[MalWare] Rombertik
 

http://blogs.cisco.com/security/talos/rombertik
http://www.computerbild.de/artikel/c...-11762207.html

Aktuelle Virenscanner erkennen den Schädling bereits und bieten Schutz gegen eine Infektion. Wer sich nicht sicher ist, ob sein Rechner infiziert ist, der sollte den Taskmanager starten im Reiter Prozesse nach „yfoye.exe“ suchen. Die Datei befindet sich im Ordner „%AppData%\rsr\“. Grundsätzlich gilt weiterhin:
Keine E-Mail-Anhänge öffnen, die von unbekannten Absendern stammen.
Und keine Anhänge öffnen, die ungefragt verschickt wurden!

Wer das 1. Bild im Anhang sieht, hat schon fast verloren.
Wer das 2. Bild sieht, hat verloren!

AW: [MalWare] Rombertik
 

Nein. Zumindest nicht wenn man es "richtig" gemacht hat.

Ich will mich nicht wiederholen, aber Windows-Nutzer sehen zwei Wahrheiten als universell an:

• ein Benutzer benötigt stets Adminstratorrechte um mit dem Betriebssystem zu arbeiten
• Viren sind Naturereignisse. Sie kommen und gehen, man kann nichts gegen tun. Man muss mit ihnen leben

Diese Universalwahrheiten sind in unseren Kollektivwahrnehmung inzwischen so tief eingebrannt, dass nicht mal PC Zeitschriften sie infrage stellen. Man nimmt es als gegeben hin und diskutiert nicht darüber wie man es besser machen sollte, sondern wie man sich vor den Naturereignissen schützen kann.

Nach meiner Kenntnis (die kann aber durchaus falsch sein) hängt bei Windows zwischen Hardware und Anwendersoftware stets das Betriebssystem (hier also Windows). Also direkt sollte es nicht gehen, nur über Windows. In der Regel haben aber Standardnutzer kein solche Möglichkeiten. Wer also als Administrator arbeitet, der sollte sich die Frage stellen warum?

Ich bin kein EDV Profi. Vielleicht gibt es Möglichkeiten. Aber welche?

Sollte eigentlich nicht möglich sein, denn eigentlich hat man mit Standardrechten keine Möglichkeit Schad-Code in den Internet-Browser zu schreiben. Wobei Chrome eine neue Sitte eingeführt hat - Programme nicht mehr in Programme-Ordner zu schreiben, sondern in den Nutzerordner. Womit der Befall von Programmen inzwischen wieder möglich wäre.

In dem Fall, egal wie schwer es fällt, als Admin anmelden, Konto mit Daten löschen. Fertig.

AW: [MalWare] Rombertik
 

Du erwartest jetzt und hier NICHT, dass jemand das beweist?

AW: [MalWare] Rombertik
 

Anscheinend ist mein Satz missverständlich. Ich hab nicht gefragt wie es geht, sondern welche Möglichkeiten eine Software allgemein hat das Betriebssystem zu übergehen.

Wie gesagt, viele Artikel gehen von der Voraussetzung aus, dass man mit Administratorrechten arbeitet.

AW: [MalWare] Rombertik
 

Naja, so ganz unsinnig ist diese Annahme nicht, denn selbst die UAC bietet keinen Schutz gegen die "Alles-Abnicker-Fraktion"... Gerade wenn eine Anforderung aufpoppt, dass ein wichtiges "Update" notwendig sei, denken doch viel zu wenige Leute genauer darüber nach. Und die Entscheidung von MS, den Dateinamen in der UAC-Abfrage standardmäßig zu verstecken - nach dem Motto "der Nutzer darf nicht mit technischen Details überfordert werden" - hilft hier auch nicht. Klar, die wenigsten Leute würden mit dem Dateinamen etwas anfangen können, jedenfalls ohne dass man ihnen beibringt, wie sie anhand dessen einschätzen können, was da Adminrechte verlangt.

