Ende Mai 2017 fand die IT-Sicherheitsfirma Checkpoint heraus, dass bei beliebten Multimedia-Playern eine recht große Sicherheitslücke existiert, die lange Zeit unbeachtet blieb. Zu den angreifbaren Playern gehören der VLC, Popcorn-Time, Kodi (XBMC) und Stremio. Sie vereint die Angreifbarkeit über die Untertiteldateien. Insgesamt sollen ungefähr 200 Millionen Nutzer betroffen sein.
Das Gemeine an dieser Art von Angriff ist, dass die Media Player meist so konfiguriert sind, dass sie die infizierten Untertitel-Dateien automatisch aus vertrauten Verzeichnissen beziehen. Der Angreifer führt dann den im Untertiteltext versteckten Schadcode aus und übernimmt dann deinen Computer.
Die in der Vergangenheit unterlassene Bereinigung der Untertiteldateien ist nun nachgeholt worden und die Hersteller der Multimedia-Player von VLC, Popcorn-Time, Kodi und Stremio bieten entsprechende Updates an.
Das Windows Betriebssystem enthält ein integriertes Tool zum Aufspüren und Entfernen von Viren und Trojanern. Es arbeitet recht zuverlässig, kann manuell gestartet werden und ist daher gut geeignet zwischendurch mal einen Systemscan oder auch nur eine einzelne Datei auf Schädlinge zu untersuchen.
Das versteckte Tool mit dem Namen Malicious Software Removal Tool (MRT), zu Deutsch: Windows-Tool zum Entfernen bösartiger Software, wird über das Fenster Ausführen gestartet. Drücke dazu die Tastenkombination [Windows][R], tippe den Befehl mrt ein, und bestätige die Eingabe mit dem Button OK.
Auf der ersten Seite der Dialogbox des Tools MRT lässt sich über einen Link die Liste von bösartiger Software anzeigen, die durch den Scan erkannt und entfernt wird. Über die Schaltfläche Weiter gelangst du zur Auswahl der verschiedenen Überprüfungsarten.
Die Schnellüberprüfung dauert nur wenige Minuten und untersucht ausgewählte Bereiche des Betriebssystems. Die vollständige Überprüfung scannt das gesamte System und kann mehrere Stunden dauern. Bei der benutzerdefinierten Überprüfung wird über die Schnellprüfung hinaus noch weitere, von dir ausgewählte Verzeichnisse, nach Malware untersucht.
Das Windows-Tool zum Entfernen bösartiger Software ersetzt keinen permanenten Virenschutz, da in der Regel nur einmal monatlich ein automatischer Systemscan erfolgt. Nämlich dann, wenn die Windows Updates veröffentlicht werden. Es ist lediglich eine zusätzliche Sicherheitseinrichtung, die man schnell mal zwischendurch laufen lässt.
Wer kennt sie nicht, die E-Mails mit angehängten Rechnungskopien im Word-, PDF- oder Excel-Format. Im Text der Nachricht steht dann meist Letzte Mahnung, oder andere Aufforderungen, den Anhang zu öffnen. Zu weit mehr als 90 Prozent sind dies allesamt Versuche, Schadware auf unseren Rechnern zu installieren. Wer sich nicht sicher ist, ob es sich um Malware-Anhänge handelt, für den gibt es eine „Sandbox“-Variante, um diese sicher öffnen zu können.
Dilettantisch verfasste E-Mails
In der Vergangenheit konnte man diese Mails recht einfach als Betrugsversuch identifizieren, da sie oft in schlechtem Deutsch verfasst wurden. Aber die Betrüger lernen auch dazu und die Methoden werden daher immer besser.
Grundsätzlich sollte man immer vorsichtig mit dem Öffnen von Anhängen sein, die von unbekannten Absendern stammen. Aber auch von deinen Bekannten kannst du infizierte Mails erhalten. Insbesondere dann, wenn die Mail-Konten von Hackern gekapert wurden.
Google Drive als Sandbox verwenden
In diesen Fällen öffnest du die Anhänge nicht auf deinem Computer, sondern einfach in Google Drive. Dazu ist natürlich ein Google Konto (kostenlos) erforderlich.
Erstelle in Google Drive einen eigenen Ordner für die verdächtigen Anhänge und lade sie anschließend in dieses Verzeichnis hoch. Da der Cloudspeicher Google Drive sich auf den Servern von Google befindet und nicht auf deinem PC, kannst du nun den betreffenden Anhang öffnen.
Wird der Anhang nicht so konvertiert dass man ihn lesen kann, dann handelt es sich mit Sicherheit um Schadsoftware. Gleiches gilt für den Fall, dass der Inhalt des Anhangs zwar lesbar ist, aber nicht dem entspricht, was in der Email angekündigt wurde.
Im Zweifelsfall gilt aber immer: Unbekannte Anhänge nicht auf dem eigenen Rechner öffnen!
Die meisten Unternehmen versenden Mahnungen ohnehin nicht per E-Mail, sondern per Post und letzte Mahnungen werden sogar per Einschreiben zugestellt.
Vor einiger Zeit berichteten wir über die Deaktivierung der automatischen Updatefunktion bei Windows 10. Die Abschaltung des Dienstes der für das Zwangsupdate verantwortlich ist, hat noch eine weitere, negative Auswirkung. Ist der Updater nicht mehr tätig, dann versorgt er logischerweise auch die Windows-Firewall (Defender) nicht mehr mit aktuellen Viren-Signaturen.
Für diejenigen, die sich auf den Windows Defender als einzigen Schutz verlassen, bedeutet das ein erhöhtes Sicherheitsrisiko. In zwei Arbeitsschritten versorgst du deinen Defender zukünftig mit den erforderlichen Updates.
Als erstes legst du auf deinem Desktop eine neue Verknüpfung an. Dies erledigst du mit einem Rechtsklick auf eine freie Desktop-Stelle und den Befehlen Neu | Verknüpfung.
Als Speicherort legst du über den Button Durchsuchen deinen Desktop fest, klickst dann auf Weiter und vergibst einen Namen für die Verknüpfung (z. B. WindowsDefender) und bestätigst mit Fertig stellen.
Im zweiten und letzten Schritt öffnest du mit der Tastenkombination [Windows][R] das Fenster Ausführen, tippst dort den Befehl shell:startup ein und klickst auf OK.
Dadurch öffnet sich der Autostart-Ordner im Windows-Explorer. Hier ziehst du per Drag & Drop die neue Defender-Verknüpfung hinein und schließt den Windows Explorer wieder.
Mit dem nächsten Computer-Neustart wird auch der Windows Defender wieder aktiviert und mit den erforderlichen Signaturen versehen.
Bei allen Windows-Betriebssystemen bis einschließlich Windows 7 musste man selber für die Installation eines Antiviren-Programms sorgen. Das änderte sich mit der Einführung von Windows 8. Seitdem gehört der Windows Defender zu den Bordmitteln. Das hat sich auch beim neuen Windows 10 nicht geändert. Außerdem ist er nach der Installation des Betriebssystems automatisch aktiv und überwacht deinen PC. Der Nachteil des Defenders ist, dass man einen Umweg gehen muss, wenn die Zeitplanung der Virenscans geändert werden soll.
Über die Einstellungen der Defender-Desktop-App kann man das Antivirenprogramm nur Aus- und wieder Einschalten, sowie ein paar andere Einstellungen ändern. Die Zeitplanung gehört aber nicht dazu.
Dafür ist eine andere App, die Aufgabenplanung zuständig. Öffne die App über das Startmenü und folge im Verzeichnisbaum dem Pfad Aufgabenplanungsbibliothek | Microsoft | Windows | Windows Defender.
Öffne im mittleren Bereich den Eintrag Windows Defender Scheduled Scan mit einem Doppelklick. Im Fenster Eigenschaften, auf der Registerkarte Trigger, klickst du auf den Button Neu. Überprüfe aber vorher, ob der Status auf Bereit steht.
Im Dialogfenster Neuer Trigger legst du über das Aufklappmenü von Aufgabe starten die passende Einstellung (z. B. „Nach einem Zeitplan“) fest.
Entscheidest du dich für eine engmaschige Überwachung , gib den Startzeitpunkt ein und aktiviere eine der vier Möglichkeiten (Einmal, Täglich, Wöchentlich, Monatlich). Mit OK bestätigst du die neuen Einstellungen und aktivierst den geänderten Zeitplan.
Im Bereich Erweiterte Einstellungen lässt sich noch weiteres Feintuning vornehmen.
