Hatte mir gestern abend beim Durchschauen meiner Fukushima-Linksammlung die Malware "Smart Fortress 2012" unter Windows 7 eingefangen. Diese verhindert fast alle Programmausführungen, auch der Taskmanager war kompromitiert, und gibt sich als Sicherheitssoftware aus, die eine Vielzahl an Schädlingen gefunden haben will. Windows Updates hatte ich erst gestern nachmittag geprüft und bis auf ein .net-Framework-Update war alles auf dem aktuellsten Stand. Mein Virenscanner lief auch (Trendmicro Worry-Free Business Security Services) und hat nichts gemeldet. Die Malware hat nach dem Aktiv-werden jedoch alle Hintergrundprogramme abgeschossen, auch den Virenscanner. Begonnen hat es damit, dass Windows UAC mich mehrfach fragte, ob eine Exe-Datei mit kryptischem Namen ausgeführt werden darf, nachdem ich Bilder auf cryptome.org mit dem Internet Explorer 9 anschauen wollte. Das Internet-Explorer-Fenster verschwand einfach und ich hab alle Anfragen zur Ausführung der Exe verneint. Dann hab ich den Taskmanager gestartet und dabei tauchte erstmals das Fenster von "Smart Fortress 2012" auf.
Im Hintergrund war noch Thunderbird in Version 8 offen (aktuell ist Version 10), wo den Tag über ab und an Mails reinkamen.

Ich hab dann kurzerhand ein Backup-Image (vom Donnerstag) aufgespielt, womit das Problem für mich gelöst war. Nach dem Restore hab ich auch direkt meinen Thunderbird auf die neueste Version gebracht und Windows Update laufen lassen. Auf cryptome.org war ich seitdem nicht mehr, aber www.urlvoid.com stuft die Seite zumindest als "verdächtig" ein.
Ich hab keine Ahnung, ob ich mit einem aktuellen System und meinem Virenscanner jetzt tatsächlich vor dieser Malware geschützt bin. Kennt Jemand den Schädling und weiß, über welchen Weg er auf mein System gelangen konnte? Sicherheitslücke in Windows, im Internet Explorer oder in Thunderbird? Wie kam er an UAC vorbei?

Java und Flash sind auch aktuell? Flash hat vor ein paar Tagen erst ein Update released.

Flash hatte ich auch erst am Freitag oder Samstag aktualisiert, außerdem blocke ich Flash standardmäßig.

Im Prinzip hast du ja schon selber geantwortet: Diverse Sicherheitslücken in Java, Flash, OS.

Das Problem hatte ich auch 2xmal, trotz aller Absicherung...

Das einzige wirkungsvolle Mittel ist ne VM / Sandbox und natürlich deine Images.

Wäre halt interessant zu wissen, über welche Lücken sich das Programm genau einschleust. Ich finde über Google nur eine Aussage, dass eine entsprechende Lücke per Windows Updates geschlossen wurde, was aber offenbar nicht bei mir zutraf. Ich hatte erst letzten Monat ein ähnliches Problem, wobei ich da vom Virenscanner vorgewarnt wurde und die Warnung als "false positive" ignoriert habe (bin einem Link von chip.de gefolgt). :freak:
Ich frag mich ja, wie man als unbedarfter Nutzer überhaupt einen Viren- und Trojanerfreien PC haben kann. Aktuelle Updates + aktuelle Software + regelmäßige Backups sind ja bei der Mehrzahl der Anwender nicht vorhanden.

Insgesamt ist es mein dritter Virenbefall unter Windows 7 trotz aller Sicherheitsmaßnahmen und UAC. Zweimal hatte ich zum Glück ein Backup-Image, einmal hab ich Win 7 neu installiert (Backup von den wichtigen Daten war auch da vorhanden). Mit Reinigungsaktionen halte ich mich gar nicht mehr auf. Als Quelle für den Befall hab ich in allen Fällen kompromitierte Adserver in Verdacht.

