Ich habe geschrieben und 2 weitere Mails bekomen, eine davon mit nützlichen Tipps.
/quote \
So wurde die Schadsoftware entdeckt
-----------------------------------
Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein Server, der als Falle für durch Schadsoftware befallene Rechner dient, indem er einen Command&Control-Server eines Botnets simuliert. Ein Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter
http://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei Interesse eine gute Erklärung der Struktur eines Botnets sowie eine schematische Darstellung.
Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam versenden, usw.
Informationen zum detektierten Schädling
----------------------------------------
Den Beschwerden zufolge befindet sich in Ihrem LAN mindestens ein mit der Schadsoftware 'ZeroAccess' verseuchter Rechner. Für gewöhnlich gelangt dieses Rootkit durch Sicherheitslücken in Adobes PDF-Reader und Oracles Java-Client auf den Rechner. Meist wird es parallel zum sogenannten 'BKA-Trojaner' installiert. Wird zwar der BKA-Trojaner entfernt aber dieses Rootkit nicht, ist eine Wiederinfektion vorprogrammiert, da 'ZeroAccess' weitere Schadsoftware nachinstalliert.
Infos hierzu:
http://en.wikipedia.org/wiki/ZeroAccess_botnethttp://www.symantec.com/security_response/writeup.jsp?docid=2011-071314-0410-99http://nakedsecurity.sophos.com/zeroaccess2/(Leider nur in Englisch)
Für weitere Recherchen: Weitere Bezeichnungen für ZeroAccess sind 'Sirefef' und 'Max++'
Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt, die relevanten Zeitangaben aus den Beschwerden haben wir in die jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:
|xxxxxx Sa, 19.10.2013 11:06:08 MESZ Ermahnung
| xxxxxx Sa, 19.10.2013 13:02:09 MESZ
Mögliche Ursache: Fremdnutzung des lokalen Netzwerks
----------------------------------------------------
Beziehen Sie bei Ihren Überlegungen mit ein, dass das Problem durch einen Dritten verursacht worden sein könnte: Wenn zu dem jeweils genannten Zeitpunkt ein Gast berechtigten Zugang zu Ihrem WLAN/LAN (und damit Ihrem Internetzugang) hatte, kann es natürlich sein, dass die Aktion die zu der Beschwerde führte, von seinem Rechner ausging. Eltern sollten hierbei insbesondere auch etwaigen Besuch der Kinder "auf dem Radar" haben.
Besonders wenn der Zugang von einer Firma benutzt wird, kalkulieren
Sie bitte auch etwaige mitgebrachte Rechner von Mitarbeitern oder
gar Kunden ein. Auch Rechner von Mitarbeitern, die über ein VPN in
Ihr lokales Netzwerk gelangen, könnten die Beschwerden verursachen.
Oder Sie betreiben ein WLAN und dieses ist womöglich nicht oder nur unzureichend gesichert. Ein offenes WLAN kann durch Nachbarn auch völlig unabsichtlich mitbenutzt werden, da sich Windows gern das nächstbeste WLAN "greift", zu dem es eine Verbindung aufbauen kann. Es ist erforder- lich, das WLAN mindestens mit dem Verschlüsselungsverfahren WPA, besser WPA2, zu sichern (WEP ist unsicher!). Auch der Zugang zur Router- konfiguration muss mit einem Passwort gesichert werden.
Bitte nicht vorschnell abwehren, dass dies nicht sein könne, etwa
weil Sie genau wüssten, dass Sie das Funknetz bestens abgesichert
hätten. Das glaubten wir Ihnen durchaus, aber auch WLAN-Router sind
letztlich nur dumme, fehlerbehaftete Maschinen, die gelegentlich
abstürzen, sich aufhängen oder einen plötzlichen Neustart hinlegen.
Im letzteren Fall kann es passieren, dass die Werkseinstellungen
geladen werden und zumindest bei älteren Modellen wird das WLAN dann
"offen" betrieben. Da auch die meisten Betriebssysteme nach dem
Motto "Hauptsache, es funktioniert" äußerst benutzerfreundlich
agieren, nehmen diese die unverschlüsselte Verbindung ohne zu Murren
(also ohne Hinweis an den Benutzer) an.
Andere geben an, kein WLAN zu benutzen und diese Funktion auch
explizit in Ihrem WLAN-fähigen Endgerät deaktiviert zu haben.
Schauen Sie dennoch besser einmal nach. Viele WLAN-DSL-Router haben
am Gehäuse einen Taster, mit dem man das WLAN ein- und ausschalten
kann. Insbesondere kann man es versehentlich einschalten. Wenn man
das WLAN nicht eingerichtet hat, weil man es selbst nicht benötigt,
dann ist es zumindest bei älteren Geräten automatisch "offen", also
für jedermann in Funkreichweite nutzbar.
Allgemeine Ratschläge zur Bereinigung des befallenen Rechners
-------------------------------------------------------------
Zuallererst müssen die Schädlinge entfernt werden. Um die Chance zu erhöhen, auch weniger verbreitete Manipulationen zu finden, empfehlen wir Ihnen einige kostenlose Tools. Sie müssen zwar nicht alle verwenden, sollten aber solange fortfahren, bis Sie das Problem gefunden und beseitigt haben. Es ist zu beachten, dass Schadprogramme häufig den Aufruf und Download vieler sicherheitsrelevanten Seiten & Tools blockieren. Ggf. muss der Download daher von einem anderen Rechner aus erfolgen. Lassen Sie sich ggf. von einem Bekannten helfen!
Zusätzlich zum Virenscanner kann das "Tool zum Entfernen bösartiger Software" [MRT] von Microsoft geladen und ausgeführt werden. Unter
http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspxfinden Sie dieses zum Download vor.
Der Scanner von Malwarebytes unter
http://de.malwarebytes.org kann ggf.
weitere Schadsoftware aufspüren. (Wichtig: Nach der Installation von Malwarebytes muss diese Software zunächst einmal aktualisiert werden!)
Deutschsprachig und auch recht einfach in der Anwendung sind der 'EU-Cleaner' und der 'DE-Cleaner', die Sie unter
https://www.botfrei.de finden. Wichtig: Lesen Sie bitte unbedingt die Hinweise zu den Anwendungen auf der Seite und laden Sie vor der Benutzung bitte auch die Anleitungen herunter! Unter
https://www.botfrei.de/telekom/ finden Sie schließlich einige spezifische Tipps zu ausgewählter Schadsoftware.
Es besteht jedoch auch ein Risiko, dass Ihr Rechner unter multiplen Infektionen leidet. Denn sobald eine Schadsoftware auf einem Rechner läuft, hängt es mehr oder weniger nur noch vom Geschick des böswilligen Programmierers ab, ob sie von einer beliebigen Schutzsoftware, die auch auf dem "infizierten" System läuft, überhaupt noch entdeckt werden kann.
Ein Rootkit, das bereits beim Booten des Rechners vor dem Betriebssystem geladen wird, kann sich unsichtbar für dieses Betriebssystem machen.
Speziell zum Aufspüren von Rootkits wurde GMER konzipiert. Sie finden diese kleine Programm und einige weitere Spezialisten dieser Art unter
http://www.gmer.net Für eines dieser Tools (aswMBR.exe) ist auch eine deutschsprachige Anleitung unter
http://forum.avadas.de/threads/3418verfügbar. (Auch 'aswMBR.exe' stammt von Avast und basiert auf GMER.) