Eine neue Wurm-Variante ist im Umlauf. Der P2Load-A nistet sich per Filesharing-Systemen auf den PCs ein. Momentan betroffen: Shareaza und IMesh Benutzer. Das interessante am neuen Wurm: Verwendet der Benutzer des infizierten PCs Google, dann kommen die Suchresultate nicht vom Searchengine, sondern von einer Site, die unter der Kontrolle der Angreifer liegt. Die sieht aber genauso aus wie Google, und liefert auch im großen und ganzen die gleichen Ergebnisse. Einziger Unterschied: Die 'sponsored Links' stammen nicht von Google, sondern von den Hackern angeschlossenen Werbeverteilern.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
...soviel zum thema "downloads aus nicht vertrauenswürdigen quellen".
;-)
Ich hab neulich den PC einer Bekannten gereinigt die meinte Ihr Google funktioniert nicht. Nachdem ich Ihr erklärt habe das Sie sicher kein eigenes Google hat habe ich mir das mal angesehen.
Irgendenwas hatte die DATEI "hosts" im Verzeichniss
"%winroot%\system32\drivers\etc"
manipuliert.
Für die welche es nicht wissen in dieser Datei werden
Namensauflösungen für IP-Adressen vorgespeichert. Alle von Windows
aufgelösten DNS über die API-Funktion gethostbyname() können hier vorgespeichert werden. Man kann im IE nicht erkennen auf welcher IP-Adresse man tatsächlich gerade ist. Wenn in dieser Datei also jemand
google.de 666.6.6.6
einträgt, danach neustartet oder mit ipconfig den DSN-Cache erneuert
landet er im IE wenn er "google.de2 eintippt auf der Ip 666.6.6.6 statt auf der echten IP von google.de Wenn die Seite Tatsache wie Google aussieht ist der Bluff perfekt. Nicht auszudenken wenn das mit Ebay-Daten usw. auch passiert... Wenn der Bösewicht dann in die Mitte stellt ("Man in the Middle") und das nur durchreicht und dabei die Passwörter trackt ist der Schaden unter Umständen gross.
Normalerweise steht in der Datei "hosts" nur:
127.0.0.1 localhost
Der Wurm auf dem PC meiner Bekannten hatte dabei alle denkbaren Schreibweisen von Google mit allen nur denkbaren Domains auf eine andere IP umgeleitet.
Das gleiche tat er auch mit yahoo und mail.yahoo.
Allerdings war die Google-Imitation fehlerhaft, es kamen keine Suchergebnisse... Meine bekannte hätte das sicher bis heute nicht bemerkt wenn das nicht fehlerhaft gewesen wäre. Erschreckt hat mich das Ihr Anti-Viren-Packet von Symantec das ohne Probleme hat durchgehen lassen. Eine kleine Text-Datei zu tracken ist ja nun nicht so schwer...
...Und es ist auch nicht schwer, die HOSTS-Datei mit einem Schreibschutz zu versehen.
So kann schon mal einiges an Ärger vermieden werden.
Das hilft dann auch schon, wenn man aus lauter Bequemlichkeit als Admin arbeitet, so wie ich. ;-)
Gruß, Brezel
Wenn Du aber als Admin arbeitest, so tut es jedes Programm das Du startest auch und somit ist ein Schreibschutz an sich kein Problem mehr für das Programm.
und noch geil ist, wenn die leute bei der installation von winxp
das passwort des administrators ( der den man nie wieder sieht) einfach leer lassen.
... was bei einem Einzelplatzrechner mit einem einzigen Benutzer (typischer Heim-PC) völlig egal ist, wenn man eh als Admin unterwegs ist.
Welche Rechte sollte man preisgeben, wenn eh schon alle zur Verfügung stehen? ;-)
Ja, das ist schon klar, das jedes Programm dann mit Adminrechten läuft und damit entsprechende Möglichkeiten hat.
Über den Browser kann ich keine Programme starten sondern sie nur downloaden.
Ich lasse ja nicht einfach jedes Programm auf mein System los. :-)
Wenn ich als Admin eine schreibgeschützte Datei verändere und dann versuche sie zu speichern, kommt eine Fehlermeldung das der Zugriff verweigert wird.
Das gilt natürlich auch für die HOSTS-Datei.
Ich glaube nicht das ein Programm, das versucht, speziell die HOSTS-Datei zu verändern, standardmäßig einen Schreibschutz entfernt, da diese Datei normalerweise nicht schreibgeschützt ist.
Abgesehen davon ist das natürlich kein 100% Schutz - aber EINE Möglichkeit, mit geringem Aufwand ETWAS sicherer zu sein.
Nicht mehr und nicht weniger.
Gruß, Brezel
Ja, da hast Du recht, und so lange es nicht häufig anzutreffen ist, daß die HOSTS schreibgeschützt ist wird sich auch kaum ein Programmierer von Schadsoftware die Mühe machen.
Ich wollte nur darauf hinweisen, daß es eben beim Surfen unter Adminaccount alles andere als eine wasserdichte Lösung ist.
***Ich wollte nur darauf hinweisen, daß es eben beim Surfen unter Adminaccount alles andere als eine wasserdichte Lösung ist.***
Ja, absolut richtig. Leider ist es aber immer noch der Normalzustand. Ich kenne kaum jemanden, der sich die Mühe macht, sich einen eingeschränkten Account zum Surfen und arbeiten anzulegen.
Obwohl ich das selbst auch gerne empfehle. :-)
Ich bin nun mal auch ne faule Socke und habe keine Lust zwischen 2 Account zu wechseln, da ich doch recht oft am System herumspiele und Dinge ausprobiere.
Ja, ich weiß - es gibt da noch "Ausführen als...", aber die Faulheit siegt.
Dafür sichere ich alle wichtigen Daten ausserhalb des PC´s und mache gelegentlich Backups.
Für den privaten Bereich ist das für mich ausreichend. Im gewerblichen Bereich sollte man natürlich unbedingt konsequenter sein.
Gruß, Brezel
Das mit dem "Ausführen als..." ist gar nicht so tragisch. Ich arbeite unter einem eingeschränken Account. In der Schnellstartleiste habe ich einen Link auf eine kleine Batchdatei, die mit "runas" den Explorer als Admin startet, nachdem ich das Adminpasswort eingeben muß. Von da aus erreicht man eigentlich alle nötigen Systemeinstellungen ziemlich direkt.
Hey, das mit der Verknüpfung ist eine gute Idee. Das werde ich bei Gelegenheit mal probieren. Danke für den Tipp.
Gruß, Brezel
Also ein API-Befehl:
DeleteFile("c:\\blabla\\hosts\0", true);
löscht eine Datei schreibgeschützt oder nicht.
Sie danach durch eine eigene zu ersetzen ist dann auch nicht mehr schwer.