Schlagwort: malware

  • WLAN-Passwort mit einem Klick auslesen

    Ohne WLAN kommt man heute nicht mehr weit. Insbesondere dann, wenn man ein neues Gerät in ein bestehendes WLAN-Netzwerk einbinden möchte, benötigt man das WLAN-Passwort. Man kann es zwar mit Bordmitteln herausfinden, aber es geht auch mit nur einem Mausklick.

    Alles was man dazu benötigt, ist ein kleines Tool das sich bequem, zum Beispiel auch auf einem USB-Stick speichern lässt.

    Lade dir das Gratis-Tool WirelessKeyView von der Webseite NirSoft herunter (Zip-Datei) und entpacke es an einer passenden Stelle.

    Jetzt reicht nur noch ein Mausklick auf die Startdatei und die auf deinem Rechner gespeicherten WLAN-Passwörter werden aufgelistet. Sie lassen sich sogar in den Zwischenspeicher kopieren und an anderer Stelle wieder einfügen.

    Grundsätzlich ist WirelessKeyView mit einer englischsprachigen Bedienoberfläche ausgestattet. Eine deutsche Sprachdatei ist ebenfalls vorhanden, sie muss aber erst heruntergeladen und in den gleichen Ordner kopiert werden, wie die Startdatei (.exe). Du findest das deutsche Sprachpaket am Ende der Download-Webseite.

    Hinweis: Der einzige Nachteil des Tools ist, dass es von etlichen Anti-Viren-Programmen als Virus (False positive=Fehlalarm) erkannt wird. In diesem Fall musst du eine Ausnahme für die Datei WirelessKeyView erstellen.

  • Online-Virenschutz für Android-Mobilgeräte

    Einer der beliebtesten Online-Virenscanner ist VirusTotal. Mit diesem Tool lassen sich verdächtige Dateien und URL´s schnell und zuverlässig auf Viren untersuchen. Leider bietet VirusTotal keine Android-App für Mobilgeräte an. Aber trotzdem lässt sich VirusTotal mit deinem Androiden nutzen.

    Der Anbieter VirusTotal empfiehlt auf seiner Webseite die Android-App Virus Total Mobile von FunnyCat.

    Virus Total Mobile untersucht alle installierten Apps, inklusive der Systemapps, auf Schadware und zeigt das Ergebnis im Anschluss an.

    Die Android-App arbeitet dabei genau so, wie auch VirusTotal auf der Webseite. Die gescannten Dateien werden im Hintergrund von etlichen Antivirenwächtern wie GData, Comodo oder McAfee geprüft.

    Verdächtige Apps oder Dateien können ebenfalls zur Detailprüfung hochgeladen werden. Die Uploads landen dann direkt bei VirusTotal.

    Sollte es bei dem Ergebnis mal vereinzelt zu einer Warnung kommen, dann ist das aber noch kein Grund zur Panik. Erst wenn sich mehrere Virenscanner zu einem Programm oder Datei melden und diese farblich markiert werden, dann sollte dies zur Überprüfung hochgeladen werden. Hierzu klinkt sich die App Virus Total Mobile in den Teilen-Dialog deines Handys ein.

    Hinweis

    Virus Total Mobile ersetzt kein Anti-Viren-Programm wie Avast oder GData, da die App keinen Echtzeit-Schutz bietet. Vielmehr ist das Tool als zweite Meinung zu verstehen, oder als Vorsichtsmaßnahme bei Downloads aus dem Web.

  • Windows 10: Sandbox-Funktion einschalten

    Das Windows Update im Mai 2019 (Version 1903) enthielt neue und nützliche Funktionen. Darunter befindet sich auch ein Tool mit dem man verhindern kann, dass Schadsoftware auf den Rechner gelangt. Diese sogenannte Sandbox-Funktion muss aber erst manuell aktivert werden.

    Die Sandbox-Funktion ist eine isolierte Umgebung, in der verdächtige Programme gefahrlos getestet werden können. Viren und Trojaner haben in diesem abgeschotteten System keine Chance auf den eigentlichen Rechner zuzugreifen. Sozusagen ein Windows in Windows-System. Alle in dieser Umgebung installierten Programme werden mit Beendigung der Sandbox automatisch gelöscht.

    Zum Aktivieren tippst du in das Suchfeld der Taskleiste den Begriff Features ein und klickst in der Ergebnisliste auf den Eintrag Windows-Features aktiviern oder deaktivieren.

    Im gleichnamigen Programmfenster scrollst du bis zu dem Eintrag Windows-Sandbox, setzt ein Häkchen in die Checkbox und bestätigst deine Auswahl mit OK. Danach startest du deinen Computer neu, damit die Änderung aktiviert werden kann.

    Nach dem Neustart findest du die Sandbox als App über das Startmenü.

    Hinweis

    Viele Nutzer klagen beim Start der Sandbox über eine Fehlermeldung (z. B. Error 0x80070002), die eine Ausführung des Programms verhindert. Dieser Bug soll laut Microsoft im Juni/Juli 2019 behoben sein.

  • Windows 10: Sandbox-Schutz für den Defender

    Vielen Windows-10-Verwendern ist das Antivirenprogramm von Microsoft, der Windows Defender, Schutz genug. Trotzdem sollte man auf ein zusätzliches Sicherheits-Feature nicht verzichten: Die Sandbox.

    Auch wenn Microsoft in der Vergangenheit seinen Defender erheblich verbessert hat, kann man den Schutz noch weiter verbessern.

    Der Sandboxing-Schutz ist eine besonders gesicherte Umgebung, in der das Antiviren-Tool vor Manipulationen besser geschützt ist und eventuelle Schädlinge nicht so leicht den Rest deines Computers infizieren können.

    Meist ist die Sandbox-Funktion auf den Rechnern nicht aktiviert. Um dies zu kontrollieren, öffne mit der Tastenkombination [Strg[Alt][Entf] den Task-Manager und wechsle zum Register Details.

    Ob die Sandbox für den Defender aktiv ist, erkennst du an dem Prozess MsMpEngCP.exe. Ist dieser Prozess nicht auffindbar, dann muss er über die Windows PowerShell manuell eingeschaltet werden.

    Starte PowerShell (Administrator) per Rechtsklick auf den Startbutton, tippe den Befehl setx /M MP_FORCE_USE_SANDBOX 1 ein, und bestätige die Eingabe mit der Taste [Enter].

    Nach einem Computer-Neustart ist die Sandbox für den Defender aktiv und schützt deinen PC zusätzlich.

  • Windows 10: Adminzugang vor unberechtigtem Zugriff besser schützen

    Adminrechte sollen einen PC vor unbefugten Systemänderungen schützen. Benötigt ein Programm oder eine Änderung Adminrechte, so wird lediglich eine Sicherheitsmeldung mit einfacher Ja/Nein-Abfrage eingeblendet. Diese Abfrage ist mehr Witz als Sicherheitsfeature und kann leicht ausgehebelt werden. Hier muss die Sicherheit verschärft werden.

    Wie gefährlich die Windows-Standardeinstellung für Adminrechte ist, beweisen viele Angriffe durch Rubber Ducky, Bad USB und andere Schadsoftware. Hier geben sich USB-Sticks, die von potentiellen Opfern „zufällig“ gefunden werden, als Tastatur aus und schleusen in sekundenbruchteilen Malware auf den Rechner.

    Windows kann aber den Zutritt für Rubber Ducky und Konsorten aber auch versperren. Dazu ist eine Änderung im Registrierungseditor notwendig, die dafür sorgt, dass die Nutzung von Admin-Rechten nur durch die Eingabe des Admin-Passworts möglich ist.

    Öffne ihn dem Befehl regedit über das Fenster Ausführen, dass mit der Tastenkombination [Windows][R] geöffnet wird.

    Dann navigierst du in der Registry zu folgendem Eintrag:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    Im Ordner System öffnest du dann den Eintrag ConsentPromptBehaviorAdmin mit einem Doppelklick. Ändere den Wert von 5 auf 1 und klicke auf OK um den neuen Wert zu aktivieren. Ein Computer-Neustart ist nicht erforderlich. Zudem gilt diese Änderung für alle auf dem betreffenden Computer vorhandenen Benutzerkonten gleichermaßen.

    Die einfache Ja/Nein-Bestätigung ist ab sofort deaktiviert. Stattdessen muss nun das Admin-Passwort eingetippt werden. Und das dürfte in einem „zufällig gefundenen“ USB-Stick ja nicht vorhanden sein.

    Diese Sicherheits-Verschärfung für Admin-Rechte ist ab Windows 7 aufwärts möglich.

  • GMail: Ausführbare Dateien trotz Sperre per E-Mail versenden

    Viele E-Mail-Programme verhindern den Versand von ausführbaren Dateien (z. B. .exe-Files). Das dient dem Schutz der beteiligten Personen, sowie dem gesamten E-Mail-Verkehr. Aber trotzdem würden etliche Nutzer auf diese Möglichkeit zurückgreifen wollen. Mit einem verblüffend einfachen Trick gelingt gerade bei GMail der Versand von .exe-Dateien.

    Auch wenn der Austausch von Dateien per E-Mail nicht der komfortabelste ist, wird diese Variante immer noch gerne genutzt. Um ausführbare Dateien zu versenden, stehen dem Versender und dem Empfänger unterschiedliche Möglichkeiten zur Verfügung.

    Es ist daher empfehlenswert, die Blockade direkt beim E-Mail-Versand zu umgehen, da es beim Empfänger komplizierter ist. Um es einfach zu halten, beschreiben wir hier nur die zwei einfachsten Tricks.

    Google Drive

    Lade die ausführbare Datei in die Cloud hoch und versende anschließend den betreffenden Link. Er wird beim Empfänger – dank der Integration von Google Drive – direkt als Email-Anhang beim Empfänger angezeigt. Das funktioniert aber nur, wenn Sender und Empfänger GMail und Google Drive verwenden.

    Datei umbenennen

    Die schnellste Lösung ist aber die Umbenennung durch den Versender. Einfach die .exe-Datei beispielsweise in .txt umbenennen (z. B. Programm.exe in Programm.txt). Natürlich muss der Empfänger nach dem Download des Anhangs die Umbenennung rückgängig machen. Eine einfache Information im Nachrichtentext seitens des Versenders ist daher notwendig. Du kannst auch andere Formate wie .docx oder .xlsx verwenden.

    Das reicht schon aus, um die Blockade bei GMail zu umgehen, die nur lokal auf dem Desktop funktioniert. Die GMail-Server blockieren den Versand von .exe-Dateien nämlich nicht.

    Nicht nur .exe-Dateien werden blockiert

    Weitere Dateien die beim Versand und Empfang von GMail blockiert werden sind: .ade, .adp, .bat, .chm, .cmd, com, .cpl, .hta, .ins, .isp, .jar, .js, .jse, .lib, .lnk, .mde, .msc, .msi, .msp, .mst, .nsh, .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

  • Windows 10: Malware-Scanner im Windows Defender einschalten

    Windows-Programme können meist mehr als man ihnen zutraut. Das gilt auch für den hauseigenen Antiviren-Schutz, den Windows Defender. Wer dieses Windows-Programm nutzt, kann von einer versteckten Funktion zusätzlich profitieren. Im Defender steckt nämlich auch ein Malware-Scanner, der eigentlich nur für den Schutz von Firmennetzwerken gedacht ist. Durch ein paar kleine Änderungen in der Registry wird das Feature aktiviert.

    Änderung im Registrierungseditor

    Öffne mit der Tastenkombination [Windows][R] das Fenster Ausführen, gib den Befehl regedit ein, und bestätige die Aktion mit einem Klick auf den Button OK.

    In der Registry navigierst du dann zu folgendem Schlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

    Im Verzeichnis Windows Defender legst du mit Neu | Schlüssel einen neuen Eintrag mit dem Namen MpEngine an.

    Im Schlüssel MpEngine legst du im rechten Anzeigebereich einen weiteren Eintrag mit Neu | DWORD-Wert (32-Bit) an. Diesen nennst du MpEnablePus. Mit einem Doppelklick öffnest du den neuen Eintrag, änderst den Wert von 0 auf 1 und bestätigst die Eingabe mit OK.

    Windows Explorer oder Computer neu starten

    Abschließend startest du deinen Rechner neu, damit die Änderung aktiviert werden kann.

    Alternativ kannst du stattdessen über den Task-Manager den Windows Explorer neu starten. Du startest ihn über das Kontextmenü der Taskleiste, dass du mit einem Doppelklick aufrufst. Dann suchst du im Register Prozesse den Eintrag Windows-Explorer, klickst mit der rechten Maustaste auf diesen Prozess und wählst im Kontextmenü Neu starten aus.

    Ab sofort ist der Malware-Scanner deines Windows Defenders aktiv und meldet sich sofort, wenn sich in einem Programm Malware versteckt.

  • Firefox: Vorsicht, wenn fremde Webseiten zum Update raten

    Derzeit sind Firefox-User verstärkt Angriffen durch Schadware ausgesetzt. Die Masche: Webseiten versuchen dem Nutzer vorzugaukeln, dass der Firefox-Browser ein Update benötigt, dass man über diese Seite manuell herunterladen und installieren kann. Aber anstatt eines Updates, wird aber nur Schadsoftware installiert.

    Kein manuelles Update von fremden Webseiten durchführen

    Die Update-Meldung auf den Webseiten bedienen sich unterschiedlicher Mittel, um die User in die Irre zu führen. Da wird beispielsweise der Browser auf Vollbildmodus umgeschaltet oder es werden Pop-Ups eingesetzt. Ziel ist aber immer, dass man sofort ein manuelles Update durchführen soll.

    Natürlich wird der Browser nicht aktualisiert,  stattdessen werden Erweiterungen mit wohlklingenden Namen wie Time Tracking, FF AdBlock Protection oder FF Helper Checker installiert, die sich nicht einfach wieder entfernen lassen.

    Die Malware-Add-Ons leiten „normale“ Links auf Werbe-Webseiten um, schleusen Werbebanner ein und nutzen die Rechenleistung deines Computers um Kryptowährungen wie Monero zu schürfen. Außerdem verhindern die Erweiterungen den Zugriff auf das Add-ons-Menü deines Firefox-Browsers.

    Gegenmaßnahmen

    Hast du dir eine dieser Malware-Erweiterungen eingefangen, rufst du die Firefox-Fehlerbehebung auf. Dazu gibst du in die Adresszeile den Befehl about:support ein und bestätigst mit der Taste [Enter].

    Wähle auf der Seite Informationen zur Fehlerbehebung rechts oben die Option Mit deaktivierten Add-ons neu starten aus und bestätige den Warnhinweis mit dem Button Neu starten.

    Dann öffnest du über das Drei-Balken-Symbol den Menüpunkt Add-ons und löschst die schädlichen und/oder unbekannten Erweiterungen.

    Alternativ lässt sich über about:support der Firefox auch bereinigen. Hier werden dann automatisch alle Einstellungen und Erweiterungen entfernt. Deine gespeicherten Passwörter und Lesezeichen bleiben aber erhalten.

    Spätestens jetzt sollte nach einem weiteren Browser-Neustart die Schadsoftware verschwunden sein.

    Fazit

    Um sich vor dieser Malware zu schützen, solltest du dich generell von besuchten Webseiten verleiten lassen, Updates herunterzuladen. Standardmäßig ist Firefox so eingestellt, dass neue Updates automatisch heruntergeladen und installiert werden.

  • Namhafter Hersteller liefert Notebooks mit eingebautem Keylogger aus

    Keylogger sind kleine Programme, die alle Tastenanschläge aufzeichnen und diese an einen potenziellen Angreifer weiterleiten. Normalerweise holt man sich einen Keylogger über Schadware, infizierte Wechseldatenträger und Webseiten auf den eigenen Computer. Aber es geht auch anders. In diesem Fall hat Hewlett Packard (HP) einen Keylogger im Keypad-Treiber von über 460 Notebook-Modellen versteckt.

    Antiviren-Software schlägt nicht an

    Einen ähnlichen Fall gab es in der Vergangenheit schon einmal bei Lenovo. Antiviren-Software erkennt den Keylogger leider nicht, da es sich um zertifizierte Originalsoftware des Herstellers handelt.

    Angeblich nur ein Versehen

    Als das Schadprogramm entdeckt wurde, wiegelte HP natürlich ab und deklarierte es als ein Versehen. Ursprünglich sollte das Tool nur für Debug-Optionen dienen. Außerdem sei er ja deaktiviert.

    Einfache Aktivierung

    Aber so ungefährlich ist dieser Keylogger gar nicht. Es bedarf nur zwei Änderungen in der Registry um den Keylogger zu aktivieren. Man benötigt dazu Admin-Rechte, aber die sind ja recht einfach zu beschaffen. Das kann jeder drittklassige Hacker.

    Trotz der „beschwörten Ungefährlichkeit“ des Keyloggers, sah sich der Hersteller Hewlett Packard veranlasst, einen Patch zum Entfernen der Lauschsoftware zu veröffentlichen.

    Patch zum Entfernen

    Auf der Webseite https://support.hp.com/us-en/document/c05827409 findest du eine Liste der betroffenen Laptops inklusive den für dein Gerät passenden Patch.

    Auch wenn der Patch die Malware entfernt, kann man mal darüber nachdenken, ob das neue Notebook eines von HP sein sollte.

  • Firefox plant Zusammenarbeit mit Anti-Hacker-Dienst

    Vor einiger Zeit haben wir über den Web-Dienst von Troy Hunt, www.haveibeenpwned.com, berichtet. Hier kannst du erfahren ob deine E-Mail-Adresse und Benutzernamen von Datendieben gehackt wurden. Nun gibt es für die Nutzer des Mozilla Firefox gute Nachrichten.

    Mozilla hat kürzlich den Firefox 57 (Quantum) veröffentlicht und will damit wieder an alte Erfolge anknüpfen. Der Browser wurde komplett überarbeitet und präsentiert sich nun in einer etwas anderen Aufmachung.

    Zusätzlich arbeitet man derzeit an der Integration des Anti-Hacker-Dienstes Have I been pwned. Wann die Arbeiten mit dem Betreiber von haveibeenpwned.com und Mozilla abgeschlossen sind und die Warnungen direkt über den Firefox-Browser erfolgen, ist noch nicht ganz absehbar.

    Diese Sicherheitsvorkehrung soll zukünftig den Firefox-User automatisch warnen, wenn durch einen Datendiebstahl seine Zugangsdaten geknackt wurden.