....

Ich frag mich ja, wie man als unbedarfter Nutzer überhaupt einen Viren- und Trojanerfreien PC haben kann. Aktuelle Updates + aktuelle Software + regelmäßige Backups sind ja bei der Mehrzahl der Anwender nicht vorhanden.

Insgesamt ist es mein dritter Virenbefall unter Windows 7 trotz aller Sicherheitsmaßnahmen und UAC.

...



Ich "betreue" privat ca. 20 Rechner.
Viele von denen hatten ähnliche Probleme, waren aber aufgrund des hohen Schmerzes (keine Backups u.ä.) lernwillig.

Ich installiere nur noch Linux. Problem gelöst. XP-ähnlich eingerichtet (Startmenü, Taskleiste) vermisst keiner was.
Zumal die meisten eh Firefox, Chrome etc. benutzt haben.

Wollen die Leute zocken, bleibt halt Rumpf-Windows drauf, das keinerlei persöhnliche Daten enthältund schnell per Image wiederhergestellt werden kann. Einigen reichen aber natürlich bereits Browser-Spiele.

Spasstiger, nichts für ungut, aber du machst irgendwas falsch.
Wenn du nicht Sandboxie zum Browsen nehmen willst, verwende wenigstens EMET, wenn du es nicht schon tust:
http://blogs.technet.com/b/srd/archive/2010/09/02/enhanced-mitigation-experience-toolkit-emet-v2-0-0.aspx
Damit alle laufenden Prozesse absichern: Firefox (+plugin container), Java, usw.

Ich surfe seit einigen Monaten ohne jeden Schutz außer EMET (auch ohne Sandboxie) und es will einfach nichts passieren.

Spasstiger, war das auch bei WinXP der Fall oder erst bei Win7?

Irgendwie komme ich den Verdacht nicht los, dass es in Win7 inoffizielle Backdoors gibt.

Irgendwie komme ich den Verdacht nicht los, dass es in Win7 inoffizielle Backdoors gibt.
So ein Unsinn.

Spasstiger, war das auch bei WinXP der Fall oder erst bei Win7?
Unter WinXP hab ich mir auch schon mehrfach was eingefangen, ich hab oben nur von Windows 7 geredet. Rekord waren 10 Minuten nach Installation und erstem Booten von WinXP ohne Service Pack und ohne Updates. Ich hab lediglich den IE geöffnet, um einen Virenscanner runterzuladen. Der Virenscanner hat beim anschließenden Scan auch prompt was gefunden. Danach Windows nochmal platt gemacht, nochmal Windows XP installiert, dann ERST Windows Update und danach im Netz nach Virenscanner, Alternativbrowser, Treiber, etc. gesucht.
Ich bekomm übrigens auch immer wieder Mails, bei denen Virenscanner anschlagen. Auf meine Domain bekomm täglich rund 500-1000 Spammails, die ich alle an GMX weiterleite (Spamfilter). Gefiltert kommen immer noch ca. 20 Spammails am Tag durch. Deshalb hatte ich oben auch Thunderbird in Verdacht.

Deshalb hatte ich oben auch Thunderbird in Verdacht.
Die Zeit, dass sich Attachments automatisch ausführen, ist schon lange vorbei.
Standardmäßig wird ja nicht mal HTML ausgeführt, wie soll da sich automatisch was einschleichen?

Standardmäßig wird ja nicht mal HTML ausgeführtSicher?
Ich bin mir verdammt sicher, dass er das immer tut. Ich finde gerade nicht mal eine Option das wirklich auszuschalten. Und mit Thunderbird 8 dürften noch so einige Lücken offen sein.

Die Virenprogger sind ja nicht doof und fehlerfreie Software gibt es nicht. Ich rede von Sicherheitslücken. Klar, dass Thunderbird weder externe Inhalte runterlädt noch Anhänge ausführt ohne meine explizite Erlaubnis. Aber im Fall einer Sicherheitslücke im Mailprogramm nützt das nichts. Ich hatte ja wie gesagt noch Version 8 drauf.