Zeigt wieder einmal, dass der Weg, dem Nutzer die Adminrechte komplett zu entziehen (und er diese bei Bedarf und nach bewusster Entscheidung auf anderem Weg explizit anfordern kann), wohl gar nicht so verkehrt ist. Das schützt zwar nicht das Nutzerprofil vor weiteren Schäden (wird es auch nie), wohl aber das System an sich.

MfG Dalai

AW: [MalWare] Rombertik
 

Wieso sollte das nicht möglich sein? Der Browser läuft auch nur mit eingeschränkten Rechten. Da kannst du ohne weiteres Code injecten. Es wird ja nichts auf die Platte geschrieben (wo die Rechte fehlen dürften), sondern direkt in den Speicher des laufenden Prozesses.

Und zum MBR: Im Artikel steht, dass bei fehlenden Rechten alternativ einfach das User Verzeichnis zerstört wird, indem die Dateien mit zufälligen Keys verschlüsselt werden.

AW: [MalWare] Rombertik
 

@Dalai

Was ich allen (privat) empfehle die eine Tipp von mir wollen.

Bei Neuinstallation:

1. Das erste Konto bei Neuinstallation ist ein bewusstes Administratorkonto, vorzugsweise mit dem Namen "Admin" o. ä., mit einem starken Kennwort.
2. Die erste Aktion nach einer Neuinstallation ist in der Systemsteuerung die Benutzerkonten aufzurufen und ein neues Konto mit Standardrechten anzulegen. Kennwort optional.
3. Für die die es wollen - Einstellung der Benutzerkontensteuerung - für Administrator komplett runterstellen. Muss nicht sein, aber man ist Admin, also muss man nicht immer gefragt werden.
4. Für die die es wollen - beim Administrator-Konto ein unansehnliches Design einstellen, so dass man sich immer bewusst ist in welchem Konto man sich befindet.
5. Abmelden und im normalen Konto arbeiten. Will ein Programm nun etwas machen wofür man erweiterte Rechte benötigt, muss man nun ein Kennwort eingeben. Einfach so nebenbei sich verklicken geht nicht mehr.

Ist nichts kompliziertes bei, schützt aber gut. Punkte 3 und 4 sind nicht wichtig, aber erleichtern das Leben.

AW: [MalWare] Rombertik
 

Nun, die Frage ist wie es gemeint war. In dem Bereich kenne ich mich weniger aus. Einen Browser im Speicher übernehmen, ok, wenn es möglich ist. Man hat dann aber nur die eingeschränkten Rechte.

Das kann sein. Deshalb empfehle ich auch allen die einen Rechner privat und beruflich nutzen, oder bei einer Familie, für alles und jedes ein eigenes Konto.

AW: [MalWare] Rombertik
 

Wenn man nicht den alternativen Installer benutzt, der sauber ins Programmverzeichnis installiert inkl. Dienst zum Aktualisieren usw.

AW: [MalWare] Rombertik
 

So "kompliziert" muss es gar nicht sein, schließlich ist das Profil des Browsers ohne weiteres schreibbar, was sich ja Adware gern immer wieder zunutze macht...

Ja, so ähnlich geht das bei mir auch. Ich empfinde es aber als umständlich, sich für eine Installation immer ummelden zu müssen, auch wenn seit XP dank sekundären Logons eine parallele Anmeldung möglich ist.

Allerdings führt die Kenntnis des Adminkennworts häufig (nach meiner Erfahrung) dazu, dass die Leute sich gleich als Admin anmelden und dann dauerhaft damit arbeiten, weil es heutzutage leider immer noch Software gibt, die Adminrechte braucht. Prominentes und aktuelles Beispiel: Steam. Dieses Mistteil verlangt Adminrechte, aber offenbar kann man dem nicht beibringen, die erst zu verlangen, wenn es notwendig wird, z.B. wenn ein Spiel installiert wird. Solche Fälle machen einem das Leben - hier die saubere Trennung von Nutzerkonten - unnötig schwer.

