wissen. gerade symantec hat aktuell mit einer studie bewiesen ( die wahrscheinlich so gar nicht veröffentlicht werden sollte) das sie zero-day exploits erst im schnitt nach 312 tagen entdecken (auch sophos hat dies schon zugegeben). man fühlt sich also sicher, obwohl man schon längst betroffen sein könnte. verhaltenserkennung ist auch ein sehr fragwürdiges feature, welches meist nicht funktioniert.
ich kann euch hier sehr videos von mark russinovich, dem erfinder der sysinternals tools empfehlen. sehr gut: malware hunting with sysinternals tools.
http://www.youtube.com/watch?v=Wuy_Pm3KaV8

weiterhin könnt ihr euer system auch mit software whitelisting schützen. hierzu kann ich euch die webseiten der uni-rostock empfehlen.
http://www.itmz.uni-rostock.de/soft...e-whitelisting-der-bessere-anti-virus-schutz/

weiterhin gibt es sehr gute blogs von security spezialisten. krebsonsecurity.com zum beispiel. hier wird oft zeitig über neue gefahren im internet berichtet und man kann sich schnell auf verschiedene szenarien einstellen. einmal die woche vorbeischauen hilft.

P.S. nein ich verteufele av software nicht gänzlich. ich denke halt nur, dass eine av software die allerletzte maßnahme zum schutz des rechners sein sollte und man dieses hilfsmittel immer hinterfragen sollte.
 
Ich würde dir empfehlen auf AVG umzuwechseln. Wieso? Ganz einfach: Mit AVG hatte ich noch nie einen Virus. Zeitweise hatte ich AVG auf meinem Netbook NICHT installiert. Nach 2 Wochen hatte ich 80 Viren drauf. Das soll was heißen.

Zusätzlich kannst du auch Malwarebytes' Anti-Malware installieren. Es ist kein komplettes Anti-Vir sondern nur ein scanner der bestimmte Viren auch selber entfernen kann. Es kann nicht schaden den auch drauf zu haben. Damit habe ich mein altes 600X mit Windows 2000 Virenfrei gehalten, da dort ja so gut wie kein moderner Anti-Vir mehr funktioniert. (benötigen alle mind. XP)
 
Moin Moin,

Aurora schrieb:
Ich würde dir empfehlen auf AVG umzuwechseln. Wieso? Ganz einfach: Mit AVG hatte ich noch nie einen Virus.
Zum Vergrößern anklicken....
nur weil Du und Dein Virenscanner glauben noch nie einen Virus gefunden zu haben, heisst das noch lange nicht, dass Du Dir nicht schon längst etwas eingefangen hast was da fröhlich auf Deiner Festplatte schlummert.....

Du glaubst gar nicht wieviele Malware ich schon, auch in sehr gut abgesicherten und durch verschiedene Gateways gesicherte, Firmennetzwerke gefunden habe. Vorher versicherten mir die Admins auch jedesmal, dass da garantiert nichts zu finden sei....
Und von den vielen normalen Usern, die täglich in unser PC-Gemeinschaftsbüro kommen um sich einen eingefangenen Virus entfernen zu lassen, mal ganz abgesehen.
Bei den normalen Endusern gibt es allerdings einen festen Trend zu vernelden: Alle User, wirklich ausnahmslos ALLE, hatten versucht mit einem dieser kostenlosen Scanner (vielelicht dann noch in Verbindung mit Brain.exe) sich in Sicherheit zu wiegen.....

Vergiss auch diesen Tipp: Malwarebytes' Anti-Malware. Das Ding ist in der Freeware Variante kein Realtime scanner und somit absolut nutzbefreit.
 
laptopheaven schrieb:
nur weil Du und Dein Virenscanner glauben noch nie einen Virus gefunden zu haben, heisst das noch lange nicht, dass Du Dir nicht schon längst etwas eingefangen hast was da fröhlich auf Deiner Festplatte schlummert.....
Zum Vergrößern anklicken....
Wenn ich mir schon Viren einfange, dann schon im 10er Pack.:D Hat man bei meinem Netbook auch sofort gemerkt, da ging echt gar nichts mehr. Da ich alle 3 Monate eine Neuinstallation mache (Windows läuft eben nicht so lange Rund wie man es gerne hätte) bezweifle ich aber dass irgendwelche Viren auf meiner Platte sind.

