Präventive Maßnahmen gegen Viren

[Latias]

Huhu,

Also, hab mich gestern über ICQ mit nem Virus infiziert, von der Beschreibung her könnt es Palevo sein. Fast überall wird geraten, Windows neu aufzusetzen und das werde ich auch später tun. Diesmal möcht ich mich aber besser schützen und wollte fragen welche präventive Maßnahmen es gibt bzw. welche am empfehlenswerten ist. Also halt welche Software am geeignetesten ist, wie man den Viren am wenigsten Spielraum bietet, etc.

Dass man nicht auf alles mögliche Klicken sollte ist klar, aber hätte das von demjenigen nicht erwartet dass der infiziert ist und die URL sah auch seriös aus.

Vielleicht hat ja jemand Links zu Artikeln über sowas, hab nichts gutes gefunden bis jetzt bzw. nur sehr theoretische Sachen.

MfG Latias

 

[Styrakaar]

Im Endeffekt gar nicht so schwer:

1.) Ein Virenscanner muss her! Kann auch eine kostenlose Version sein (z.B. von Avira oder AVG) - aber schon von einem namhaften Hersteller (häufiger Updates...). Wenn du Funktionen wie Verhaltenserkennung (= versucht Viren, die noch nicht in der Datenbank sind an ihrem Verhalten zu erkennen) und ev. Webfilterung (untersucht den Datenstrom des Browsers auf Viren & Esxploits - i.d.R. aber nicht unbedingt nötig, da der Virus sowieso erkannt wird sobald er im Cache des Browsers landet - also noch bevor er ausgeführt wird...) haben möchtest, wirst Du aber Geld investieren müssen (bei Avira ca 20€)

2.) Das vielleicht wichtigste: "brain.exe" - Keine dubiosen Mails und schon gar nicht deren Anhänge öffnen (Spam-Filer eventull hilfreich); nicht auf p0rn, warez und sonstigen "dunklen Ecken" im Internet herumtreiben, nicht wahllos Programme von sonst woher herunterladen - hier auf die offiziellen Herstellerseiten oder "renomierte" Downloadseiten wie cnet ausweichen, keine Musik, Filme, Programme aus eDonkey, bittorrent oder sonstwo herziehen - keiner wird da sich wundern wenn Du dir einen Virus einfängst...

Zum Thema Links, etc.: Guck Dir mal das c't Sonderheft "security" an - kostet zwar rund 9€, hat aber gute Einsteigerartikel und afaik auch eine Jahreslizenz eines Virenscanners dabei. https://www.heise.de/kiosk/special/ct/09/06/

lg Sty

 

[Latias]

Dass ein Virenscanner her muss ist klar. Ich hab ja schon VirenScanner wie Avira und a² free, nur da verlier ich momentan den Überblick weil auch ständig Fehlwarnungen kommen, ich hab nämlich Sachen wie Metasploit drauf oder bestimmte Patches für Spiele die ständig Warnungen auslösen.

Welcher Scanner ist den am empfehlenswertesten? Norton, McAffee, Kaspersky? Die bewegen sich bei Amazon ja alle im gleichen Preissegment.

Hab vorhin das hier gefunden: http://www.crypto.rub.de/imperia/md/content/seminare/itsws04_05/seminar_frankenberg_viren.pdf

Da steht ja was zu präventiven Maßnahmen nur leider sehr theoretisch, hätte da lieber einige konkrete Beispiele zu.

Außerdem würd ich gern wissen, wie ich Viren, Trojaner etc. ohne Scanner erkennen kann, dachte mir zB über WireShark oder ähnliches. Weil wenn da noch Datenverkehr besteht obwohl alle Internetprogramme ausgeschaltet sind kann ja irgendwie nicht alles in Ordnung sein. Bei mir ist das atm der Fall, die geloggten Sachen da kann ich aber kaum auswerten weil die für mich ziemlich nichtssagend sind.

Werd mir das Heft dann gleich mal zusammen mit nem besseren Scanner bestellen.

 

[Chakky]

Dass ein Virenscanner her muss ist klar. Ich hab ja schon VirenScanner wie Avira und a² free, nur da verlier ich momentan den Überblick weil auch ständig Fehlwarnungen kommen, ich hab nämlich Sachen wie Metasploit drauf oder bestimmte Patches für Spiele die ständig Warnungen auslösen.

Welcher Scanner ist den am empfehlenswertesten? Norton, McAffee, Kaspersky? Die bewegen sich bei Amazon ja alle im gleichen Preissegment.

Hab vorhin das hier gefunden: http://www.crypto.rub.de/imperia/md/content/seminare/itsws04_05/seminar_frankenberg_viren.pdf

Da steht ja was zu präventiven Maßnahmen nur leider sehr theoretisch, hätte da lieber einige konkrete Beispiele zu.

Außerdem würd ich gern wissen, wie ich Viren, Trojaner etc. ohne Scanner erkennen kann, dachte mir zB über WireShark oder ähnliches. Weil wenn da noch Datenverkehr besteht obwohl alle Internetprogramme ausgeschaltet sind kann ja irgendwie nicht alles in Ordnung sein. Bei mir ist das atm der Fall, die geloggten Sachen da kann ich aber kaum auswerten weil die für mich ziemlich nichtssagend sind.

Werd mir das Heft dann gleich mal zusammen mit nem besseren Scanner bestellen.

2 Virenscanner zur gleichenzeit? Das geht meistens schief, denn wenn der eine Scanner was findet schlägt automatisch der andere an und verhindert jede Aktion vom Finder, wie zum Bsp. verschieben in die Quarantäne o.ä.

Diverse "patche" oder kekse kannst du als Ausnahmen defenieren ->weniger Fehlermeldungen.

Ohne Scanner zu erkennen gibt es mehrer möglichkeiten,
einmal wie du bereits erwähnt hast den Traffic mitzuloggen.
Dann kannst du schauen welches Programm eine Netzwerkverbindung öffnet obwohl es wirklich geschlossen ist bzw gerade nicht gebraucht wird.
Passende Tools wären "netstat" auf der commandozeile oder auch tcpview[1]
Oder du jagst deine Netzwerkverbindungen über einen lokalen Proxy und schaust da, was für Daten rein und raus gehen.

Desweiteren könntest du auch eine Virtuelle Maschine aufsetzen und dort schauen was passiert. Evtl auch die Datei und Regestry zugriffe mitloggen (filemon, regmon (sehe gerade die gibt es einzelen garnicht mehr [2])

Wäre jetzt erstmal alles was mir einfällt.

Links:
[1] : http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
[2] : http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

 

[Latias]

Danke schon mal für die Hilfe. Also hab jetzt Avira und a² free drauf, dachte halt doppelt hält besser & so..

Eine Frage hätte ich noch, ist ne Software Firewall à la ZoneAlarm sinnvoll oder bringt das eher nichts?

 

[thodt]

Eine Frage hätte ich noch, ist ne Software Firewall à la ZoneAlarm sinnvoll oder bringt das eher nichts?

Warum Desktop Firewalls nix taugen

 

[Latias]

Alles klar danke, dann wär das auch geklärt.

 

[lightsaver]

Präventiv würde ich noch empfehlen, Emails nur als Text und nicht als HTML anzeigen zu lassen, wenn du einen Email-Client verwendest.
Keinen IE nutzen, da auf diesen noch die meisten Angriffe ausgelegt sind.
Nicht als Admin surfen.
Ggf. könnte dir auch noch eine Sandbox helfen, da Schädlinge darin weniger Schaden anrichten können.

 

[GrafZahl]

wenn man das sandbox konzept etwas weiter verfolgt:

installiere dir mal virtual box ...

dann richte dir eine vm ein, und setze am ende der installation, wenn die vm so ist wie du sie haben willst einen snapshot ein ... das ist ein zustand der vm zu dem du immer wieder zurück kehren kannst, wenn die vm kaputt ist ... oder besser, bei jedem neustart der vm

mit dieser vm gehst du dann ins i-net ...


sofern dinge die vm verlassen sollen, weil du sie auf dem host rechner brauchst, sind natürlich weitere vorsichtsmaßnahmen zu treffen

 

[lightsaver]

Wobei eine VM eigentlich deutlich mehr Resourcen benötigen sollte als eine Sandbox und außerdem bräuchte man bei Windows eine extra Lizenz für das Win in der Sandbox.

 

[Latias]

Kannst du mir da evtl. ne SandBox Software für Win7, möglichst kostenlos, empfehlen?

 

[lightsaver]

Ich benutze Sandboxie unter XP und Win 7 und bin damit sehr zufrieden.

 

[Latias]

thx, werde das dann mal ausprobieren.

 

[GrafZahl]

Wobei eine VM eigentlich deutlich mehr Resourcen benötigen sollte als eine Sandbox und außerdem bräuchte man bei Windows eine extra Lizenz für das Win in der Sandbox.

wer sagte, dass in der vm eine windose laufen muss ?
es gibt frei erhältliche vorkonfigurierte vms die ein einfach zu benutzendes linux enthalten und zum surfen völlig reichen ...

 

[lightsaver]

Sagt niemand, genauso wie auch wahrscheinlich kein privater Nutzer für die VM eine extra Lizenz nehmen würde
Sollte nur als Hinweis dienen.

 

[Break]

Sandboxie is dreck. Einfach nur unsicher und unnütz. Wenn ihr was sicheres wollt dan benutzt VirtualBox oder VMWare.


Zur Prävention:
- Als AV reicht Avira Free und als Firewall die von Windows
- generell gilt: .exe .scr .cmd .bat
sind erstmal als potentiell gefährlich einzustufen. Also lades solche Dateien wenn ich nicht sicher seid vorher bei Virustotal oder Novirusthanks hoch.
- Wenn ihr Programme laded dann bitte guckt erst ob es sie bei Chip.de oder Computerbild.de gibt. Dort sind die Downloads clean.
- Programme oder Cracks von Youtube sind generell infiziert (99%)
- Die meißten anderen Cracks auch
- Vergesst diese ganze Keygens und Hack usw. scheiße. Ihr braucht euch nicht wundern wenn euer PC dann langsam wird. (Wenn ihr sowas laded checkt vorher auf Virustotal)
- Wenn ihr euch ein bisschen besser auskennt, installiert euch VirtualBox und checkt die Programme da mit Wireshark
- Emails die Dateien mit den oben genannten Endungen enthalten sind einfach zu löschen ( außer ihr kennt die Person, seid aber dann auch vorsichtig und checkt bei Virustotal. Die Person kann ja den Virus auch unbewusst mitgeschickt haben.)

- Noch ne wichige Ergänzung. Aktiviert die Anzeige von Dateiendungen. Es gibt besonders raffinierte Hacker die nennen ihren Virus zb. urlaub.jpg.exe nennen und machen als Icon einfach das Icon einer Bilddatei. - Also Wichtig, da ihr sonst sowas nicht seht

PS: Denkt daran das auch Virustotal kein 100%iges Ergebnis liefert.

 

[lightsaver]

Man merkt, dass die Sommerferien begonnen haben :wall:

Sandboxie is dreck. Einfach nur unsicher und unnütz.

Begründung? Quellen für die Begründung?

Wenn ihr was sicheres wollt dan benutzt VirtualBox oder VMWare.

Kann genauso unsicher sein und hebt zusätzlich noch die Hardwareanforderungen an. Außerdem ist es in meinen Augen umständlicher. Es mag gegenüber einer Sandbox einen Sicherheitsgewinn geben, aber die Einschränkungen werden nicht wirklich dadurch wieder ausgeglichen.

- generell gilt: .exe .scr .cmd .bat
sind erstmal als potentiell gefährlich einzustufen. Also lades solche Dateien wenn ich nicht sicher seid vorher bei Virustotal oder Novirusthanks hoch.

Und was ist mit anderen Dateitypen, die zwar vielleicht nicht direkt ausführbar sind, dennoch aber häufig anfällig sind? Da wäre z.B. pdf, was nicht nur durch den Acrobat Reader gefährlich ist, aber auch Designschwächen hat, was bewirkt, dass man aus der Datei direkt ausführbare Dateien starten lassen kann? Und das war jetzt nur ein einziges Beispiel, es lassen sich noch mehr Sachen finden

- Wenn ihr Programme laded dann bitte guckt erst ob es sie bei Chip.de oder Computerbild.de gibt. Dort sind die Downloads clean.

Es ist schon häufig genug vorgekommen, dass selbst große Firmen Schädlinge verteilt haben, es ist also nur eine Frage der Zeit, bis das auch auf Chip und ähnlichen Seiten passiert. Mal abgesehen davon sollte man dann doch eher beim Hersteller selber herunterladen.

- Programme oder Cracks von Youtube sind generell infiziert (99%)

Wo kannst du bei Youtube bitte Programme und Cracks herunterladen?

- Noch ne wichige Ergänzung. Aktiviert die Anzeige von Dateiendungen. Es gibt besonders raffinierte Hacker die nennen ihren Virus zb. urlaub.jpg.exe ...

Ich hoffe mal, das war auf besonders raffinierte Hacker im Zusammenhang mit den Dateiendungen stehen
Es stimmt aber natürlich, dass diese Einstellung gesetzt werden sollte.

 

[serpent]

Zunächst mal, habe ich bisher noch nicht erlebt, dass bei Sandboxie ein Schädling überlebt hat. Deine behauptungen (@break) sind völlig aus der Luft gegriffen und nicht haltbar.