Naja, so prominent wie Google den normalen Installer anbietet, kann man davon ausgehen, dass der alternative kaum benutzt wird. Ich hab jedenfalls noch keine Chrome-Installation auf den Rechnern meiner Kunden gesehen, die im Programme-Verzeichnis erfolgt wäre.

MfG Dalai

AW: [MalWare] Rombertik
 

Nutzt du ein anderes Steam als ich? Meines kommt bei der Installation von Spielen ohne Adminrechte aus. Nur beim ersten Starten von Spielen verlangt der Steam-Buildbot manchmal Adminrechte zum Updaten von DirectX und co. Die bekommt er halt über die UAC.

AW: [MalWare] Rombertik
 

So wie ich das aus (persönlicher) Erfahrung weiß, installiert Chrome, gestartet mit Adminrechten, das Programm regulär im Programmeordner. Erst wenn es mit Standardrechten gestartet wird, installiere es sich im User Ordner.

Wobei das zuerst für die Erstinstallation gilt. Keine Ahnung wie Chrome es bei späteren Updates macht. Wobei Opera ganz unverschämt zu seinen scheint. Standardrechte hin oder her, startet man das Programm, erscheint gelegentlich beim Start der Hinweis, dass man zuerst ein Update ausgeführt wird. Mal davon ab gesehen, dass ich es für eine Zumutung halte, dass Opera, wenn ich mal schnell ins Internet will, mich lieber zwei Minuten mit einem Update aufhält als das gewünschte Programm zu starten, scheint, aber das ist bisher noch nicht überprüft, Opera einen Updater im Hintergrund mit Adminrechten laufen zu haben. Wie es der FireFox handhabt weiß ich noch nicht. Ich kann mich erinnern zwei mal ungefragt ein Update ausgeführt zu haben. Aber so wie ich das bisher sehe, wartet Firefox bis man ihn mal mit Adminrechten startet.

Wie auch immer, so langsam kam Struktur in das System rein und schon übergehen Softwareproduzenten die Regeln wieder.

Ist jetzt nicht böse gemeint, aber das ist das was ich mit dem von MS gezüchteten Nutzern meine. Das System war so lange offen, dass man es inzwischen als normal ansieht.

Aber vielleicht ein kleiner Hinweis: obwohl die Politik von MS nicht stimmt, die Software wird immer besser. Nur man prallt nicht damit. So ist seit spätestes Windows 7 der fliegende Wechsel zu Standardrechten möglich. Das war unter XP noch schwieriger.

Hat man unter XP bei der Installation ein Konto erstellt und, aufgrund von Unwissenheit oder bewusst, eine längere Zeit mit dem einem Konto, also einem Administrator-Konto, gearbeitet, war ein Wechsel zum Stadardkonto möglich, aber mit einem kleinem Hacken. Grund: man hat mit dem Konto die Programme installiert und persönliche Daten abgespeichert. Hat man dann ein neues zusätzliches Adminkonto erstellt und das alte auf Standardrechte umgestellt, war man immer noch der Besitzer der alten installierten Programme. Der Admin hingegen war nicht der Besitzer der installierten Programm-Dateien. Die möglichen Konflikte habe ich nie untersucht, aber ein kleines Durcheinander konnte dadurch entstehen.

Unter Windows 7 ist es anders (meiner bisherigen Beobachtung nach). Ob man nun mit seinem Admin- oder Standardkonto ein Programm installiert hat, der Besitzer ist immer System, Administrator oder Sonstiges, aber nicht das Konto das das Programm installiert hat. Damit ergibt sich eine Vereinfachung. Man kann jeder Zeit ein extra Adminkonto (mit Kennwort) erstellen und sein altes Konto zum Standardkonto machen. Es ändert sich fast nichts, denn die Programme wurden von Windows direkt mit anderem Besitzer installiert und die eigenen Daten gehören dem alten Konto.

