Schlagwort: schadware

  • Schadsoftware wie Petya 2 das Starten vonPsExec verweigern

    PsExec ist ein kleines Microsoft-Tool, das anderen Programmen Systemrechte verschaffen kann. Dies machen sich auch die Programmierer von Schadsoftware zu Nutze, auch wenn PsExec bereits seit zirka 15 Jahren existiert. Eigentlich wird PsExec von Administratoren verwendet um auf Computern in einem Netzwerk Remote-Programme zu starten. Auf den heimischen Computern dürfte dieses Tool wohl nicht so oft zum Einsatz kommen. Durch einen kleinen Registry-Eingriff kannst du verhindern, dass PsExec auf deinem Computer gestartet wird.

    Öffne das Fenster Ausführen, indem du die Tastenkombination [Windows][R] drückst, und starte den Registrierungseditor mit dem Befehl regedit.

    Navigiere zu folgendem Registry-Schlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Die nächsten Schritte sind davon abhängig, ob du ein 32-Bit- oder 64-Bit-Betriebssystem hast.

    Windows 64-Bit

    Im Registry-Ordner Image File Execution Options legst du über Bearbeiten | Neu | Schlüssel einen Unterschlüssel mit Namen psexec64.exe an.

    Dann öffnest du diesen neuen Schlüssel per Doppelklick und legst, ebenfalls mit Bearbeiten | Neu | Zeichenfolge, einen weiteren Eintrag namens Debugger an.

    Öffne den Eintrag Debugger, tippe in das Feld Wert eine beliebige Startdatei ein (z. B. notepad.exe) und bestätige die Eingabe mit dem Button OK.

    Nach diesem Vorbild wiederholst du diese Eingaben im Verzeichnis Image File Execution Options mit dem Schlüssel psexec.exe.

    Windows 32-Bit

    Nutzer eines Windows-32-Bit-Betriebssystems müssen lediglich den Registry-Schlüssel psexec.exe und die Zeichenfolge Debugger erzeugen, da die 64-Bit-Version auf diesem System nicht ausgeführt werden kann.

    Ab sofort wird der Versuch die PsExec zu starten, lediglich das im Debugger festgelegte Programm starten. Das gilt auch für den Fall, wenn Malware eine eigene PsExec-Version mitbringt und auf deinem Rechner installieren will.

    Solltest du später einmal die PsExec benötigen, dann lösche einfach diese Registry-Schlüssel wieder.

    Einfach aber erfolgreich

    Diese Art des Angriffs ist zugegebenermaßen recht einfach. Wie effektiv ein Angriff mit einem 15 Jahre alten Tool sein kann, beweist der Trojaner Petya 2 (NotPetya) gerade recht eindrucksvoll.

  • Vorsicht beim Scannen von QR-Codes, nicht jeder QR-Code ist seriös

    QR-Codes, einst für die Industrie entwickelt, werden immer beliebter. Werden diese zweidimensionalen Codes mit einem Smartphone gescannt, gelangt man ohne die Eingabe von Internetadressen direkt zur Webseite mit dem gewünschten Inhalt. Aber die Codes können mehr: Sie können beispielsweise damit Ihre Flugtickets bestätigen, Texte verschlüsseln oder sie als Visitenkarte. Kein Wunder also, dass diese Codes auch von Gaunern für ihre Zwecke entdeckt wurden, die versuchen mithilfe eines QR-Codes Sie zu einer Webseite weiterzuleiten die automatisch Schadsoftware auf Ihr Handy lädt. Aber wir User sind nicht ganz hilflos. Neben Ihrer eigenen Skepsis gibt es aber auch technische Hilfe.

    Was Sie selbst tun können

    Generell sollten Sie vorsichtig sein, wenn Sie in der Stadt oder an anderen öffentlichen Plätzen aufgeklebte QR-Codes finden. Auch bei Codes auf kostenlos verteilten Prospekten und Flugzetteln, die mit tollen Rabatten oder Gutscheinen werben, ist Vorsicht geboten.

    QR-Codes haben die Angewohnheit, ohne Rückfrage direkt die enthaltene Webseite anzuzeigen. Schadsoftware, wie Trojaner, können sich dann automatisch ohne Ihr Zutun installieren und Ihr Handydaten ausspionieren (Social Hacking). Daher ist es gerade bei Android-Handys empfehlenswert, in den Einstellungen den Menüpunkt „Installation von Apps aus unbekannten Quellen zulassen“ zu deaktivieren. Wenn Sie aber darauf verzichten möchten, sollte man doppelte Vorsicht walten lassen, was man scannt und einen guten Barcode-Scanner installieren. Der kann dann aber auch kostenpflichtig sein.

    Technische Hilfe

    Gut programmierte Barcode-Scanner sind (leider) meistens kostenpflichtig. Hier sollte aber nicht an ein paar Euro gespart werden. Besonderes Augenmerk sollten Sie auf zwei Funktionen:

    1. Gescannte Codes sollten vorher im Handy-Display angezeigt und die Weiterleitung zur Webseite separat bestätigt werden.
    2. QR-Codes mit einem Kurz-Link sollten vom Scanner entschlüsselt und der Originallink angezeigt werden. So kann man vor dem Verlinken sehen, mit welcher Webseite man verbunden werden würde.

    In diesem Beispiel wurde der kostenlose „Red Laser“ Barcode-Scanner verwendet. Er entschlüsselt zwar nicht den Kurz-Link, verhindert aber die automatische Weiterleitung zur (hier unbekannten) Webseite.

    bild-1-qr-code-scannen-vorsicht-automatisch-weiterleitung-verhindern-separat-bestätigen-kurzlink-entschlüsseln

    Der angezeigte Pfad verweist auf einen Artikel der Webseite „Test.de“ von Stiftung Warentest.

    Android-Nutzer können hier zum Barcodescanner von ZXing Team greifen, der beide, oben genannten Features unterstützt.

    bild-2-zxing-team-barcode-scanner-kurzlink-entschlüsseln-öffnen-separat-anzeige

    Besitzer von Geräten mit iOS-Betriebssystemen wie iPad oder iPhone sind mit „Qrafter“ von Kerem Erkan gut bedient.

    bild-3-qr-code-reader-scanner-itunes-ios-iphone-ipad-mobil-download-kerem-erkan-qrafter-zxing-team

    Dieser Barcode-Scanner unterstützt ebenfalls die Entschlüsselung von Kurzlinks und die separate Weiterleitung.

  • Mozilla Firefox: Sicherheitsprüfung aller Plug-Ins, Add-Ons und Erweiterungen

    Bei jedem Start des Mozilla Firefox wird automatisch geprüft, ob es für Ihre installierten Add-Ons ein neues Update existiert. Allerdings nicht bei allen. Plug-Ins wie der Flash-Player, VLC, etc. werden nicht geprüft. Ein potenzielles Sicherheitrisiko, denn nur bei den aktuellsten Versionen der Plug-Ins werden Sicherheitslücken geschlossen. Bei veralteten Plug-Ins ist die Gefahr eines Virenbefalls sehr groß. Abhilfe schafft ein regelmäßiger Check und die Aktualisierung der Erweiterungen. Mit ein paar Handgriffen können Sie mit Firefox alle Add-Ons und Plug-Ins aktualisieren.

    So stellen Sie sicher, dass alle Erweiterungen und Plugins auf dem neuesten Stand sind:

    1. Starten Sie den Mozilla Firefox und geben in die Adresszeile den Befehl „about:plugins“ ein und drücken die [Enter]-Taste.

    2. Im nachfolgenden Fenster wird eine Liste alle installierten Plug-Ins angezeigt, die aber für die nächsten Arbeitsschritte nicht weiter wichtig ist. Klicken Sie hier nur auf den Link: „mozilla.com/plugincheck“.

    3. Die Prüfung aller Plug-Ins erfolgt sofort und nach und nach wird das Ergebnis angezeigt.

    4. In der Ergebnisliste werden nun die Erweiterungen mit dem aktuellen Status  und einer dazugehörigen Schaltfläche angezeigt:

    • Aktuell (Up to Date) = alles ok!
    • Veraltete Version (outdated) = muß aktualisiert werden!
    • Gefahr! (vulnerable) = enthält mindestens eine Sicherheitslücke!!
    • Unbekanntes Plugin (unknown) = ist bei Firefox unbekannt und muß über die Herstellerseite aktualisiert werden.

    Zur Aktualisierung klicken Sie auf die Schaltflächen der Erweiterungen, die von Firefox erkannt wurden.

    Bei den unbekannten Plugins öffnet ein Klick auf die Schaltfläche „Suchen“, eine Google-Suche mit entsprechendem Ergebnis. Suchen Sie sich hier den passenden Anbieter heraus.

    Unsere Empfehlung: Führen Sie diesen Sicherheits-Check in wöchentlichem Rhythmus durch, um immer auf aktuellstem Stand zu sein.