Schlagwort: trojaner

  • Windows 10: Schutz vor Manipulation

    Bereits vor über einem Jahr, Ende 2018, hat Microsoft einen Manipulationsschutz in das Betriebssystem Windows 10 eingebaut. Leider stand die Aktivierung bisher nur den Firmenkunden zur Verfügung. Seit dem Update auf Version 1903 können auch alle Privatpersonen endlich dieses Sicherheitsfeature nutzen.

    Die Aktivierung des Manipulationsschutzes wird in den Einstellungen vorgenommen. Klicke auf Start | Einstellungen | Update und Sicherheit | Windows-Sicherheit | Windows-Sicherheit öffnen | Viren- & Bedrohungsschutz.

    Im Bereich Einstellungen für Viren- und Bedrohungsschutz gelangst du über den Link Einstellungen verwalten zum Schalter Manipulationsschutz. Ein Mausklick auf den Schalter aktiviert die Schutzfunktion, die du dann nur noch mit dem Button Ja bestätigen musst.

  • Windows 10: Sandbox-Schutz für den Defender

    Vielen Windows-10-Verwendern ist das Antivirenprogramm von Microsoft, der Windows Defender, Schutz genug. Trotzdem sollte man auf ein zusätzliches Sicherheits-Feature nicht verzichten: Die Sandbox.

    Auch wenn Microsoft in der Vergangenheit seinen Defender erheblich verbessert hat, kann man den Schutz noch weiter verbessern.

    Der Sandboxing-Schutz ist eine besonders gesicherte Umgebung, in der das Antiviren-Tool vor Manipulationen besser geschützt ist und eventuelle Schädlinge nicht so leicht den Rest deines Computers infizieren können.

    Meist ist die Sandbox-Funktion auf den Rechnern nicht aktiviert. Um dies zu kontrollieren, öffne mit der Tastenkombination [Strg[Alt][Entf] den Task-Manager und wechsle zum Register Details.

    Ob die Sandbox für den Defender aktiv ist, erkennst du an dem Prozess MsMpEngCP.exe. Ist dieser Prozess nicht auffindbar, dann muss er über die Windows PowerShell manuell eingeschaltet werden.

    Starte PowerShell (Administrator) per Rechtsklick auf den Startbutton, tippe den Befehl setx /M MP_FORCE_USE_SANDBOX 1 ein, und bestätige die Eingabe mit der Taste [Enter].

    Nach einem Computer-Neustart ist die Sandbox für den Defender aktiv und schützt deinen PC zusätzlich.

  • GMail: Ausführbare Dateien trotz Sperre per E-Mail versenden

    Viele E-Mail-Programme verhindern den Versand von ausführbaren Dateien (z. B. .exe-Files). Das dient dem Schutz der beteiligten Personen, sowie dem gesamten E-Mail-Verkehr. Aber trotzdem würden etliche Nutzer auf diese Möglichkeit zurückgreifen wollen. Mit einem verblüffend einfachen Trick gelingt gerade bei GMail der Versand von .exe-Dateien.

    Auch wenn der Austausch von Dateien per E-Mail nicht der komfortabelste ist, wird diese Variante immer noch gerne genutzt. Um ausführbare Dateien zu versenden, stehen dem Versender und dem Empfänger unterschiedliche Möglichkeiten zur Verfügung.

    Es ist daher empfehlenswert, die Blockade direkt beim E-Mail-Versand zu umgehen, da es beim Empfänger komplizierter ist. Um es einfach zu halten, beschreiben wir hier nur die zwei einfachsten Tricks.

    Google Drive

    Lade die ausführbare Datei in die Cloud hoch und versende anschließend den betreffenden Link. Er wird beim Empfänger – dank der Integration von Google Drive – direkt als Email-Anhang beim Empfänger angezeigt. Das funktioniert aber nur, wenn Sender und Empfänger GMail und Google Drive verwenden.

    Datei umbenennen

    Die schnellste Lösung ist aber die Umbenennung durch den Versender. Einfach die .exe-Datei beispielsweise in .txt umbenennen (z. B. Programm.exe in Programm.txt). Natürlich muss der Empfänger nach dem Download des Anhangs die Umbenennung rückgängig machen. Eine einfache Information im Nachrichtentext seitens des Versenders ist daher notwendig. Du kannst auch andere Formate wie .docx oder .xlsx verwenden.

    Das reicht schon aus, um die Blockade bei GMail zu umgehen, die nur lokal auf dem Desktop funktioniert. Die GMail-Server blockieren den Versand von .exe-Dateien nämlich nicht.

    Nicht nur .exe-Dateien werden blockiert

    Weitere Dateien die beim Versand und Empfang von GMail blockiert werden sind: .ade, .adp, .bat, .chm, .cmd, com, .cpl, .hta, .ins, .isp, .jar, .js, .jse, .lib, .lnk, .mde, .msc, .msi, .msp, .mst, .nsh, .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

  • Windows 10: Malware-Scanner im Windows Defender einschalten

    Windows-Programme können meist mehr als man ihnen zutraut. Das gilt auch für den hauseigenen Antiviren-Schutz, den Windows Defender. Wer dieses Windows-Programm nutzt, kann von einer versteckten Funktion zusätzlich profitieren. Im Defender steckt nämlich auch ein Malware-Scanner, der eigentlich nur für den Schutz von Firmennetzwerken gedacht ist. Durch ein paar kleine Änderungen in der Registry wird das Feature aktiviert.

    Änderung im Registrierungseditor

    Öffne mit der Tastenkombination [Windows][R] das Fenster Ausführen, gib den Befehl regedit ein, und bestätige die Aktion mit einem Klick auf den Button OK.

    In der Registry navigierst du dann zu folgendem Schlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

    Im Verzeichnis Windows Defender legst du mit Neu | Schlüssel einen neuen Eintrag mit dem Namen MpEngine an.

    Im Schlüssel MpEngine legst du im rechten Anzeigebereich einen weiteren Eintrag mit Neu | DWORD-Wert (32-Bit) an. Diesen nennst du MpEnablePus. Mit einem Doppelklick öffnest du den neuen Eintrag, änderst den Wert von 0 auf 1 und bestätigst die Eingabe mit OK.

    Windows Explorer oder Computer neu starten

    Abschließend startest du deinen Rechner neu, damit die Änderung aktiviert werden kann.

    Alternativ kannst du stattdessen über den Task-Manager den Windows Explorer neu starten. Du startest ihn über das Kontextmenü der Taskleiste, dass du mit einem Doppelklick aufrufst. Dann suchst du im Register Prozesse den Eintrag Windows-Explorer, klickst mit der rechten Maustaste auf diesen Prozess und wählst im Kontextmenü Neu starten aus.

    Ab sofort ist der Malware-Scanner deines Windows Defenders aktiv und meldet sich sofort, wenn sich in einem Programm Malware versteckt.

  • Samsung beendet den Support für drei Galaxy-Smartphones

    Dass günstige Smartphone-Modelle nicht lange mit Sicherheitsupdates versorgt werden, ist ärgerlich für den Besitzer, aber nicht weiter verwunderlich. Schließlich möchte ein Hersteller lieber seine Oberklasse-Handys an den Mann und die Frau bringen. Das ist auch bei Samsung nicht anders. Der Hersteller der beliebten Galaxy-Modelle stellt die Sicherheitsupdates für drei Modelle ein.

    Kein sicherer Betrieb garantiert

    Es handelt sich dabei um die Galaxy-Handys A3, J1 und J3, allesamt aus dem Jahr 2016. Alle drei Modelle sind bereits aus der Samsung-Mobile-Security-Liste unterstützter Geräte verschwunden.

    Besonders ärgerlich ist dies für die Käufer des Galaxy J3, die ihr Gerät noch im November 2017 bei Aldi gekauft haben.

    Natürlich funktionieren alle Smartphones weiterhin, nur werden neu entdeckte Sicherheitslücken nicht mehr geschlossen. Online-Banking über das Handy, oder andere sicherheitsrelevante Anwendungen sollten dann nicht mehr getätigt werden.

    Aktueller Virenscanner empfohlen

    Außerdem sollte man schon jetzt einen aktuellen Android-Virenscanner installieren. Der bietet zwar eine Zeitlang etwas mehr Sicherheit, ist aber kein vollwertiger Ersatz für ein aktuelles Betriebssystem.

    Empfehlenswerte Virenscanner sind unter anderem der AVL, sowie Sophos Free Antivirus and Security. Trotzdem sollten sich die Besitzer dieser Galaxy-Modelle schon jetzt Gedanken für einen Umstieg auf aktuellere Geräte machen.

    Tipp:

    Das „alte“ Gerät musst du nicht gleich entsorgen oder verkaufen. Einen guten Preis wird man für diese Modelle ohnehin nicht mehr erzielen. Vielleicht ist es dann sinnvoller, das Handy im „zweiten Leben“ als Music-Box oder als Überwachungskamera einzusetzen.

  • Firefox: Vorsicht, wenn fremde Webseiten zum Update raten

    Derzeit sind Firefox-User verstärkt Angriffen durch Schadware ausgesetzt. Die Masche: Webseiten versuchen dem Nutzer vorzugaukeln, dass der Firefox-Browser ein Update benötigt, dass man über diese Seite manuell herunterladen und installieren kann. Aber anstatt eines Updates, wird aber nur Schadsoftware installiert.