Nun, wozu steht oben "Adminkonto (mit Kennwort)"? Arbeitet man unter Windows 7 mit einem Standardkonto und ein Programm benötigt Adminrechte, poppt ein kleines Fenster auf, in dem man das Kennwort angeben muss. Nun kann man entscheiden wie man weiter vorgeht. Man bleibt also immer in seinem Konto, bei benötigten Adminrechten startet Windows das eine Programm mit Adminrechten.

Das heißt, man kann weiterhin normal arbeiten und seine Programme von seinem Konto mit Standardrechten installieren, man benötigt jetzt nur ein Adminkennwort. Die Arbeit wird also nicht komplizierter.

AW: [MalWare] Rombertik
 

Leider ist MICROSOFT WINDOWS nicht sehr anwendungsfreundlich.

Man kann zwar mit schtasks /query im CMD-Fenster sehen, was alles automatisch gestartet wird, erfährt aber nur sehr umständlich und mit grossem Aufwand, was die vielen Programme tun.
Das ist eine grosse Gefahr!
Da kann sich allerhand Malware verstecken!

Da nützen auch sichere Admin-Einstellungen nichts.

AW: [MalWare] Rombertik
 

hathor, ein Schädling der mit Standardrechten unterwegs ist, kann nur innerhalb seiner Grenzen schaden anrichten. Der kann immer noch groß sein, aber nicht Systemweit. Darum geht es ja bei den Adminrechten. Schädlinge mit Adminrechten dürfen alles, Schädlinge mit Standardrechten mit nur dem was auch der Nutzer darf.

AW: [MalWare] Rombertik
 

Ich nutze gar kein Steam (und auch sonst keines dieser Teile). Mein Bruder hatte den Effekt auf einem Kundenrechner. Letztlich hat er ein zweites Adminkonto angelegt und Steam läuft nun über dieses.

Ja, leider.

Ich weiß, da gehen wir konform.

Stimmt, an das hab ich gar nicht gedacht. Bleibt die Frage, ob das die Nutzer zum intensiveren Nachdenken bewegen kann, was da Adminrechte verlangt und warum und ob das wirklich nötig ist.

MfG Dalai

AW: [MalWare] Rombertik
 

@Dalai

Ich arbeite sowohl mit Windows XP wie inzwischen auch mit Windows 7. Seit dem ersten Tag (ich glaube so um 2002) wo ich Windows XP privat installiert habe, habe ich ein Administrator- und ein Standardnutzer-Konto. Obwohl, unter Windows XP heißt es Eingeschränktes Konto, unter Windows 7 Standardkonto.

Am Anfang - die ersten zwei Jahre - war es manchmal nicht ganz leicht. Nicht alle Programme haben da sofort funktioniert, so dass man hier und da etwas nachhelfen musste. Das ging dann aber ganz schnell und vor allem die neue kommerzielle Software hat schnell nach den regeln funktioniert. Probleme hatte man also nur wenn man alte Software genutzt hat. Probleme gab es dann nur noch mit Bastlersoftware.

Seit Jahren habe ich keine Probleme mehr. Das einzige Programm was ich noch einstellen muss ist Delphi 7, das war es dann aber schon. Der Rest der aktuellen Software beachtet die Regeln.

Wenn ich also sage, dass man heute getrost mit Standardrechten arbeiten kann, dann ist das die Aussage von einem der die ganze Zeit mit Eingeschränkten Rechten arbeitet. Ich habe also so meine Erfahrungen.

AW: [MalWare] Rombertik
 

BTT:
Das Vieh ist erstaunlich, laut http://www.heise.de/security/meldung...e-2633009.html verschleiert er ja seine Tätigkeit massiv. Wieviel kriminelle Energie muss man eigentlich haben, um einen Phisher(!) derart zu verstecken?

Sherlock