AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 22 von 34   « Erste     12202122 232432     Letzte » 
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#211

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Jun 2012, 07:09
Die neueste Version hab ich mit in einer VM mit Filemon angeschaut trägt sich jetzt schon in der WinDoof Firewall ein. hosts wäre eine Lösung, muss aber ständig aktuell gehalten werden - immer noch ein Restrisiko einen Virus zu erwischen dessen C&C nicht in der hosts steht.

Eine sicherere Variante ist den Mailer und den Browser in z.b. Sandboxie laufen zu lassen. Man muss das aber so anpassen das der Mailer in seiner ursprünglichen Datenbank schreiben lann.
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#212

AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?

  Alt 14. Jun 2012, 11:52
Hallo,
Wäre es mögliche alle IP-Adressen, der vom Trojaner genutzen Server, zu veröffentlichen?
Hintergrund: Es wäre damit ja möglich die IP-Adressen per Firewall zu blockieren.
Die nächste Version des Virus würde dann die Fähigkeit bekommen den Eintrag in der Firewall zu löschen oder die Firewall generell auszuschalten.
Was einen gewissen Effekt bringen würden, wäre ein DOS-Angriff auf die Command&Control-Server.
Man müsste die Server mit Fake-Daten regelrecht zuschiesen.
Problem ist nur, dass dann der Virus so geändert wird, dass er immer einen CC-Server findet.
Die Rechnernamen oder IP-Adressen sind dann nicht mehr hartcodiert, sondern werden von einem ausgeklügelten Algorithmus erzeugt, wie man ihn schon von Botnetzen kennt.
Wenn ein CC-Server gekillt wird stehen schon 5 andere bereit den Job zu übernehmen.
Es müsste doch eigentlich egal sein, wie der Trojaner IP und Rechnername verschlüsselt, über die Leitung muss doch die IP zum Zielrechner gehen, sonst kommt der Verkehr ja nicht an. Will sagen, egal wie verschlüsselt wird, mit einer Überwachung des Netzverkehres müssten sie doch ermittelbar sein?

Wie kann ein Trojaner denn eigene Daten in die Windowsfirewall eintragen, verändern, löschen, wie macht er das bei Zonealarm, bei Comodo oder gar einer Hardwarefirewall, die zwischen Firmennetz und "Außenwelt" steht? Klar, für den Heimanwender ist eine Hardwarefirewall sicherlich nicht die Lösung

Mir ist durchaus klar, dass es keine Lösung gibt, um alle aktuellen und alle zukünftigen Varianten dieses Virus "stillzulegen". Es handelt sich hier um ein klassisches Wettrüsten, der Angreifer (sprich Trojaner) ist immer ein Stück voraus, man muss immer auf Änderungen reagieren
Was kann ich als "normalsterblicher Heimanwender" tun, um es den Virus- und Trojanerentwicklern möglichst schwer zu machen, es müsste für die so schwer werden, dass sich Aufwand und Nutzen nicht mehr rechnen.
Ok: "Spaßkriminelle", die das nur als Herausforderung ansehen,
werden diesen Wettkampf vermutlich begeistert aufnehmen.

Stephan

PS: Der beste Viren- und Trojanerschutz ist wohl immer noch: Mails von unbekannten Absendern ungelesen löschen.
  Mit Zitat antworten Zitat
Daniel
(Administrator)

Registriert seit: 30. Mai 2002
Ort: Hamburg
15.254 Beiträge
 
Delphi 10.3 Rio
 
#213

AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?

  Alt 14. Jun 2012, 12:04
PS: Der beste Viren- und Trojanerschutz ist wohl immer noch: Mails von unbekannten Absendern ungelesen löschen.
Wenn man dies konsequent tut, dann hat man schon ein weiteres Stückchen Sicherheit erreicht, doch gestaltet es das Geschäftsleben eine Idee schwieriger, da gerade die Kontaktaufnahme mit neuen Personen ja unter Umständen absolut gewollt ist.
Daniel R. Wolf
Admin Delphi-PRAXiS
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.541 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#214

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Jun 2012, 12:05
Das sieht man an Flame, der sich mit einem Trick al Windowsupdate ausgab und so auch unter Nicht-Adminrechten installiert wurde.
Markus Kinzler
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#215

AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?

  Alt 14. Jun 2012, 13:00
Hallo,
PS: Der beste Viren- und Trojanerschutz ist wohl immer noch: Mails von unbekannten Absendern ungelesen löschen.
Wenn man dies konsequent tut, dann hat man schon ein weiteres Stückchen Sicherheit erreicht, doch gestaltet es das Geschäftsleben eine Idee schwieriger, da gerade die Kontaktaufnahme mit neuen Personen ja unter Umständen absolut gewollt ist.
klar, dass Geschäftsleben kenn' ich nun schon seit ein paar Jahrzehnten, aber trotzdem ist es mir immer gelungen unbekannte Personen und deren zu löschende Mails und unbekannte neue Geschäftspartner zu unterscheiden. Betreffzeilen von Spam, Trojanern... sind irgendwie nie so, dass sie auf einen sinnvollen Inhalt schließen lassen, spätestens bei dem textlichen Inhalt der zu dem hier genannten Trojaner gehörenden Mails sollte aber die Alarmglocke klingeln. Man sollte wissen, wo man wann was gekauft hat und ob der Geschäftspartner Rechnungen, Mahnungen... per Mail verschickt.
Okay, vielleicht sind meine Sinne in der Hinsicht etwas geschärft, da ich für mehrere Jahre die vom Spamfilter auf dem Server festgehaltenen Mails nach gut und böse sortieren musste und für deren Weiterleitung bzw. sichere Entfernung zuständig war.