    Kein manuelles Update von fremden Webseiten durchführen

    Die Update-Meldung auf den Webseiten bedienen sich unterschiedlicher Mittel, um die User in die Irre zu führen. Da wird beispielsweise der Browser auf Vollbildmodus umgeschaltet oder es werden Pop-Ups eingesetzt. Ziel ist aber immer, dass man sofort ein manuelles Update durchführen soll.

    Natürlich wird der Browser nicht aktualisiert,  stattdessen werden Erweiterungen mit wohlklingenden Namen wie Time Tracking, FF AdBlock Protection oder FF Helper Checker installiert, die sich nicht einfach wieder entfernen lassen.

    Die Malware-Add-Ons leiten „normale“ Links auf Werbe-Webseiten um, schleusen Werbebanner ein und nutzen die Rechenleistung deines Computers um Kryptowährungen wie Monero zu schürfen. Außerdem verhindern die Erweiterungen den Zugriff auf das Add-ons-Menü deines Firefox-Browsers.

    Gegenmaßnahmen

    Hast du dir eine dieser Malware-Erweiterungen eingefangen, rufst du die Firefox-Fehlerbehebung auf. Dazu gibst du in die Adresszeile den Befehl about:support ein und bestätigst mit der Taste [Enter].

    Wähle auf der Seite Informationen zur Fehlerbehebung rechts oben die Option Mit deaktivierten Add-ons neu starten aus und bestätige den Warnhinweis mit dem Button Neu starten.

    Dann öffnest du über das Drei-Balken-Symbol den Menüpunkt Add-ons und löschst die schädlichen und/oder unbekannten Erweiterungen.

    Alternativ lässt sich über about:support der Firefox auch bereinigen. Hier werden dann automatisch alle Einstellungen und Erweiterungen entfernt. Deine gespeicherten Passwörter und Lesezeichen bleiben aber erhalten.

    Spätestens jetzt sollte nach einem weiteren Browser-Neustart die Schadsoftware verschwunden sein.

    Fazit

    Um sich vor dieser Malware zu schützen, solltest du dich generell von besuchten Webseiten verleiten lassen, Updates herunterzuladen. Standardmäßig ist Firefox so eingestellt, dass neue Updates automatisch heruntergeladen und installiert werden.

  • Namhafter Hersteller liefert Notebooks mit eingebautem Keylogger aus

    Keylogger sind kleine Programme, die alle Tastenanschläge aufzeichnen und diese an einen potenziellen Angreifer weiterleiten. Normalerweise holt man sich einen Keylogger über Schadware, infizierte Wechseldatenträger und Webseiten auf den eigenen Computer. Aber es geht auch anders. In diesem Fall hat Hewlett Packard (HP) einen Keylogger im Keypad-Treiber von über 460 Notebook-Modellen versteckt.

    Antiviren-Software schlägt nicht an

    Einen ähnlichen Fall gab es in der Vergangenheit schon einmal bei Lenovo. Antiviren-Software erkennt den Keylogger leider nicht, da es sich um zertifizierte Originalsoftware des Herstellers handelt.

    Angeblich nur ein Versehen

    Als das Schadprogramm entdeckt wurde, wiegelte HP natürlich ab und deklarierte es als ein Versehen. Ursprünglich sollte das Tool nur für Debug-Optionen dienen. Außerdem sei er ja deaktiviert.

    Einfache Aktivierung

    Aber so ungefährlich ist dieser Keylogger gar nicht. Es bedarf nur zwei Änderungen in der Registry um den Keylogger zu aktivieren. Man benötigt dazu Admin-Rechte, aber die sind ja recht einfach zu beschaffen. Das kann jeder drittklassige Hacker.

    Trotz der „beschwörten Ungefährlichkeit“ des Keyloggers, sah sich der Hersteller Hewlett Packard veranlasst, einen Patch zum Entfernen der Lauschsoftware zu veröffentlichen.

    Patch zum Entfernen

    Auf der Webseite https://support.hp.com/us-en/document/c05827409 findest du eine Liste der betroffenen Laptops inklusive den für dein Gerät passenden Patch.

    Auch wenn der Patch die Malware entfernt, kann man mal darüber nachdenken, ob das neue Notebook eines von HP sein sollte.

  • Firefox plant Zusammenarbeit mit Anti-Hacker-Dienst

    Vor einiger Zeit haben wir über den Web-Dienst von Troy Hunt, www.haveibeenpwned.com, berichtet. Hier kannst du erfahren ob deine E-Mail-Adresse und Benutzernamen von Datendieben gehackt wurden. Nun gibt es für die Nutzer des Mozilla Firefox gute Nachrichten.

    Mozilla hat kürzlich den Firefox 57 (Quantum) veröffentlicht und will damit wieder an alte Erfolge anknüpfen. Der Browser wurde komplett überarbeitet und präsentiert sich nun in einer etwas anderen Aufmachung.

    Zusätzlich arbeitet man derzeit an der Integration des Anti-Hacker-Dienstes Have I been pwned. Wann die Arbeiten mit dem Betreiber von haveibeenpwned.com und Mozilla abgeschlossen sind und die Warnungen direkt über den Firefox-Browser erfolgen, ist noch nicht ganz absehbar.

    Diese Sicherheitsvorkehrung soll zukünftig den Firefox-User automatisch warnen, wenn durch einen Datendiebstahl seine Zugangsdaten geknackt wurden.

  • Schutz vor den Kryptotrojanern Petya und Bad Rabbit

    Krypto-Trojaner verschlüsseln Dateien und ganze Festplatten. Man erhält dann mit der Lösegeldforderung einen Link mit Zahlungsanweisungen der meist ins Darkweb führt. Wegen dieser Lösegeldforderungen bezeichnet man diese Trojaner auch als Ransom-Ware. Bereits im Juli 2017 haben wir darüber berichtet, wie Petya 2 daran gehindert werden kann, eine alte Sicherheitslücke zu benutzen. Es gibt aber auch noch eine andere Möglichkeit, die man auch gegen den zur Zeit grassierenden Bad Rabbit einsetzen kann.

    Auf keinen Fall Lösegeld zahlen

    Für Computer die von einem Krypto-Trojaner befallen sind, gibt es kaum eine Möglichkeit die Daten wieder zu entschlüsseln. Auch nach Zahlung des Lösegelds ist nicht garantiert, dass du wieder Zugriff auf deinen Rechner bekommst. Vielmehr ist damit zu rechnen, dass einmal befallene Computer wiederholt Opfer der Ransom-Ware werden.

    Gratis-Schutz

    Um sich vor Petya, NotPetya, SortaPetya und Bad Rabbit zu schützen, kann man den eigenen Rechner als C&C-Server (Comand and Control-Server) tarnen.

    Bei Bad Rabbit besteht sogar eine kleine Chance nach der Infizierung noch Gegenmaßnahmen einzuleiten. Verschiedene Quellen berichten über eine Zeitspanne von zirka 15 Minuten. Da muss man blitzschnell handeln.

    Damit der Computer sich möglichst schnell als C&C-Server tarnen kann, lädst du dir auf der Seite von Github die Batchdatei Stop BadRabbit herunter. Diese ZIP-Datei ist kostenlos. Entpacke sie und starte die stop_badrabbit.bat per Rechtsklick mit Administratorrechten.

    Dadurch werden insgesamt fünf Dateien erstellt. Zwei für Bad Rabbit und drei um die Petya´s zu blockieren.

    Für Bad Rabbit werden cscc.dat sowie infpub.dat angelegt und für Petya die Dateien perfc.dll, perfc.dat und perfc.

    Installierte Dateien wieder entfernen

    Der einzige Nachteil der Batchdatei ist das Fehlen einer Löschfunktion, die diese Einträge bei Bedarf ebenso einfach wieder entfernen kann. Möchtest du später einmal die fünf Dateien löschen, dann muss du das manuell über den Windows Explorer erledigen. Du findest sie im Verzeichnis von C:\Windows.

  • Internet-Security für Alle. Von Kaspersky. Kostenlos.

    Kaspersky Lab gehört zu den beliebtesten Anbietern von Sicherheitssoftware. Mehr als 400 Millionen Benutzer und über 270.000 Firmen sprechen eine deutliche Sprache. Ab sofort bietet Kaspersky aber auch eine kostenlose Grundversion an.

    Gratis-Sicherheit für Alle

    Mit dem Programm Kaspersky Free erhält man einen Schutz gegen gefährliche Downloads, infizierte Webseiten und Spyware.

    Sie schützt zusätzlich auch gegen Phishing-Versuche, indem sie die E-Mails scannt und die Phishing-Mails automatisch blockt.

    Der Hersteller Kaspersky Lab verspricht auf seiner Webseite, dass die Sicherheits-Software nicht zu Lasten der Computer-Performance geht und man ohne Leistungseinbußen mit dem PC arbeiten kann.

    Kaspersky Free kannst du hier kostenlos herunterladen.

    Noch mehr Sicherheit

    Für 39, 95 Euro (Ein-Jahres-Lizenz) erhält man mit der Kaspersky Internet Security weitere Features wie sicheren Zahlungsverkehr, Kinderschutz, technischen Support und einige mehr.