Archiv Windows Vista 2.610 Themen, 16.620 Beiträge

Verfolgung starten Optionen

Kompromitiertes System

dirk42799 / 8 Antworten / Flachansicht Nickles

Hallo Forum,

soeben erhielt ich eine Mail eines Kunden mit folgendem Inhalt:
http://www.droegenkamp.de/nickles_fehler.JPG

Im ersten Moment fiel mir natürlich nur die irrsinnig-schlechte Rechtschreibung in dem Fenster im Vordergrund auf.
Dann erst entdeckte ich die Auffälligkeiten im eigentlichen Sicherheits-Center-Fenster.

Auf dem Gerät ist - fehlerfrei laut Taskleiste - BitDefender installiert.
Welche Handlung des Kunden genau zu dem "Phänomen" geführt hat, konnte er mir nicht mehr sagen. Wenn er (was er natürlich schon getan hat) auf "OK" klickt, landet er auf einer englisch-sprachigen Seite, die für USD 49,-- Antivirensoftware verkaufen will.

Startet er das Sicherheitscenter über den gewöhnlichen Weg, öffnet sich auch besagtes Fenster im Hintergrund, in dem Antivirussoftware als inaktiv geführt wird. Klickt er dort auf Empfehlungen, erscheint das Fenster im Vordergrund. Selbiges taucht aber auch "von alleine" in regelmäßigen Abständen auf.

Sagt euch die Meldung etwas, kennt ihr die u. habt evtl. einen Lösungsvorschlag?

Ich verfolge bei kompromitierten Systemen für gewöhnlich den Ansatz "einmal kompromitiert, immer kompromitiert". Aber wenn ich irgendwie um eine Neuinstallation rumkommen kann... gerne. :-)

Gerade erhielt ich auch telefonisch noch den Nachtrag, daß - als weiteres Symptom - CDs/DVDs nicht gebrannt werden können. Der Brennvorgang läuft wohl durch, aber der Datenträger ist anschl. leer.

Na, mutige Lösungen vor! ;-)

Danke und Gruß,

Dirk

Könnte Scareware sein! http://de.wikipedia.org/wiki/Scareware REPI
Danke für die Info. Den Begriff kannte ich noch nicht. Hoffentlich werde ... dirk42799
Eventuell führt Combofix zum Erfolg ... hotte444
Auch Dir danke, Hotte! Vermutlich läuft das auf vergleichsweise harmlose ... dirk42799
Harmlos??? zumindest hat es Bitdefender ausgehebelt,ev. sogar mehr! hotte444
...vergleichsweise harmlose Malware... Daß das immer noch bedenklich ist, ... dirk42799
shrek3 dirk42799 „...vergleichsweise harmlose Malware... Daß das immer noch bedenklich ist, ist...“
Optionen

Ich habe selber Kunden, die mich mit ihren Scareware-Problemen aufsuchen.

Als Dienstleister kann und will ich es mir nicht leisten, dem Kunden eine Reinigungsprozedur anzubieten,

  • von der ich nicht weiß, wie gründlich sie vorgeht
  • welche Schädlinge sonst noch auf dem Rechner vorhanden sind
  • die oft auch noch zeitaufwändiger als eine Neuinstallation ist
  • und wo ich den Rechner über mehrere Tage intensiv überprüfen müsste, um sicher zu sein, dass da nichts nachkommt
Und ich kann es mir und dem Kunden auch nicht zumuten, für diesen hohen Aufwand auch noch mehr Geld abzuverlangen als er für eine Neuinstallation bezahlen müsste.

Wenn es dir nicht gelingt, das System clean zu kriegen, wirst du den Kunden eher verloren haben.

Zu mir sind jedenfalls Kunden "übergelaufen", weil die Reinigungsversuche meiner Konkurrenten im Endeffekt nichts gebracht haben.

Diese Kunden werden dich im Regelfall auch nicht mehr weiter empfehlen - das bleibt hängen.

Die organisierte Computerkriminalität ist darüber hinaus im wahrsten Sinne "organisiert" - neben Prostitution, Drogen, Waffenschmuggel dürfte das ein weiteres Standbein sein.

Es gibt dort regelrechte Arbeitsteilung - die einen trachten danach, möglichst viele Rechner unter ihrer Kontrolle zu bekommen. Man bemerkt zunächst noch nichts davon - der Rechner reagiert eher wie gewohnt.

Sinn und Zweck dieser "Kompromittierung" ist das Vermieten dieser Millionen Rechner an diejenigen, die u.a. mit ihrem Scareware-Müll Geld verdienen, masenhaft Spams versenden wollen, auf Datendiebstahl aus sind, usw.

Natürlich gibt es auch Webseiten, wo man diesen Müll ganz normal herunterladen kann.
Auch können andere Webseiten infiltriert worden sein, so dass das bloße Ansteuern dieser Webseite ungewolltes Herunterladen zur Folge hat, wenn das Sytem nur ungepatcht genug ist.

Wie auch immer - gehe besser davon aus, dass dieser Rechner vorher schon infiltriert war.
Dass Bit Defender überhaupt nicht reagiert, spricht eher dafür als dagegen.

Denn natürlich können vor allem dann Rechner erfolgreich gekapert werden, wenn man Angriffsvektoren gegen deren Hauptfeinde in den Schädling einprogrammiert.

Scareware ist meist nicht der Ausgangspunkt einer Infektion, sondern eine Folgeerscheinung - auch wenn ich nicht ausschließen will, dass auch Scareware dazu in der Lage sein kann.

Für deutlich wahrscheinlicher halte ich es aber, dass Vorarbeit an diesem Rechner geleistet wurde.

Gruß
Shrek3
...kennt ihr die u. habt evtl. einen Lösungsvorschlag? Neben einer ... jueki