Security Crimeware: Eine große Bedrohung für Finanzinstitute

rat · Mai 5, 2010

Ein Interessanter Bericht vom Kaspersky Blog,hier ein kleiner ausschnitt den ich sehr gut finde.

Vom Augenblick des Erscheinens eines neuen Schadprogramms bis zu dem Moment, in dem der Anwender das Antiviren-Update erhält, können also mehrere Stunden vergehen. Das hängt mit objektiven Verzögerungen der oben beschriebenen Schritte zusammen. Zweifellos ist der Nutzer nach Ablauf dieser Zeit wieder zuverlässig geschützt. Paradoxerweise ist dieser Schutz für viele Anwendern oftmals nutzulos. Denn wenn die Computer bereits infiziert wurden, gingen die persönlichen Daten der Opfer bereits an die Cyberkriminellen. Mit Hilfe der aktualisierten Antiviren-Datenbanken erkennt das Produkt zwar das Schadprogramm, der Datenverlust kann dann allerdings nicht mehr Wett gemacht werden.

http://www.viruslist.com/de/analysis?pubid=200883693

ChiefWiggum · Mai 6, 2010

Also eine Überraschung ist das jetzt nicht ( finde ich ).
Denk mal an Stealern, die werden gestartet und schwupps sind deine Daten weg. Dagegen helfen die AV's dann nicht.
Nur halt gegen Schädlinge, die dauerhaft auf dem PC bleiben wie Bots/Trojas etc.

rat · Mai 6, 2010

Ich finde diesen Bericht nur so gut weil er mal sagt was wirklich sache ist,im Text weiter unten steht sogar das viele Cyberkriminelle denZeitablauf vom eingang bis zur veröffentlichung einer Signatur kennen und schon eine neue Malware parat haben die dann natürlich wider nicht erkannt wird.

Xerox · Mai 14, 2010

AlterHacker hat gesagt.:
Also eine Überraschung ist das jetzt nicht ( finde ich ).

Chris_XY · Mai 14, 2010

Zweifellos ist der Nutzer nach Ablauf dieser Zeit wieder zuverlässig geschützt.

Also ich habe daran zweifel. Wie schon Microsoft selbst gesagt hatte:
http://www.microsoft.com/germany/technet/datenbank/articles/600230.mspx

Obwohl Virenscanner möglicherweise die Auswirkungen von schädlicher Software effektiv entfernen können, gibt es einige bedeutende Punkte zu berücksichtigen:
•Die schädliche Software ist möglicherweise sehr kompliziert. Das Tool könnte bei der Bereinigung des Systems nicht in der Lage sein alle Effekte zu entfernen.
•Manche Programme (wie z. B. Code Red oder der Wurm Nimda) öffnen das System nach außen. Jeder mit Netzwerkzugriff auf das System kann vollständige Kontrolle über dieses System erlangen und jede mögliche Änderung vornehmen. Auch wenn der Virenscanner die schädliche Software entfernen kann, kann er jedoch nicht erkennen, ob nicht authorisierter Benutzer bereits Änderungen am System vorgenommen hat.
•Auch wenn ein Virenscanner-Hersteller eine neue Signatur veröffentlicht hat, die den Virus entdeckt und beseitigt, könnte es mehrere Stunden dauern bis diese zum Herunterladen zur Verfügung steht. Da schädliche Programme sehr kompliziert sein können und umfangreiche Auswirkungen haben können, kann es einige Zeit dauern bis einen Hersteller eine Signaturdatei erstellt hat, welche die Auswirkungen des Programms vollständig beseitigt.
Jeder dieser drei Punkte spricht für eine Neuformatierung aller Partitionen eines Systems, und einer neuen Installation der gesamten Software. Die Vorschläge des CERT Coordination Center zur Wiederherstellung nach einem Angriff schlagen dies ebenfalls so vor.

Chromatin · Mai 17, 2010

Mal ganz abgesehen davon, das JEDWEDE signaturbasierte "Sicherheit" eh keinen Pflifferling Wert ist - zumindest bei gezielten und Massgeschneiderten Angriffen.

Aber irgendwie muss einem ja das ganze Antivirus/Spam, IDS, IPS Protecion Solution System mit Business Schwanzverlaengerung angedreht werden

Der Kaspersky Artikel ist ein Witz und nichts anderes als "Schreiben um was zu schreiben".

gucky · Mai 17, 2010

Nun laut diesen Aussagen gibt es ja nun 2 Möglichkeiten:
1. Ich verzichte ganz auf Virenscanner, denn a)Die sind sowieso zu langsam / veraltet was die Erkennung betrifft (Dies ist auf jeden beliebigen Zeitpunkt anzuwenden) und b) verbrauchen Virenscanner in diesem Fall unnötige Systemressourcen, die besser zur Verteilung und Verwendung des sowieso unabdingbar installierten Schadcodes genutzt werden kann.

Die 2. Möglichkeit: Ich benutze einen Virenscanner und lebe mit dessen Schwächen...was allerdings wie auch in der 1. Möglichkeit nicht unbedingt anders, nicht von der Notwendigkeit befreit, sein System im Abstand von 2 - 4 Wochen inkl. aller Programme, formatierter Partitionen etc. auf einen "Grundzustand" zurückzusetzen.

Achja, da fällt mir noch eine 3. Möglichkeit ein (diesmal ohne Ironie und Sarkasmus): Man arbeite im Internet ausschliesslich mit Live-Cds...das sollte manipulationssicher sein!)

Dresko · Mai 17, 2010

gucky hat gesagt.:
Achja, da fällt mir noch eine 3. Möglichkeit ein (diesmal ohne Ironie und Sarkasmus): Man arbeite im Internet ausschliesslich mit Live-Cds...das sollte manipulationssicher sein!)

Wieso sollte das manipulationssicher sein? LiveCD's, und darin ausgeführte Programme, werden in der Regel in den RAM-Speicher geladen. Und der ist ohne weiteres les- und beschreibar.
Zudem wird Malware meist durch Ausnutzen von Fehler in der Heap- und Stackverwaltung installiert und das funktioniert auch innerhalb einer LiveCD.

Also kann doch Malware installiert, Benutzereingaben mitgeschnitten, Dokumente und Dateien kopiert (sofern die Partition gemountet ist) und Cross-Site-Scripting-Attacken durchgeführt werden.

Der einzige Unterschied ist, dass sämtliche Manipulationen nur temporär sind. Aber zum Ausspionieren von Daten, zum Eingliedern in ein Botnet oder zum Phishing reicht auch schon eine temporäre Sitzung.