Schlagwort-Archive: Malware

Antivirensoftware noch sinnvoll? Selbstverständlich!

In jüngster Vergangenheit haben einige Programmierer frustriert die These aufgestellt, dass Antivirensoftware obsolet sei und die Sicherheit der Systeme beeinträchtige. Hintergrund dazu ist, dass die Antivirenprodukte inzwischen auch Netzwerkverkehr überwachen, der zwischen Server und lokalem Webbrowser ausgetauscht wird – und neuerdings auch verschlüsselte Verbindungen. Dabei haben einige Hersteller bei der Implementierung Fehler eingebaut, die die Sicherheit dieser Verbindung zwischen Server und Browser herabsetzen können. Dies kritisieren Sicherheitsforscher zu recht und die Antivirenhersteller reagieren zügig mit Softwarekorrekturen. Zudem gab es kürzlich Veröffentlichungen, die eine Sicherheitslücke im Windows-eigenen Application Verifier nutzen, um Antivirensoftware auszuhebeln. Es handelt sich im Kern also um eine Microsoft-Lücke.

Ein guter Computerschutz umfasst nicht nur einen reinen Dateiscanner, da Viren auf diverse Wege ins System kommen und den Anwender schädigen können. Im Zwiebelschalenprinzip fügen die Antivirenhersteller daher Schutzschicht um Schutzschicht nach: Neben dem ursprünglichen Dateiscanner, der auf Anforderung das System untersucht, kam so der Hintergrundscanner hinzu, der das Dateisystem in Echtzeit auf Änderungen überwacht. Weitere Komponenten sind dann beispielsweise E-Mail-Scanner oder Verhaltensüberwachung von Prozessen, also der laufenden Programme. Um bösartige Angriffe von Exploit-Kits zu erkennen, kamen dann Webtraffic-Analysekomponenten hinzu, die etwa Aktionen von Skripten in Webseiten untersuchen und bewerten.

Sofern Fehler in diesen Komponenten auftreten, versuchen die Hersteller, diese rasch zu beheben. Das ist ein ganz normaler und alltäglicher Vorgang: Wo Menschen arbeiten, wird es zwingend gelegentlich Fehler geben. Jeder Softwarehersteller muss nachbessern – man sieht dies unter anderem bei den monatlichen Patchdays von Microsoft. Die meisten Fehler fallen bereits weit vor Veröffentlichung neuer Komponenten in der Qualitätssicherung auf, einige erst später. Auch dann werden sie natürlich behoben.

Es sind bislang keine Angriffe aus der Praxis auf Virenscanner bekannt, um darüber Systeme zu infizieren oder Nutzer anzugreifen. Das liegt auch daran, dass die Position, die ein Angreifer zum Ausnutzen der jüngst bekannt gewordenen Lücken in Windows haben muss – beispielsweise lokalen Zugriff auf den Rechner -, bereits wesentlich einfacher weitreichenden Systemzugriff erlaubt.

Die Schutzwirkung durch Antivirensoftware ist jedoch unbestritten. Hier liefern Testlabore wie AV-Test.org regelmäßig Ergebnisse von Untersuchungen auf deren Webseite, die die gute Schutzwirkung der meisten Antivirenlösungen belegen. Das kostenlose, beim aktuellen Windows-Betriebsystem mitgelieferte Windows Defender schlägt sich dabei jedoch meist eher schlecht als recht. Daher ist der Einsatz von Antivirensoftware nach wie vor zwingend anzuraten – ohne sind Nutzer den Angreifern schutzlos ausgeliefert und haben keinerlei Unterstützung, Schadsoftware zu erkennen und abzuwehren.

Wikileaks zu CIA-Angriffen auf Virenscanner

Wikileaks hat unter dem Namen „Vault 7“ Dokumente veröffentlicht, die die Arbeit der Cybereinheiten der CIA beschreiben. Einige Dokumente erläutern, wie die Hacker der CIA der Erkennung durch einige Virenscannern entgehen konnten.