Übrigens werden jetzt schon PCs mit dem Schädling verkauft: http://answers.yahoo.com/question/index?qid=20120311160442AAWNOGp. Der Schädling macht seit zwei Wochen die Runde und viele Anbieter von Antivirensoftware haben mittlerweile Removal-Anleitungen und/oder Removal-Tools bereitsgestellt.

/EDIT: Ich hab gerade entdeckt, dass mein Virenscanner den Schädling "Smart Fortress 2012" erst seit Samstag erkennt. Möglicherweise hatte ich das nötige Update noch nicht installiert.

Sicher?
Ich bin mir verdammt sicher, dass er das immer tut. Ich finde gerade nicht mal eine Option das wirklich auszuschalten. Und mit Thunderbird 8 dürften noch so einige Lücken offen sein.
Ah, stimmt.
Aber Thunderbird datet sich doch selbstständig ab. :rolleyes:
Wie fast immer in solchen Fällen: User-Fail.

Und wieso krieg ich eigentlich keine Viren per Mail? :(

Ah, stimmt.
Aber Thunderbird datet sich doch selbstständig ab. :rolleyes:
Automatisches Update ist immer fehlgeschlagen und mit neueren Versionen waren nicht alle Addons kompatibel (z.B. Lightning für den Kalender). Das Addon zum Syncen von Terminen mit dem Google-Exchange-Server fehlt jetzt halt, darüber synce ich eigentlich mein Windows-Mobile-Handy.

Und wieso krieg ich eigentlich keine Viren per Mail? :(
Weil die nicht so offensichtlich reinkommen (als Anhang schon gar nicht). Kann gut sein, dass man einen Befall erst nach zwei Wochen merkt, wenn die Virenscanner entsprechend aktualisiert wurden.

Automatisches Update ist immer fehlgeschlagen und mit neueren Versionen waren nicht alle Addons kompatibel (z.B. Lightning für den Kalender).

Ich nutze seit vielen Monden TB + Lightning, mit immer aktuellen Versionen. Lightning hat bisher absolut immer funktioniert und hat sich bei Bedarf bei einem TB-Update gleich selbst erneuert.

Lightning alleine bringt mir halt nix, weil ich Termine auf dem Handy eintrage und per Sync auf den PC bekomme. Den Exchange-Server, den ich zwar kostenlos bei MSDNAA bekomme, wollte ich mir lokal nicht antun und MS Office hab ich nicht. Entsprechend bleibt nur der Weg, über Drittanbietertools lokal zu syncen oder im Netz einen Exchange-Server zu suchen wie z.B. bei Google. Ja, die haben einen Server mit Microsoft Exchange.
Die Drittanbietertools zum Syncen mit Windows Mobile kosten zum Einen Geld und halte zum anderen mit den Update-Zyklen von Thunderbird nicht Schritt, so dass sie schnell inkompatibel werden.

Weil die nicht so offensichtlich reinkommen (als Anhang schon gar nicht). Kann gut sein, dass man einen Befall erst nach zwei Wochen merkt, wenn die Virenscanner entsprechend aktualisiert wurden.
Microsoft hatte eine Studie veröffentlicht, die aufzeigt, dass 0day-Exploits nur einen Bruchteil der Infektionen ausmachen:
http://letsbytecode.com/security/microsoft-criminals-prefer-the-old-exploits-0day-vulnerabilities-threat-is-greatly-exaggerated/
Wer seine Programme aktuell hält und EMET nutzt, ist davon so gut wie gar nicht bedroht.
Malware per Email kommt immer noch in Form von Attachments oder seit geraumer Zeit auch verstärkt mit Links und geschicktem Social Engineering.
Von selbst passiert da nichts.

Wobei das mit "Smart Fortress 2012" bei mir möglicherweise tatsächlich eine Tag-0-Infektion war, dass mein Virenscanner den Schädling erst seit 2 Tagen kennt.
Ich kann mir schon vorstellen, mit was sich der Großteil der Leute infiziert. No-CD-Cracks und Warez, da geht die Trojanerseuche um, dass es nicht mehr feierlich ist. Und wenn ich bei manchen Leuten die Browser-Toolbars sehe ...

Wobei das mit "Smart Fortress 2012" bei mir möglicherweise tatsächlich eine Tag-0-Infektion war, dass mein Virenscanner den Schädling erst seit 2 Tagen kennt.

0day wär es, wenn die Lücke (gehen wir mal davon aus, dass es dieses Einfallstor wirklich gab) unbekannt und nicht in der neusten TB-Version gefixt wäre.
Ist aber glaub ich nicht wahrscheinlich.


Ich kann mir schon vorstellen, mit was sich der Großteil der Leute infiziert. No-CD-Cracks und Warez, da geht die Trojanerseuche um, dass es nicht mehr feierlich ist.

Bei meinen Warez- und Cracksquellen (ich geb hier gar nichts zu ;) ) war noch nie Malware dabei.
Gibt natürlich Seiten, wo das anders ist, und bei P2P erst recht.
Pauschal kann man diese Seiten aber nicht allesamt als Malwareschleudern verdammen.


Und wenn ich bei manchen Leuten die Browser-Toolbars sehe ...
Das sind meist PUPs, nicht wirklich Malware.

cryptome.org ist auch in deiner Linksammlung. heise (http://www.heise.de/newsticker/meldung/Whistleblowing-Plattform-als-Malware-Schleuder-missbraucht-1434169.html) berichtete im Februar von einem Einbruch auf den Server inkl. Malware-Verteilung. Nun gab es wieder Ärger (http://www.heise.de/newsticker/meldung/Enthuellungsplattform-nach-Malware-Anschuldigung-auf-neuem-Server-1471339.html). Womöglich war dies das Einfallstor auf deinen Rechner.

mfg

Sehr interessant, war also wohl eine Lücke im IE.
Vielleicht hab ich dir sogar Unrecht getan und es war wirklich 0day.

Wie ich bei deinem letzten Malware-Befall anmerkte, wär es allerdings besser, nicht den IE zu verwenden, da Microsoft sich mit dem Fixen von Exploits zu viel Zeit lässt.
Womöglich bist du Opfer von Microdoofs Updatepolitik geworden.

Chrome oder Firefox sind nicht so schlecht. ;)

Firefox nehm ich am Desktop, aber ich stelle zunehmend fest, dass der Firefox lahm im Vergleich zum IE 9 ist, speziell bei Javascript (gut zu testen mit www.circuitlab.com). Am Notebook dachte ich mir, es mal mit dem IE zu versuchen, um die Installation auf meiner SSD klein zu halten. Außerdem ist der IE9 superschnell gestartet, unter 1 Sekunde, während der Firefox trotz SSD seine 4-5 Sekunden Startzeit hat.
Ist halt schick, wenn ich 30 Sekunden nach dem Einschalten des Notebooks schon Google News lesen kann. ;)

cryptome.org ist auch in deiner Linksammlung. heise (http://www.heise.de/newsticker/meldung/Whistleblowing-Plattform-als-Malware-Schleuder-missbraucht-1434169.html) berichtete im Februar von einem Einbruch auf den Server inkl. Malware-Verteilung. Nun gab es wieder Ärger (http://www.heise.de/newsticker/meldung/Enthuellungsplattform-nach-Malware-Anschuldigung-auf-neuem-Server-1471339.html). Womöglich war dies das Einfallstor auf deinen Rechner.

mfg
Bei einem Besuch von cryptome.org begannen die Symptome.

Gestern hats mich auch erwischt, zwar nicht diese Smart Fortress Malware, aber wohl eine ähnliche ältere Version im Gewand des BKA mit einer Geldaufforderung von 100 Euro.

Da ich jetzt was abgekommen habe und heute erstmal Windows neu drauftun darf, wollte ich euch mal fragen, was wirklich sinnvoll ist an Sicherheit draufzutun. Windows und alle andere Software updatet sich automatisch.
Browser war bisher eigentlich immer Firefox und als Antivirus Windows Security Essentials. Letzteres hat die Malware gar nicht erkannt, obwohl über 1 Jahr alt. Das macht mich schon etwas stinkig.
Ich würde jetzt gerne etwas mehr Sicherheit haben, allerdings sollte es nicht zu restriktiv sein, d.h. ich will nicht bei jedem Klick irgendwelche Regeln vergeben. Da ich auch nicht tief in der Materia bin, sollte es auch möglich einfach zu bedienen sein. Könnt ihr mir da helfen?
Dieses EMET, was genau tut das?

vereinfacht gesagt eine art "NoScript" für Anwendungen... ist auch relativ viel mit Fummeln verbunden (jede Anwendung einzeln einstellen).

Perfekten Weg gibt es nicht, jeder findet für sich was anderes. Ich z.B. nehm einfach das letzte Image + regelmäßige Sicherungen der wichtigsten und fertig.

Schützen könnte auf jeden Fall surfen in ner VM / Sandbox mit all den umkomfortablen Nachteilen

@Spasstiger: hattest du die benutzerkontensteuerung (uac) auf höchster stufe beim virenbefall?

@mobius: versuche mal "Browser in the Box (http://www.sirrix.de/content/pages/BitBox)", ist ein firefox auf linux basis in einer virtualmachine, alles in einem kostenlosen paket. Von dem linux ansich sieht man dabei nix.

@Phantom 1: Das war bei mir der Fall bei höchster UAC ähnlich wie bei Spasstiger. Irgendeine kryptische Datei erkannt, alles verneint - Geholfen hat es nix.

Kann aber auch sein, dass es "nur" eine UAC-Stufe höher war, jedenfalls mindestens eine über Standard-Einstellungen + Arbeit als Win7-Benutzer statt standardmäßig admin

Gestern hats mich auch erwischt, zwar nicht diese Smart Fortress Malware, aber wohl eine ähnliche ältere Version im Gewand des BKA mit einer Geldaufforderung von 100 Euro.

Da ich jetzt was abgekommen habe und heute erstmal Windows neu drauftun darf, wollte ich euch mal fragen, was wirklich sinnvoll ist an Sicherheit draufzutun. Windows und alle andere Software updatet sich automatisch.
Browser war bisher eigentlich immer Firefox und als Antivirus Windows Security Essentials. Letzteres hat die Malware gar nicht erkannt, obwohl über 1 Jahr alt. Das macht mich schon etwas stinkig.
Ich würde jetzt gerne etwas mehr Sicherheit haben, allerdings sollte es nicht zu restriktiv sein, d.h. ich will nicht bei jedem Klick irgendwelche Regeln vergeben. Da ich auch nicht tief in der Materia bin, sollte es auch möglich einfach zu bedienen sein. Könnt ihr mir da helfen?
Dieses EMET, was genau tut das?

Das wird dir zwar nicht gefallen, aber: Wenn du wirklich sicherer im Internet unterwegs sein willst, musst du zwangsläufig auf Komfort verzichten. Denn genau die Automatismen, die das Bedienen des Computers erleichtern sollen, können sich auch ohne Probleme gegen den Benutzer stellen - beste Beispiel war der Autostart von externen Datenträgern. Was meinst du, warum MS sich z.B. die UAC mit Vista ausgedacht hat, um den Nutzer zu ärgern?

Computer-Sicherheit und Komfort sind 2 Gegensätze, du kannst nicht das eine haben, ohne das andere ein Stück zu verlieren.

mfg Oli

Mit Hirn kann man sich ne Menge Komfort erhalten.

Das wird dir zwar nicht gefallen, aber: Wenn du wirklich sicherer im Internet unterwegs sein willst, musst du zwangsläufig auf Komfort verzichten. Denn genau die Automatismen, die das Bedienen des Computers erleichtern sollen, können sich auch ohne Probleme gegen den Benutzer stellen - beste Beispiel war der Autostart von externen Datenträgern. Was meinst du, warum MS sich z.B. die UAC mit Vista ausgedacht hat, um den Nutzer zu ärgern?

Computer-Sicherheit und Komfort sind 2 Gegensätze, du kannst nicht das eine haben, ohne das andere ein Stück zu verlieren.

mfg Oli

Aus diesem Post sollte man einen Sticky machen.

hiermit zu (http://powerforen.de/forum/showpost.php?p=2385678&postcount=8)99.999% keine Infectionen mehr ;)

Je nach Geschmack kann man es ja noch im VMWare Unify Modus laufen lassen (Programme werden so dargestellt, in einem eigenen Fenster, als würden sie auf dem Host selber laufen).

Gegen früher, wo man noch Angst hatte sich einen Virus einzufangen den man von einer Diskette eines "Freundes" geladen hatte, ist das, was heute abgeht, echt nur noch krank (früher hies es nur mal winX neu aufspielen und viel passiert was nichts. Heute muss man Schiss haben, dass seine Spiele Accounts oder sogar Bank Accounts flöten gehen oder man dank trojaner netz oder als VIC Proxy auf einmal die Bullen zu hause stehen hat)

...

hiermit zu (http://powerforen.de/forum/showpost.php?p=2385678&postcount=8)99.999% keine Infectionen mehr ;)Und die VM startest du nach jeder Seite neu? Nutzt ja nix, wenn du in einer Session was einfängst und dir da der Account gehackt wird.
Ich hoffe mal, dass du nach Updates die VM auch wieder ins Image schreiben lässt?

Nein, die vmware startet nicht nach jeder Seite neu, es gibt eben einen 0.00001 Rest ;)
Übrigens ist auch in der vmware einiges an antiviren soft installiert.
Das Image wird nur manuell zurückgeschrieben, wenn mein eigener Patch Day drann ist.
D.h. zu einem Zeitpunkt X wird sie hochgefahren, Updates eingespielt und wieder gesichert.
Erst dann gehts mit dem surfen weiter.

Ist ja wie ne Diät, so machts Surfen doch keinen Spaß mehr...

wieso das?

ich merke keinen Unterschied ob ich im Host oder Gast surfe, bzw! doch...da der Gast komplett im ram läuft, geht da alles noch wesentlich flotter als auf einem normalen pc.

Und die VM startest du nach jeder Seite neu? Nutzt ja nix, wenn du in einer Session was einfängst und dir da der Account gehackt wird.
Ich hoffe mal, dass du nach Updates die VM auch wieder ins Image schreiben lässt?

ich experementiere gerade noch mit http://www.sandboxie.com läuft anstandslos, der Firefox ge-sandboxied'd in der Vmware im ram ;D

.

ich experementiere gerade noch mit http://www.sandboxie.com läuft anstandslos, der Firefox ge-sandboxied'd in der Vmware im ram ;D

Das grenzt an Paranoia.
AFAIK ist schon ewig nichts mehr aus Sandboxie rausgekommen.

Nur weil ich glaube, dass SIE mich verfolgen, heist das noch lange nicht, dass SIE es nicht wirklich tun ;)

Aber im Ernst. Warum nicht. Kostet nichts. Weder Geld noch Leistung. Und wenn es das letzte Löchlein stopft.... why not :)

hiermit zu (http://powerforen.de/forum/showpost.php?p=2385678&postcount=8)99.999% keine Infectionen mehr ;)
wäre "Browser in the Box" nicht besser und einfacher?

.

Du meinst und den dann noch in der Sandbox laufen...:naughty::uponder:

Ich schaue mir den mal an ;)