Das öffentliches WLAN nicht besonders sicher ist, haben wir in der Vergangenheit schon öfter erwähnt. Bei der Nutzung allgemein zugänglicher Hotspots muss man daher besondere Vorsicht walten lassen. Leider ist auch auf die vielgelobten HTTPS-Verbindungen kein Verlass. IT-Sicherheitsexperten haben eine Sicherheitslücke entdeckt, die ein knacken der HTTPS-Verschlüsselung ermöglicht.
Sicherheitslücke in HTTPS
Hacker nutzen dazu die Funktion Web Proxy Autodiscovery (WPAD), die eine automatische Konfiguration für den Webzugriff findet. Diese Technik, in Verbindung mit OpenID-Hotspots, ist besonders einfach angreifbar. Ausgespähte, bereits aufgerufene Webseiten, geben auf diese Weise eingegebene Anmeldedaten für Online-Banking oder -Shops preis.
Proxy Autoconfig (PAC) leitet abgefangene Webseite auf die Proxy-Server des Angreifers um, der die Anmeldedaten anschließend ausliest. Das ist aber nicht alles, was PAC kann. Mit dem Proxy Autoconfig haben es Trojaner wesentlich einfacher, den Nutzer eines Wifi-Hotspots auf Phishing-Webseiten umzuleiten.
Gegenmaßnahme
Die effektivste Möglichkeit, deine Internetverbindung über einen ungesicherten Hotspot abzusichern, ist der Aufbau eines VPN-Tunnels. Mittlerweile ist die Nutzung von VPN-Verbindungen nicht mehr so umständlich und auch nicht mehr so langsam.
Für iPhone und Android bietet Opera die App Opera VPN für schnelles und unbegrenztes Surfen. Weitere Informationen zu dieser App findest du in diesem Artikel.
Für Desktop und Notebook empfehlen wir den Opera Browser, dessen VPN-Client demnächst freigeschaltet wird. Voraussichtlich wird dies in Version 41 geschehen, die aktuelle Version ist derzeit 39.0. Bis dahin sorgt das Opera-Unternehmen SurfEasy für sichere VPN-Verbindungen.
Das Thema Datensicherung sollte für jeden Nutzer eine Überlegung wert sein, denn man speichert mit der Zeit seinen gesamten Schriftverkehr, die Erinnerungen in Form von Fotos, Videos und Audiodateien auf der Festplatte. Leider war Microsoft, im Gegensatz zu anderen Softwareanbietern, immer noch nicht in der Lage, die Datensicherung bedienerfreundlicher zu gestalten. Aber auch wenn die Wege zu den Sicherheitstools recht lang sind, bringt Windows alle erforderlichen Programme mit, um Backups anzulegen. Das einzige was du mitbringen musst, ist eine externe Festplatte.
Diese sollte mindestens so groß sein wie die HDD in deinem Computer. Noch vorteilhafter ist die Verwendung einer externen Festplatte, die ausschließlich für die Backups zur Verfügung steht.
Die Preise für externe Festplatten sind derzeit recht gering, so dass eine Anschaffung durchaus zu verschmerzen ist. Bei Aldi Süd wird derzeit eine WD Elements Portable mit 1 TB Speicher zum Spottpreis von 59,99 Euro angeboten.
Backups sollten in regelmäßigen Abständen, mindestens aber vor größeren Änderungen der Systemeinstellungen, vorgenommen werden. Alle Schritte zur Datensicherung erfolgen über die Systemsteuerung.
Windows 7/10
Klicke in der Systemsteuerung auf System und Sicherheit | Sichern und Wiederherstellen. Auf der linken Seite wählst du anschließend die Option Systemabbild erstellen. Dann folgst du nur noch den Anweisungen des Assistenten, um das Laufwerk auszusuchen und das Image zu erstellen.
Hier kannst du übrigens auch eine regelmäßige Datensicherung einstellen. Dies geschieht über die Option Sicherung einrichten.
Windows 8.x
Ähnlich wie bei Windows 7/10 wird auch die Datensicherung bei Windows 8 durchgeführt. Hier heißt der Befehl etwas anders, nämlich Dateiversionsverlauf und Systemabbildsicherung.
Leider fehlt aber bei Windows 8 die Funktion für die regelmäßige Einrichtung von Backups.
Tipp:
Für zusätzliche Sicherheit empfiehlt es sich, Multimediadateien und Fotos generell auf einer zusätzlichen, externen Festplatte abzulegen. Bei einer Vireninfektion des Rechners ist meistens nur die System-Festplatte (normalerweise C:) betroffen und externe USB-Speichermedien bleiben unbehelligt.
Das israelische Unternehmen für Sicherheitssoftware, CheckPoint, entdeckte den Trojaner HummingBad bereits im Februar 2016. Bei Bedarf rootet HummingBad das Android-Gerät und erlangt so vollen Zugriff auf das gesamte System. Das Gemeine an dieser Malware ist, dass sie fast unsichtbar agiert und man sie nicht sofort als Schadprogramm erkennen kann. Aber es gibt Anzeichen für dessen Existenz.
Offenbar stehen für die Täter (noch) nicht die persönlichen Daten eines Handy-Besitzers im Vordergrund. Vielmehr interessieren sie die Klickzahlen auf Werbebanner. Die gekaperten Geräte klicken selbstständig auf Werbebanner und sollen auf diese Weise angeblich um die 300.000 Dollar pro Monat erwirtschaften.
Anfänglich war der Trojaner auf Porno-Webseiten als Drive-by-Download eingebettet, berichtet der Sicherheits-Blog von CheckPoint. Leider fehlt hier aber der Hinweis, dass sich im Google Play Store ungefähr 200 infizierte Apps befinden, die den Trojaner HummingBad verteilen.
Infiziert oder nicht infiziert – das ist hier die Frage
Das Erkennen von HummingBad ist nicht leicht, da viele Virentools den Schädling (noch) nicht erkennen. auch wird kein App-Symbol im Homescreen angezeigt. Das sicherste Anzeichen für das Vorhandensein von HummingBad ist, dass der Trojaner automatisch weitere Apps auf ein infiziertes Gerät herunterladen und installieren kann. Findest du plötzlich neue Programme, die du nicht selbst heruntergeladen hast, dann war es sehr wahrscheinlich HummingBad. Ein weiteres Anzeichen ist, wenn in deinen installierten Apps plötzlich viel mehr Werbung als gewöhnlich angezeigt wird.
Am häufigsten sind Geräte mit dem Betriebssystem Android 4.1 bis 4.3 (Jelly Bean) und 4.4 (KitKat) betroffen. Sie machen cirka 90 Prozent der infizierten Smartphones und Tablets aus.
Was kann ich tun? Wie kann ich mich schützen?
Da HummingBad von Antivirenpogrammen derzeit noch nicht erkannt wird, gibt es auch keine Gegenmaßnahmen, die wirksam wären. Bis auf eine: Nur ein kompletter Reset auf Werkseinstellungen entfernt die Malware restlos. Bei der Neueinrichtung deines Gerätes sollte die erste App die du herunterlädst, ein guter Android-Virenscanner sein. Es wird hoffentlich nicht mehr lange dauern, bis HummingBad endlich erkannt wird.
Um eine Neuinfizierung deines Androiden zu verhindern, solltest du vor dem Download einer App aus dem Play Store auf ein paar kleine Einzelheiten achten.
Misstrauisch solltest du werden, wenn eine App chinesischer Herkunft schlampig ins Deutsche oder Englische übersetzt wurde. Meist handelt es sich hier um automatische Übersetzer wie Google Translate, deren Fehlerquote immer noch recht hoch ist. Im Zweifelsfall solltest du dich dann gegen die Installierung dieser App entscheiden.
Vorsicht ist ebenfalls geboten, wenn man ein chinesisches Import-Handy im Internet oder bei Auktionsplattformen kaufen möchte. Besonders billige oder bereits gebrauchte Geräte sollte man vor der ersten Benutzung sicherheitshalber eigenhändig auf die Werkseinstellungen zurücksetzen.
Wer sind die Betrüger?
In einem kürzlich veröffentlichtem Blogeintrag vermutet der Softwarehersteller CheckPoint das chinesische Unternehmen Yingmob, das sich als professionelles Werbeunternehmen im Web präsentiert. Diese Firma soll auch verantwortlich für den iOS-Trojaner YiSpecter sein.
So schlimm diese Malware auch ist, so tritt sie meist in Asien auf. An der Spitze stehen hier China und Indien mit weit über einer Million infizierter Geräte. In Deutschland sind es immerhin schon 40.000 Tablets und Handys, Tendenz steigend. Das zeigen die von CheckPoint ermittelten 13 Millionen Angriffsversuche.
Cookies helfen uns bei der Bereitstellung unserer Tipps. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir Cookies setzen. OKMehr erfahren
Mehr erfahren
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