Stephan
  Mit Zitat antworten Zitat
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
4.372 Beiträge
 
Delphi 10.1 Berlin Professional
 
#216

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Jun 2012, 19:53
Hallo...

ich hätte noch 2 unangetastete Exemplare der letzten Tage. Bei Bedarf bitte melden und kurz erklären ob und wie ich den E-Mail Anhang gefahrlos speichern und anhängen kann.

Respekt für Eure Arbeit.
  Mit Zitat antworten Zitat
Benutzerbild von fkerber
fkerber
(CodeLib-Manager)

Registriert seit: 9. Jul 2003
Ort: Ensdorf
6.720 Beiträge
 
Delphi XE Professional
 
#217

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Jun 2012, 20:06
Hi,

bei mir kommen auch fast täglich Mails mit Rechnungen / Mahnungen / Buchungsbestätigungen etc. mit ZIP-Anhängen.
Aufgrund der zeitlichen Nähe vermute ich mal eben jenen Virus als Inhalt.
Bislang sind die Mails direkt "geshreddert" worden - aber falls die hier jemand gebrauchen kann - einfach Bescheid geben, dann hebe ich sie auf - als Mac-User sollte er mir ja nix anhaben können.

LG,
Frederic
Frederic Kerber
  Mit Zitat antworten Zitat
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#218

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Jun 2012, 22:53
Naja ich persoenlich lese Mails normalerweise nur als Text und versende hoeflicherweise meine Mails auch als Text. Hilft zwar in diesem Fall nicht, da ja das pif/scr/com/? file noch von Hand gestartet werden muss.
Was ja offensichtlich Leute tun. Da schlaegt auch Microsofts Strategie, Dateiendungen zu "verschlucken" unangenehm zu Buche. Otto Normaluser weiss gar nicht auf was genau er sich da einlaesst und klickt freudig oder aergerlich erregt. Oder einfach nur aus Neugier.

Aus meiner Sicht das beste, was man tun kann ist bei Erscheinen des Fensters mit der Geldforderung kurzerhand den Stecker aus der Wand ziehen. Oder besser noch schon bei Erscheinen der Meldung mit dem falschen Dateiformat. In letzterem Falle waere sogar kaum oder kein Datenverlust, wenn das halbwegs zeitnah passiert.

Im anderen Fall die Platte wie sie ist jemandem in die Hand geben, der sich damit auskennt. Am besten gleich noch eine neue Platte installieren und dem Datenretter (hoffentlich) einfach die benoetigte Zeit lassen.

In diesem Fall fuehren unbedarfte Selbstversuche in aller Regel nur zu noch mehr Datenverlust.
  Mit Zitat antworten Zitat
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#219

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Jun 2012, 23:52
Achso, was die rechtliche Seit angeht, selbstverstaendlich ist das keine Verabredung zu einer kriminellen Handlung. Sind doch unsere Spielserver. Oder hat sich hier bisher jemand gemeldet und behauptet es waeren seine Server?
Sollte dem so sein, kannst Du das getrost als Luege abtun.
Es sei denn er kann es beweisen indem er Dir zeigt, dass er vollen Zugriff hat, indem er eine Kopie der Datenbank aushaendigt.

Allerdings bin ich mir nicht sicher ob die Geschichte mit den Massenhackversuchen auf Kleinstserver und Farmmaschinen zusammenhaengt. Vor ein paar Wochen kam so seltsames Aechzen aus meinem IT-Raum. Als ich nachsah, stellte ich fest, dass das mein Firewalllog war. Offensichtlich hatten jemand angenommen, dass bei mir ein DNS Server laeuft und den nichtvorhandenen DNS-Server versucht zu missbrauchen.
Das waren teilweise bis ueber 1000 Eintraege pro Stunde.

Geändert von bombinho (15. Jun 2012 um 08:12 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Michael Habbe
Michael Habbe

Registriert seit: 10. Aug 2005
261 Beiträge
 
#220

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 15. Jun 2012, 00:38
Aus meiner Sicht das beste, was man tun kann ist bei Erscheinen des Fensters mit der Geldforderung kurzerhand den Stecker aus der Wand ziehen. Oder besser noch schon bei Erscheinen der Meldung mit dem falschen Dateiformat. In letzterem Falle waere sogar kaum oder kein Datenverlust, wenn das halbwegs zeitnah passiert.
Bei Erscheinen der Forderung haben sich Deine Daten schon verabschiedet.
Und mal ehrlich: Würdest Du bei einer Windows-Fehlermeldung den Stecker ziehen? Hast Du noch was anderes vor?

[OT]
Was immer wieder angesprochen wird und ich mich immer wieder wundere. Da kommt 'ne Mail mit einer unglaublichen Forderung rein. Was macht der User? Er/Sie hat nix besseres zu tun. *GEHIRN_AUS*..klick..gefangen
[/OT]
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:33 Uhr.
Powered by vBulletin® Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2019 by Daniel R. Wolf