Ein Virenscanner reicht völlig aus um das System präventiv zu überprüfen. Viele sind der Meinung das eine Firewall nichts taugt. Liegt wahrscheinlich daran, dass viele Nutzer aus bequemlichkeit alles auf "Automatisch" stellen und sich so beim Surfen einen vermeidlich sicheren Schutz denken. Dem ist aber nicht so, eine FW ist ein komplexes stück Software mit dem man sich eingehend beschäftigen muss. Ich bevorzuge die ZoneAlarm Pro und bisher hatte ich auch damit keine probleme.

Wer noch nachträglich auf weitere Tools zugreifen möchte bitte:

Emsisoft's HijackFree
Usec's Radix Anti-Rootkit und Systemshiels

Für ADS eignet sich der Stream Explorer von rekenwonder.

Für eine Bereinigung des ADS kann man Microsoft's NTFSext.exe runterladen. Es enthält ein vbs-script "Rwstream.vbs" womit man den Datenstrom überschreiben kann.

Wer manuell herausfinden will was auf sein System los ist sollte folgenden Schritte durchführen:

1. Konsole Starten
2. In das C: Verzeichnis wechseln
3. Befehle dir /s /a > C:\scandir.txt eingeben.
4. Mit einer Boot-CD starten und im Offline-Modus die oben gennanten Befehle die C-Festplatte scannen z.b. dir /s /a C:\scandir2.txt .
5. Die beiden dateien mit Windiff C:\scandir.txt C:\scandir2.txt vergleichen. Unterschiede können dabei schnell herausgefunden werden.

Virenscanner die ich empfehlen würde:
- Avira
- Avast
- eScan
- Kaspersky
- Nod32

Abgesehen davon gibt es auch 'ne Menge weiterer Tools wie z.B Gmer, Sysinternals etc. die auch sehr gut für die Erkennung von Schädlingen geeignet sind.

Gruß,
serpent

 

[Break]

Sanboxie ist schlecht.
1. Ist sie so vorkonfiguriert das die Programme Internetzugriff haben -> schlecht.
2. Funktionieren Stealer ( Programm das gespeicherte Passwörter klaut) trozdem wenn (wie bei 1.) der Internetzugriff aktiviert ist. (Also eure evtl. in Firefox gespeicherten PWs usw.)
3. Funktionieren sogar Trojaner in der Sanbox solange bis man diese leert

@serpent
Die Behauptungen sind überhauptnicht aus der Luft gegriffen, sondern alles von mir selber getestet. Wieso sollte ich grundlos ein Programm schlecht reden? Es würde mich freuen wenn Sandboxie gut wäre, dem ist aber leider nicht so.

@lightsaver
Also zu VirtualBox kann ich nur sagen das die ziemlich sicher ist, und eig. gegen alles übliche auchschon von mir getestet ist. Nur sollte man die funktion mir den "Gemeinsamen Odner" auf "nur lesen" stellen.

Und was ist mit anderen Dateitypen, die zwar vielleicht nicht direkt ausführbar sind, dennoch aber häufig anfällig sind? Da wäre z.B. pdf, was nicht nur durch den Acrobat Reader gefährlich ist, aber auch Designschwächen hat, was bewirkt, dass man aus der Datei direkt ausführbare Dateien starten lassen kann? Und das war jetzt nur ein einziges Beispiel, es lassen sich noch mehr Sachen finden

Ja hast recht. =)

Es ist schon häufig genug vorgekommen, dass selbst große Firmen Schädlinge verteilt haben, es ist also nur eine Frage der Zeit, bis das auch auf Chip und ähnlichen Seiten passiert. Mal abgesehen davon sollte man dann doch eher beim Hersteller selber herunterladen.

Hatte selbst schonmal ne halbwegs infectete Version von Qip dort geladen, aber zu 99% ist es da clean. Und für Leute die sich nicht so auskennen leichter als immer die "richtige" Herstelleiseite zu finden.

Wo kannst du bei Youtube bitte Programme und Cracks herunterladen?

http://www.youtube.com/watch?v=FcIQWt49GUg

Sowas in der Art meine ich. Der Download ist zwar nicht direkt von Youtube, aber ich glaub du weißt wie ich das meine.

 

[rami]

3. Funktionieren sogar Trojaner in der Sanbox solange bis man diese leert

Trojaner in der VirtualBox laufen auch, bis man die VirtualBox beendet. Und bei mir zumindest ist auch in der VirtualBox Internetzugriff vorkonfiguriert.