Schlagwort: gegenmaßnahme

Schadsoftware wie Petya 2 das Starten vonPsExec verweigern
PsExec ist ein kleines Microsoft-Tool, das anderen Programmen Systemrechte verschaffen kann. Dies machen sich auch die Programmierer von Schadsoftware zu Nutze, auch wenn PsExec bereits seit zirka 15 Jahren existiert. Eigentlich wird PsExec von Administratoren verwendet um auf Computern in einem Netzwerk Remote-Programme zu starten. Auf den heimischen Computern dürfte dieses Tool wohl nicht so oft zum Einsatz kommen. Durch einen kleinen Registry-Eingriff kannst du verhindern, dass PsExec auf deinem Computer gestartet wird.
Öffne das Fenster Ausführen, indem du die Tastenkombination [Windows][R] drückst, und starte den Registrierungseditor mit dem Befehl regedit.
Navigiere zu folgendem Registry-Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Die nächsten Schritte sind davon abhängig, ob du ein 32-Bit- oder 64-Bit-Betriebssystem hast.
Windows 64-Bit
Im Registry-Ordner Image File Execution Options legst du über Bearbeiten | Neu | Schlüssel einen Unterschlüssel mit Namen psexec64.exe an.
Dann öffnest du diesen neuen Schlüssel per Doppelklick und legst, ebenfalls mit Bearbeiten | Neu | Zeichenfolge, einen weiteren Eintrag namens Debugger an.
Öffne den Eintrag Debugger, tippe in das Feld Wert eine beliebige Startdatei ein (z. B. notepad.exe) und bestätige die Eingabe mit dem Button OK.
Nach diesem Vorbild wiederholst du diese Eingaben im Verzeichnis Image File Execution Options mit dem Schlüssel psexec.exe.
Windows 32-Bit
Nutzer eines Windows-32-Bit-Betriebssystems müssen lediglich den Registry-Schlüssel psexec.exe und die Zeichenfolge Debugger erzeugen, da die 64-Bit-Version auf diesem System nicht ausgeführt werden kann.
Ab sofort wird der Versuch die PsExec zu starten, lediglich das im Debugger festgelegte Programm starten. Das gilt auch für den Fall, wenn Malware eine eigene PsExec-Version mitbringt und auf deinem Rechner installieren will.
Solltest du später einmal die PsExec benötigen, dann lösche einfach diese Registry-Schlüssel wieder.
Einfach aber erfolgreich
Diese Art des Angriffs ist zugegebenermaßen recht einfach. Wie effektiv ein Angriff mit einem 15 Jahre alten Tool sein kann, beweist der Trojaner Petya 2 (NotPetya) gerade recht eindrucksvoll.
ControlC: Kopiervorgänge der Zwischenablage überwachen und aufzeichnen
Diebstahl von Daten ist nach wie vor ein Problem. Es gibt etliche Möglichkeiten wie der Diebstahl von statten geht. Daten auf einen USB-Stick zu kopieren, oder mit Nutzung der Funktion „Kopieren/Einfügen“ Daten zu vervielfältigen, sind die einfachsten und häufigsten Tricks. Aber auch aus Jugendschutzgründen kann man zu Hause darauf achten, was die eigenen Kinder kopieren und vielleicht an Freunde weitergeben. Bevor Abwehrmaßnahmen getroffen werden, steht die Analyse der Kopiervorgänge. Mit dem kostenlosen Tool „Control C“ können Sie die Zwischenablage überwachen und alle Tätigkeiten aufzeichnen.
Was wird denn da kopiert?
Um das Programm „Control C“ herunterzuladen rufen Sie in Ihrem Browser die Webseite www.controlc.com auf und klicken auf den Button „download now“. Folgen Sie anschließend den Installationsanweisungen .
Nach der erfolgreichen Installation startet das Programm automatisch mit der Überwachung der Zwischenablage. Die Installation legt auf Ihrem Desktop eine Verknüpfung mit „ControlC“ an. Soll die Überwachung nicht sofort ersichtlich sein, dann löschen Sie einfach die Verknüpfung. Für den Zugriff wird das Icon nicht unbedingt gebraucht, da es ohnehin über die ausgeblendeten Symbole der Taskleiste (Superbar) auch aufgerufen werden kann.
Bei ersten Start des Programms legen Sie zuerst ein Passwort an, damit nicht jeder Zugang zu Ihren Aufzeichnungen erhält. Führen Sie dazu einen Doppelklick auf das Desktop-Icon aus, geben Sie ein Passwort ein, und wiederholen Sie es im nächsten Feld. Die Schaltfläche „Set Password“ speichert es ab.
Jeder neue Doppelklick auf das Icon oder die Taskleisten-Eintragung öffnet das Programm in einem Browser-Tab. Geben Sie dann Ihr Passwort ein und klicken auf „Login“.
Das Ergebnis aller Aufzeichnungen der Zwischenablage werden in Listenform angezeigt. Es werden dabei aber nur die Kopiervorgänge registriert, die mit [Strg][C], beziehungsweise [Ctrl][C] und mit Rechtsklick der Maus (Kopieren/Einfügen) vorgenommen werden.
Das Programm „ControlC“ ist mit den 32- und 64Bit-Versionen von Windows 7, Vista und XP kompatibel.
Fazit: Es ist ein nettes kleines Schnüffel-Tool um herauszufinden, was so alles auf dem eigenen PC kopiert wird.
Windows 7: Herausfinden, ob jemand den Computer heimlich nutzt
Haben Sie manchmal das Gefühl, dass Ihre Kinder oder Kollegen heimlich Ihren Computer nutzen? Mit einer selbst erstellten Batch-Datei können Sie überprüfen, wann und wie oft der PC gestartet wurde. Die einfache und schnell erstellte Batch-Datei eignet sich auch hervorragend für die Kontrolle am Arbeitsplatz.
Rechnerstarts protokollieren
Die Batch-Datei protokolliert jeden Start des Computers mit Datum und Uhrzeit. Und so funktioniert es:
1. Zuerst legen Sie den folgenden Ordner an:
C:log
2. Dann starten Sie einen Texteditor, zum Beispiel „Word-Pad“ und geben dort folgende Befehle ein:
@echo off
echo %DATE% %TIME% >> C:loglog.txt
exit
3. Mit der Funktion „Speichern unter“ legen Sie die Datei unter dem Namen „log.bat“ in folgendem Ordner ab:
C:Benutzer<Benutzername>AppDataRoamingMicrosoftWindowsStartmenüProgrammeAutostart
Ab sofort wird jeder Computer-Neustart protokolliert und eine entsprechende Protokolldatei im Ordner „C:log“ abgelegt.
Bewahrheitet sich Ihre Befürchtung, können Sie nun weitere Schritte zur Absicherung Ihres Computers durchführen und zum Beispiel die Kennwörter ändern. Bei Einrichtung einer Videoüberwachung sollten Sie sich allerdings vorher rechtlich beraten lassen.
Welche Daten übermittelt mein Internet-Browser ungefragt und was kann ich dagegen tun?
Jeder hinterlässt beim Surfen im Internet verwertbare und nachverfolgbare Spuren. Der eine mehr, der andere weniger. Man merkt es meistens daran, dass man bei verschiedenen Webseiten immer öfter Produkte und Artikel vorgeschlagen bekommt, die maßgeschneidert erscheinen. Das ist nicht weiter schlimm, wenn man Musik oder Elektronik-Artikel kaufen will. Diese Daten können an Dritte weitergegeben werden. Was damit geschieht, weiß man aber nie genau. Um das zu verhindern oder zumindest sehr einzuschränken, sollte man wissen, welche Daten der eigene Browser übermittelt. Der Online-Dienst „Panopticlick“ ermittelt diese Daten und gibt Ratschläge, was Sie dagegen tun können.
Ihr digitaler Fingerabdruck im Netz
„Panopticlick“ ist kostenlos und erfordert keinen Download. Einfach den Browser starten und die Webseite panopticlick.eff.org aufrufen. Dort einfach den roten Button „Test me“ anklicken und Ihr Browser wird online geprüft.
Ein paar Augenblicke später wird das Ergebnis angezeigt. In der Spalte „one in x browsers have this value“ enthaltenen Werte zeigen die Menge der Informationen an, die übermittelt werden. Je höher dieser Wert ist, desto wahrscheinlicher ist es, das Ihr Browser bei einem wiederholten Besuch einer Seite wiedererkannt wird.
Weitere Gegenmaßnahmen und ausführliche Darstellungen werden noch auf folgenden Seiten (allerdings nur auf Englisch) bereitgestellt:
- panopticlick.eff.org/self-defense.php
- www.eff.org/deeplinks/2010/01/primer-information-therory-and-privacy
So werden Sie eindeutig erkannt
Das Besondere am digitalen Fingerabdruck: Sie können auch dann eindeutig erkannt werden, wenn Sie klassische Erkennungswerkzeuge wie Cookies ausschalten. Es geht auch ohne Cookies – ganz einfach anhand Ihrer Browser-Konstellation.
Die Wiedererkennung Ihres Browsers setzt sich aus mehreren Faktoren zusammen, etwa aus den installierten Schriften, die Zeitzone, der Bildschirmgröße oder dem HTTP-Header. Als Besonderheiten sind die verwendete Schriftarten und Plug-Ins zu nennen. Die wirkungsvollste Gegenmaßnahme ist das Abschalten von JavaScript, da dieses für die Erkennung von Schriftarten und Plug-Ins verantwortlich ist. Außerdem sind veraltete JavaScript-Versionen sehr anfällig für Viren und Trojaner. Der Nachteil hierbei ist, dass JavaScript oft für eine reibungslose Darstellung von Webseiten benutzt wird.
Eine Möglichkeit ist, einen weit verbreiteten Browser mit aktuellster Version zu nutzen. Diese Standard-Daten können nicht so einfach einem einzelnen Nutzer zugeordnet werden. Dabei sollten Sie auch darauf achten, dass nur die wirklich benötigten Plug-Ins und Schriftarten installiert sind.
Der bei vielen Browsern bereits enthaltene Privatmodus soll zukünftig standardisierte Daten zu User-Agent und Plug-Ins senden. Derzeit ist das aber noch nicht der Fall. Bis das reibungslos funktioniert, wird noch etwas Zeit vergehen.
Nutzer des Firefox-Browsers haben es schon jetzt etwas besser. Mit dem Add-On „NoScript“ können Sie auf Basis einer Positivliste JavaScript zulassen, damit diese Webseiten problemlos dargestellt werden können. Bei Seiten, denen Sie nicht vertrauen, können Sie per One-Klick die Scripts unterbinden.