Man könnte natürlich auf Windows 3.1 umsteigen, dann hätte kein man gar so großes Virenproblem mehr.:thumbup:
 
countvoncount schrieb:
ThreatFire
Zum Vergrößern anklicken....
Das Programm ist mittlerweile nicht mehr empfehlenswert, weil es viel Dinge übersieht und außerdem verhältnismäßig viele Ressourcen verbraucht.
Ich habe ThreatFire dieses Jahr bei mir auf dem Rechner getestet, und war enttäuscht, dass es selbst auf der höchsten Sicherheitsstufe nicht einmal Alarm gegeben hat.
Selbst einfache Dinge, wie das Einschleusen einer DLL in einer anderen Anwendung, wurden nicht entdeckt.
Die Verhaltenserkennung HIPS (Defense+) von Comodo dagegen fand ich überzeugend. Leider wird sie nicht als eigenständiges Produkt angeboten.



countvoncount schrieb:
Die Grundfrage ist für mich bei allem, welche konkrete Aktion die Infektion des Systems mit einer Drive-By-Malware verhindert hätte.
Zum Vergrößern anklicken....
Ein Programm wie Sandboxie - richtig konfiguriert - hätte dies verhindern können.

Siehe auch: http://www.linuxmintusers.de/index.php?topic=6539.0
 
Aurora schrieb:
Ich würde dir empfehlen auf AVG umzuwechseln. Wieso? Ganz einfach: Mit AVG hatte ich noch nie einen Virus. Zeitweise hatte ich AVG auf meinem Netbook NICHT installiert. Nach 2 Wochen hatte ich 80 Viren drauf. Das soll was heißen.

Zusätzlich kannst du auch Malwarebytes' Anti-Malware installieren. Es ist kein komplettes Anti-Vir sondern nur ein scanner der bestimmte Viren auch selber entfernen kann. Es kann nicht schaden den auch drauf zu haben. Damit habe ich mein altes 600X mit Windows 2000 Virenfrei gehalten, da dort ja so gut wie kein moderner Anti-Vir mehr funktioniert. (benötigen alle mind. XP)
Zum Vergrößern anklicken....

80 viren???? das funktioniert wie??? was machst du mit deinem pc, dass dieser so empfänglich für schädlinge ist? ich würde eher deine systemsicherheit als ganzes testen, als so sehr auf avg zu schwören.
 
jh-t400s schrieb:
was machst du mit deinem pc, dass dieser so empfänglich für schädlinge ist?
Zum Vergrößern anklicken....
Keinen Anti-Vir drauf haben.;)

Im Moment läuft alles Rund und die nächste Neuinstallation steht eh schon wieder an. (da ich auf eine SSD umsteige) Kein Grund zur Panik also.:D
 
Sinnvoll ist auch noch die Installation von EMET. Danach die Standard Applikations Konfiguration laden, damit werden diverse "mitigations" für die entsprechenden Programme aktiviert.

Ansonsten hab ich hier auch die Erfahrung gemacht, dass Müll oft über Werbebanner verteilt wird, d.h. Adblocker und "Clicktoplay" sind absolut notwendig.
 
- UAC auf höchste Stufe
- zwei Benutzerkonten anlegen: normale Rechte für tägliche Arbeit, Adminrechte nur für Wartung und Installationen
- regelmäßig Sicherheitsupdates für Windows, Java, FLashplayer, etc. einspielen

Beim Virenschutz habe ich bislang mit AVAST gute Erfahrungen gemacht. In Sachen Update-Strategie und FUnktionsumfang ist es deutlich besser als Avira (bezogen auf die jweiligen Free-Editionen), zur tatsächlichen Erkennungsqualität beider Tools kann ich nichts sagen.
 
Bei Avast kann man die Update- bzw Aktiualisierungsintervalle der Datenbank selbst bestimmen, und auch unerwünschte Pop-ups ausblenden. In neueren Zuverlässigkeitstests hat Avast allerdings eher mässig abgeschnitten (Helios' geliebtes Kapersky war dabei das beste AV-Programm - link leider nicht zurhand). Wobei zu bedenken ist, dass sich die Zuverlässigkeit der verschiedenen Scanner ständig ändert, und - natürlich - eine absolute Sicherheit sowieso nicht gegeben und Selbstbetrug ist.
 
Was mich an AVAST beeindruckt, ist die außerordentlich intelligente Update-Engine.

Wenn ich mit meinem T500 unterwegs bin, gehe ich per UMTS nur dann online, wenn es notwendig ist. AVAST erkennt das und startet den Update-Mechanismus erst dann, wenn auch wirklich eine Online-Verbindung besteht.

Als ich Avira letztmalig getestet hatte, war das dahingehend noch so dumm wie 10 Meter Feldweg. Da wurde das Update stumpf beim Systemstart durchgeführt. Besteht keine Online-Verbindung, schlägt das Update fehl und man ist mindestens 24 Stunden lang ohne aktuelle Signaturen unterwegs. Es sei denn man startet das Update manuell, aber dann brauche ich keine Automatik mehr...
 
dein Antivir kann durchaus, mit einem kleinen Umweg, alle 2 Std aktualisieren.
ich habe mir für AVG Antibir eine Batch datei geschrieben welche direkt nach dem Start, dann alle 2 h Updates zieht.
 
Sorry, aber wenn man dafür eine hand-erstellte Batchdatei braucht, ist das für den Normalanwender eher untauglich...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben