Schlagwort: gegenmaßnahme

  • Schadsoftware wie Petya 2 das Starten vonPsExec verweigern

    PsExec ist ein kleines Microsoft-Tool, das anderen Programmen Systemrechte verschaffen kann. Dies machen sich auch die Programmierer von Schadsoftware zu Nutze, auch wenn PsExec bereits seit zirka 15 Jahren existiert. Eigentlich wird PsExec von Administratoren verwendet um auf Computern in einem Netzwerk Remote-Programme zu starten. Auf den heimischen Computern dürfte dieses Tool wohl nicht so oft zum Einsatz kommen. Durch einen kleinen Registry-Eingriff kannst du verhindern, dass PsExec auf deinem Computer gestartet wird.

    Öffne das Fenster Ausführen, indem du die Tastenkombination [Windows][R] drückst, und starte den Registrierungseditor mit dem Befehl regedit.

    Navigiere zu folgendem Registry-Schlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Die nächsten Schritte sind davon abhängig, ob du ein 32-Bit- oder 64-Bit-Betriebssystem hast.

    Windows 64-Bit

    Im Registry-Ordner Image File Execution Options legst du über Bearbeiten | Neu | Schlüssel einen Unterschlüssel mit Namen psexec64.exe an.

    Dann öffnest du diesen neuen Schlüssel per Doppelklick und legst, ebenfalls mit Bearbeiten | Neu | Zeichenfolge, einen weiteren Eintrag namens Debugger an.

    Öffne den Eintrag Debugger, tippe in das Feld Wert eine beliebige Startdatei ein (z. B. notepad.exe) und bestätige die Eingabe mit dem Button OK.

    Nach diesem Vorbild wiederholst du diese Eingaben im Verzeichnis Image File Execution Options mit dem Schlüssel psexec.exe.

    Windows 32-Bit

    Nutzer eines Windows-32-Bit-Betriebssystems müssen lediglich den Registry-Schlüssel psexec.exe und die Zeichenfolge Debugger erzeugen, da die 64-Bit-Version auf diesem System nicht ausgeführt werden kann.

    Ab sofort wird der Versuch die PsExec zu starten, lediglich das im Debugger festgelegte Programm starten. Das gilt auch für den Fall, wenn Malware eine eigene PsExec-Version mitbringt und auf deinem Rechner installieren will.

    Solltest du später einmal die PsExec benötigen, dann lösche einfach diese Registry-Schlüssel wieder.

    Einfach aber erfolgreich

    Diese Art des Angriffs ist zugegebenermaßen recht einfach. Wie effektiv ein Angriff mit einem 15 Jahre alten Tool sein kann, beweist der Trojaner Petya 2 (NotPetya) gerade recht eindrucksvoll.

  • Windows 7: Herausfinden, ob jemand den Computer heimlich nutzt

    Haben Sie manchmal das Gefühl, dass Ihre Kinder oder Kollegen heimlich Ihren Computer nutzen? Mit einer selbst erstellten Batch-Datei können Sie überprüfen, wann und wie oft der PC gestartet wurde. Die einfache und schnell erstellte Batch-Datei eignet sich auch hervorragend für die Kontrolle am Arbeitsplatz.

    Rechnerstarts protokollieren

    Die Batch-Datei protokolliert jeden Start des Computers mit Datum und Uhrzeit. Und so funktioniert es:

    1. Zuerst legen Sie den folgenden Ordner an:

    C:log

    2. Dann starten Sie einen Texteditor, zum Beispiel „Word-Pad“ und geben dort folgende Befehle ein:

    @echo off
    echo %DATE% %TIME% >> C:loglog.txt
    exit

    3. Mit der Funktion „Speichern unter“ legen Sie die Datei unter dem Namen „log.bat“ in folgendem Ordner ab:

    C:Benutzer<Benutzername>AppDataRoamingMicrosoftWindowsStartmenüProgrammeAutostart

    Ab sofort wird jeder Computer-Neustart protokolliert und eine entsprechende Protokolldatei im Ordner „C:log“ abgelegt.

    Bewahrheitet sich Ihre Befürchtung, können Sie nun weitere Schritte zur Absicherung Ihres Computers durchführen und zum Beispiel die Kennwörter ändern. Bei Einrichtung einer Videoüberwachung sollten Sie sich allerdings vorher rechtlich beraten lassen.

  • Welche Daten übermittelt mein Internet-Browser ungefragt und was kann ich dagegen tun?

    Jeder hinterlässt beim Surfen im Internet verwertbare und nachverfolgbare Spuren. Der eine mehr, der andere weniger. Man merkt es meistens daran, dass man bei verschiedenen Webseiten immer öfter Produkte und Artikel vorgeschlagen bekommt, die maßgeschneidert erscheinen. Das ist nicht weiter schlimm, wenn man Musik oder Elektronik-Artikel kaufen will. Diese Daten können an Dritte weitergegeben werden. Was damit geschieht, weiß man aber nie genau. Um das zu verhindern oder zumindest sehr einzuschränken, sollte man wissen, welche Daten der eigene Browser übermittelt. Der Online-Dienst „Panopticlick“ ermittelt diese Daten und gibt Ratschläge, was Sie dagegen tun können.

    Ihr digitaler Fingerabdruck im Netz

    „Panopticlick“ ist kostenlos und erfordert keinen Download. Einfach den Browser starten und die Webseite panopticlick.eff.org aufrufen. Dort einfach den roten Button „Test me“ anklicken und Ihr Browser wird online geprüft.

    Ein paar Augenblicke später wird das Ergebnis angezeigt. In der Spalte „one in x browsers have this value“ enthaltenen Werte zeigen die Menge der Informationen an, die übermittelt werden. Je höher dieser Wert ist, desto wahrscheinlicher ist es, das Ihr Browser bei einem wiederholten Besuch einer Seite wiedererkannt wird.

    Weitere Gegenmaßnahmen und ausführliche Darstellungen werden noch auf folgenden Seiten (allerdings nur auf Englisch) bereitgestellt:

    So werden Sie eindeutig erkannt

    Das Besondere am digitalen Fingerabdruck: Sie können auch dann eindeutig erkannt werden, wenn Sie klassische Erkennungswerkzeuge wie Cookies ausschalten. Es geht auch ohne Cookies – ganz einfach anhand Ihrer Browser-Konstellation.

    Die Wiedererkennung Ihres Browsers setzt sich aus mehreren Faktoren zusammen, etwa aus den installierten Schriften, die Zeitzone, der Bildschirmgröße oder dem HTTP-Header. Als Besonderheiten sind die verwendete Schriftarten und Plug-Ins zu nennen. Die wirkungsvollste Gegenmaßnahme ist das Abschalten von JavaScript, da dieses für die Erkennung von Schriftarten und Plug-Ins verantwortlich ist. Außerdem sind veraltete JavaScript-Versionen sehr anfällig für Viren und Trojaner. Der Nachteil hierbei ist, dass JavaScript oft für eine reibungslose Darstellung von Webseiten benutzt wird.

    Eine Möglichkeit ist, einen weit verbreiteten Browser mit aktuellster Version zu nutzen. Diese Standard-Daten können nicht so einfach einem einzelnen Nutzer zugeordnet werden. Dabei sollten Sie auch darauf achten, dass nur die wirklich benötigten Plug-Ins und Schriftarten installiert sind.

    Der bei vielen Browsern bereits enthaltene Privatmodus soll zukünftig standardisierte Daten zu User-Agent und Plug-Ins senden. Derzeit ist das aber noch nicht der Fall. Bis das reibungslos funktioniert, wird noch etwas Zeit vergehen.

    Nutzer des Firefox-Browsers haben es schon jetzt etwas besser. Mit dem Add-On „NoScript“ können Sie auf Basis einer Positivliste JavaScript zulassen, damit diese Webseiten problemlos dargestellt werden können. Bei Seiten, denen Sie nicht vertrauen, können Sie per One-Klick die Scripts unterbinden.