Die Ansätze verdeutlichen, wie das tägliche Geschäft der Antivirenhersteller funktioniert: Die Cyberkriminellen versuchen, der Erkennung zu entgehen, und die Programmierer der Antivirenhersteller legen neue Maßnahmen nach, um die Schadsoftware doch zu erkennen und so die Kunden zu schützen. Daher wird eine Antivirenlösung nicht nur einmal programmiert und ist dann fertig – stetiger Wandel bedingt ständig neue Programmversionen.

Die gute Nachricht ist am Ende, dass die Veröffentlichung der Angriffsszenarien dazu geführt haben, dass diese Einfallstore rasch geschlossen werden konnten. Ebenfalls erfreulich: Oft postulierte Sicherheitslücken in Antimalware, die zum Einschleusen von Schädlingen dienten, scheinen weiterhin ein Mythos zu sein – keiner der veröffentlichten Angriffe setzt auf so etwas.

Alle Jahre wieder: Ein sicheres Fest!

Die besinnlichen Tage nahen und ganz weit oben auf den Wunschlisten stehen klassisch wieder Laptops, Tablets und Computer. Damit das Fest ein Frohes wird, haben wir ein paar einfache Tipps zusammengefasst, um beispielsweise nicht etwa Opfer eines Erpressungstrojaners zu werden.

1.) Aktueller Virenscanner
Ganz klar – auf einen neuen Rechner gehört auch ein aktuelles Antivirenprogramm! Meist ist sogar schon eine Testversion mit einigen Tagen Laufzeit vorinstalliert. Dieses sollte man jedoch mit dem Remover-Tool des jeweiligen Herstellers gründlich von der Festplatte putzen und anschließend beispielsweise die Vollversion von AVG Internet Security installieren.

2.) Oft ignoriert: Backup
Sollte es dennoch ein Schädling auf den Rechner schaffen, weil man kurz unachtsam war und zu schnell falsch geklickt hat, hilft ein Backup der wichtigen eigenen Daten. Ein Betriebssystem sowie die installierten Programme kann man meist von den Original-Medien wiederherstellen oder einfach erneut herunterladen, nur die selbst erstellten Daten sind im Zweifel weg. Wenn man ein Backup einrichtet und für das Backup sogar einen eigenen Benutzer anlegt, der auch als einziger Zugriff auf den Daten-Backup-Bereich hat, kann ein Verschlüsselungstrojaner nicht an die Sicherungskopie des eigenen Datenschatzes. Hier empfiehlt sich beispielsweise das einfache und intuitiv bedienbare Langmeier Backup.

3.) Aufmerksamkeit
Gerade Richtung Jahreswechsel finden oftmals gut gemachte Phishing-Mails ihren Weg an allen Filtern vorbei in den elektronischen Postkasten. Daher hilft, E-Mails gründlich zu prüfen. Sind Absender und Empfänger plausibel? Meist sind bereits diese Mail-Adressen komplett dubios und weisen nicht einmal auf das Unternehmen hin, das sonst eigene Domains hat. Ganz besonders, wenn zeitlicher Druck aufgebaut wird, dass man innerhalb weniger Stunden oder Tage reagieren müsste, sind ein deutliches Indiz für betrügerische Machenschaften.

Wenn man diese einfachen Tipps beachtet, ist man schon deutlich sicherer unterwegs als der Großteil im Netz und kann die Feiertage entspannt genießen.

Wir wünschen allen ein frohe Fest und einen guten Rutsch ins neue Jahr!

Ransomware: Decryption-Tools von AVG

avg_logo_deAVG hat im Rahmen der Kampagne zum besseren Schutz vor Ransomware, also Verschlüsselungstrojanern, nun auch kostenlose Werkzeuge veröffentlicht, mit denen sich viele der verschlüsselten Dateien – ohne Lösegeldzahlung – wieder entschlüsseln lassen. Namentlich stellt der Hersteller Tools gegen die Verschlüsselung folgender Crypto-Trojaner bereit: Apocalypse (ältere Versionen, neuere Versionen), BadBlock (32-Bit, 64-Bit), Crypt888, Legion, SZFLocker und TeslaCrypt V3 und V4. In einem englischsprachigen Artikel erläutert AVG, wie man die einzelnen Bedrohungen zuordnen kann.

Da die Cybermafia die Trojaner ständig weiterentwickelt und neue Verschlüsselungen erstellt, könnten jüngste Verschlüsselungsvarianten damit möglicherweise nicht mehr wiederhergestellt werden. Aber auch hier empfiehlt sich, nach einem Befall ein Backup der verschlüsselten Dateien zu erstellen, da es mit gewisser Wahrhscheinlichkeit nach einiger Zeit auch dafür kostenlose Entschlüsselungstools geben könnte. Anschließend muss der betroffene Rechner komplett neu aufgesetzt werden.

Diese Tools ersetzen daher keinesfalls einen guten Virenschutz und kein sauberes Sicherheitskonzept, wie wir in den vergangenen Blog-Beiträgen bereits erläutert haben. Sie sollten jedoch gegebenenfalls nützlich sein, sollte trotz Sicherheitskonzept der Infektionsfall eingetreten sein.

Ransomware-Überlebenstraining

Ransomware Info-PDFMit der steigenden Anzahl von Ransomware-Angriffen auf Unternehmen jeder Größen­ordnung war es noch nie so wichtig, Ihr Unternehmen, Ihre Bestände und die Zukunft Ihres Unternehmens zu schützen.

Mit 120 Millionen neuen Varianten allein im Jahr 2015 gehört Ransom­ware zu den am schnellsten wachsenden Internet­bedrohungen. Jigsaw ist die derzeit neuste und fort­geschrittenste Ransomware-Version. Sie übernimmt die Kontrolle über Ihren Computer und löscht Dateien, bis Sie ein Löse­geld zahlen. Vorsorge ist die beste Abwehr von solchen Angriffen.

Schützen Sie die Unternehmen Ihrer Kunden in 5 einfachen Schritten:

1. Sichern Sie Dateien auf einem externen Laufwerk
   Beispielsweise mit einem getrennten Backup-Operator-Account, damit Ransomware keinen Zugriff auf die Backups erhält.
2. Schulen Sie Mitarbeiter, sodass sie wissen, worauf sie achten müssen
   Auch Dateien hinter Links in E-Mails sind als gefährlicher E-Mail-Anhang zu betrachten.
3. Implementieren Sie Richtlinien zum Umgang mit Ransomware
   Notfallplan: Betroffene Maschine rasch vom Netz trennen, Backup der Festplatte und gegebenenfalls verschlüsselter Dateien auf den Netzlaufwerken anlegen, betroffene Maschine neu aufsetzen, Daten auf Netzlaufwerk vom Backup wieder einspielen.
4. Aktualisieren Sie sämtliche Software auf die neuesten Versionen
5. Verwenden Sie mehrstufigen Antivirus-Schutz!

Beachten Sie auch unser Info-PDF mit einfachen Erläuterungen der Lage und der Schutzmaßnahmen!

Petya-Erpressungstrojaner sperrt PCs – mögliche Abhilfe

avg_logo_deDerzeit grassiert eine Welle von Kryptolockern, die PCs vermeintlich blockiert und komplett verschlüsselt. Die Social-Engineering-Varianten zur Infektion sind soweit eigentlich bekannt, ungewöhnlich ist die neue Kombination: Per E-Mail kommt eine vermeintliche Bewerbung herein, die auf Bewerbungsunterlagen in einer Dropbox hinweist. Darin befindet sich dann eine Datei, die derzeit „Bewerbungsmappe-gepackt.exe“ heißt. Bei Ausführung simuliert diese Datei einen Bluescreen, verändert Master Boot Record der Festplatte und Windows-Startdateien; anschließend erzwingt sie einen Neustart. Dort ist dann ein Link in das TOR-Netzwerk hinterlegt, wo die zum Freikaufen erpresste Summe gezahlt werden soll.

Nach bisherigen Erkenntnissen wird die Festplatte jedoch derzeit nicht verschlüsselt. Der Master Boot Record sowie die Windows-Startdateien sollten sich mit einer Windows-Installations-CD wiederherstellen lassen. Diese CD (oder USB-Stick) muss man zum Starten des Rechners verwenden. Sie sollte zum dort installierten Betriebssystem passen, also jeweils Windows 7, 8 oder 10. Dort startet man die Reparaturoptionen und wählt die Kommandozeile aus. Um den Master Boot Record zu reparieren, gibt man ein:
bootrec /fixmbr

Mit den Kommandos:
bootrec /fixboot
bootrec /rebuildbcd

bringt man dann die Startdateien wieder in Ordnung. Nun sollten die Partitonen wieder zugreifbar sein, sodass man ein Backup der Daten anlegen und den Rechner neu aufsetzen kann.

Die Antivirenhersteller wie AVG pflegen permanent neue Signaturen nach, um die Erkennung der Schädlinge zu gewährleisten. Jedoch passiert es bei neuen Varianten gelegentlich, dass die Heuristik nicht mehr greift und zwischen Ausbruch des Schädlings und der Veröffentlichung von neuen Erkennungen etwas Zeit vergeht. Daher kann es bei derartigen unverlangt zugesandten Dokumenten bereits helfen, einige Stunden abzuwarten. Und natürlich bleibt weiterhin ein Grundpfeiler des Sicherheitskonzepts, die Mitarbeiter zu schulen: Die Regeln beim Umgang mit unverlangt zugesandten Dateien in E-Mails gelten auch dann, wenn der Anhang in Cloud-Speicher wie Dropbox abgelegt wird.

Der Spamschutz als Virenblocker

Gastbeitrag von Olaf Petry, IT-Sicherheitsbeauftragter / CISO, Hornetsecurity.

Logo HornetSecurity1,3 Millionen Treffer. Dieses Ergebnis spuckt die Suchmaschine Google aus, wenn nach „Computervirus“ gesucht wird. Eine beachtliche Zahl, die verdeutlicht, wie wichtig dieses Thema bei Firmen, Behörden und Privatanwendern ist, schließlich können Computerviren eine ernstzunehmende Bedrohung für private Rechner und IT-Infrastrukturen von Unternehmen darstellen. Aber wie gelangen Viren, Zero-Day-Exploits und andere Malware auf die Computer und Server? Und wie lässt sich dieses Risiko effektiv minimieren?

Spam- und Virenmails werden immer professioneller

Zwar sind Drive-By-Downloads oder das versehentliche Herunterladen von schädlicher Software im Internet ein durchaus bekanntes Phänomen, jedoch erleben wir derzeit eine Renaissance der E-Mail als Einfallstor für Malware; insbesondere in Dokumenten verschleierte Schädlinge oder Links darauf schlagen in jüngerer Vergangenheit vermehrt durch. Selbst wenn Experten diesem Kommunikation­smedium immer wieder der Tod vorhersagen – auch in Zukunft werden mehr E-Mails versendet und empfangen als jemals zuvor. Wie viele E-Mails davon als Spam zu klassifizieren sind, lässt sich nicht auf die E-Mail genau feststellen, dennoch lohnt es sich, einen kurzen Blick auf ein paar Daten von Hornetsecurity zu werfen, um einen Überblick über das Medium E-Mail zu bekommen.

  • Die Zahl aller Clean-Mails pro Benutzer stieg von ca. 120 im Jahr 2007 auf knapp 400 Ende 2015 an.
  • Spam-Nachrichten sind auf dem Rückzug: Der durchschnittliche Jahresanteil an Spam-Mails am gesamten E-Mail-Verkehr ging von 99,7 Prozent im Jahr 2008 auf knapp 63 Prozent im Jahr 2015 zurück.
  • Die Zahl der als virenverseuchte E-Mail klassifizierten E-Mails pro Benutzer pro Monat stieg hingegen in den vergangenen fünf Jahren um das Fünffache an (mit deutlichen Ausreißern nach oben durch große Malware-Attacken)

2016-01-Entwicklung_Spam-AufkommenKonkret bedeutet dies eine Abkehr der früher geltenden Regel „Masse statt Klasse“: Spammer versenden weniger Spam- und Viren-Mails, diese dafür in einem wesentlich professionelleren Erscheinungsbild. Dies liegt einerseits daran, dass die Empfänger von Spam deutlich besser informiert sind und nicht mehr so einfach auf schlecht gemachte Müll-Nachrichten hereinfallen. Andererseits haben auch die Anbieter von Antispam-Lösungen ihre Hausaufgaben gemacht und entwickeln ihre Services kontinuierlich weiter.

Spamfilter erhöht als zusätzliche Sicherheitsstufe den Schutz

Dennoch: Einen hundertprozentigen Schutz zu gewährleisten, wird unmöglich sein, schließlich handelt es sich hier um einen Wettlauf zwischen Angreifer und Verteidiger, in dem der Hersteller von Malware immer einen winzigen Schritt voraus ist. Für Unternehmen und Privatpersonen gilt daher, dieses Risiko zu minimieren, indem sie sich bestmöglich schützen. Hier spielen Anbieter von Spamfilter Lösungen wie Hornetsecurity eine nicht zu unterschätzende Rolle – sie versperren Schadsoftware ihren Haupt-Angriffsweg, die E-Mail. Dadurch bieten sie neben den bereits vorhandenen Antiviren-Lösungen eine zusätzliche Sicherheitsstufe. Im Falle von Hornetsecurity ist dies ein mehrstufiger Filterprozess, mit dem das Unternehmen eine hohe Filterquote erreicht: Es garantiert vertraglich, 99,9 Prozent aller Spamnachrichten herauszufiltern, wobei der Regelfall mit 99,99 Prozent sogar noch deutlich darüber liegt. Beim integrierten Virenschutz sichert Hornetsecurity eine Quote von 99,99 Prozent vertraglich zu.

2016-01-Viren_pro_Nutzer-grossHornetsecurity erreicht diese Zahlen über ein mehrstufiges Filtersystem, in dem neben einem vorgeschalteten Blocking-Filter mehrere Schritte in der sogenannten aktiven Analysephase der gesamte Mailverkehr auf Herz und Nieren geprüft wird. Der Service beinhaltet zusätzlich eine Virenschutz-Komponente des Spamfilter Services von Hornetsecurity, die den eingehenden E-Mail-Verkehrs auf Viren auf Basis mehrerer Systeme prüft. Neben externen Scannern wie ClamAV und Signaturdaten von G DATA kommen verschiedene selbstentwickelte Werkzeuge zum Einsatz, um für die Kunden einen möglichst breiten Schutzschirm spannen zu können. Einen genauen Überblick verschafft das entsprechende Whitepaper.

Ein funktionierender Spamfilter Service ist daher mehr als nur ein Schutz vor lästigen E-Mails – er schafft einen zusätzlichen Sicherheitswall, um Unternehmen vor Viren, Phishing-Attacken und Exploits zu bewahren.

Einfallstore von Erpressungstrojanern

Erpressungstrojaner wie CryptoLocker, Chimera und ähnlichen stellen derzeit eine wachsende Bedrohung dar. Wie aber kommt es zu diesen Infektionen?

Die Einfallstore umfassen zunehmend das inzwischen sicher geglaubte Medium E-Mail. Die Masche ist ausgefeilter als bei früheren Angriffswellen. So nutzen die Schädlinge dem BSI zufolge gezielt E-Mail-Adressen aus Unternehmen und Behörden. Als Social-Engineering-Köder dienen beispielsweise vermeintliche Bewerbungen. Die Angriffe sollen dem BSI zufolge derart maßgeschneidert sein, dass diese gefälschten Bewerbungen auf öffentlich ausgeschriebene Stellen Bezug nehmen. In diesen E-Mails erwartet der Empfänger Dokumente im Anhang und öffnet sie arglos. Einfallstore von Erpressungstrojanern weiterlesen

AV-Test bescheinigt AVG hervorragende Leistung

avg_logo_deDie IT-Sicherheitsexperten von AV-Test haben im Juli und August 2015 zahlreiche Sicherheitslösungen unter die Lupe genommen und ihre Erkennungsleistung vermessen. Bei den Real-World-Tests mit 165 Zeroday-Viren und Exploit-Websites, die absolut neu in freier Wildbahn aufgetaucht sind, und einem Basisset von mehr als 20.000 neuen sowie weit verbreiteten Schädlingen aus den vergangenen vier Wochen stach AVG mit hunderprozentiger Erkennung hervor. AVG liefert somit einen herausragenden Schutz vor den Schädlingen, denen die Rechner der Nutzer beim täglichen Surfen und Arbeiten ausgesetzt sind.

Die verbesserte Scan-Engine beweist in der Praxis ihre Effektivität. Sie ist etwa in den neuen AVG-Sicherheitslösungen enthalten, die Anfang des Monats veröffentlicht wurden. Unternehmen, Organisationen und Endanwender können kostenlos mit ihrer derzeitigen Lizenznummer auf die neue Version aktualisieren. Dazu genügt es, das passende Installationspaket herunterzuladen und über die bestehende Version drüber zu installieren. Die Netzwerklösungen fangen dabei mit dem AVG Remote Admin Server an und verteilen anschließend die neuen Workstation-Versionen mittel AVG Assistent für die Netzwerkinstallation.

Geschrieben von Dirk Knop.

Sicherungsmechanismen im Virenscanner

avg_logo_deDie Sicherheitslage im IT-Bereich ist angespannt: Die Zahl der Angriffe auf Internetnutzer nimmt stetig zu. Immer wieder gelingt es Cybergangstern, einzelne Server aus Werbenetzwerken zu unterwandern. Diese Werbenetzwerke liefern dann selbst auf seriösen Webseiten sogenannte Exploits aus, die Sicherheitslücken in fast überall installierter Software wie dem Betriebssystem, der Java-Laufzeitumgebung, dem Flash-Player oder Adobe PDF-Reader ausnutzen, um dadurch die Rechner mit Trojanern und Viren zu infizieren.

Dies bedeutet, das zum Einen natürlich die installierte Software stets auf dem aktuellen Stand gehalten werden muss, um die Angriffsfläche zu verkleinern. Das Betriebssystem und die Webbrowser haben inzwischen Automatismen integriert, die hier für rasche Abhilfe sorgen. Jedoch muss man bei Java, Flash und PDF-Reader meist selber Hand anlegen und neue Versionen herunterladen und einspielen.

Zum Anderen schützt ein guter Virenscanner, indem er einen Schutzschild beim Surfen im Netz integriert. AVGs Online Shield und Link Scanner warnen etwa vor vielen Exploits und blockieren diese auch gleich. Die Identity Protection überwacht die laufenden Prozesse und bremst sie aus, wenn sie zu viele verdächtige und möglicherweise schädliche Aktionen ausführen – etwa Dateien in temporäre Ordner herunterladen und von dort aus starten.

Um bei einem Fund den Rechner nicht lahmzulegen, sind jedoch auch Vorkehrungen zu treffen. AVG warnt beispielsweise, wenn Systemdateien infiziert sind. Es löscht diese jedoch nicht und verschiebt sie auch nicht in Quarantäne, weil dadurch die Computer außer Gefecht gesetzt werden könnten und nicht mehr starten. Der betroffene Nutzer erhält die nötige Information und kann dann Gegenmaßnahmen einleiten, etwa mit der AVG Rescue CD, und gegebenenfalls infizierte Systemdateien durch saubere Versionen ersetzen.

Weitere Sicherungsmaßnahmen setzen beispielsweise auf File Reputation. Vereinfacht steckt dahinter die Abfrage, ob es genau diese Datei in der vorliegenden Version häufig oder selten gibt; dazu erstellt AVG einen Hash-Wert, also einen digitalen Fingerabdruck, der eine Datei eindeutig identifiziert. Ist die Datei weit verbreitet wie zum Beispiel eine Standard-Systemdatei von Windows, handelt es sich bei einem Virenfund wahrscheinlich um einen Fehlalarm. Eine fehlerhafte Erkennung kann dann rasch ausgeschaltet und via Whitelist umgehend unschädlich gemacht werden.

Der AVG Virenschutz liefert daher ein stabiles System und setzt auf Funktionen, die einen fortlaufenden Betrieb der Rechner sicherstellen.

Geschrieben von Dirk Knop.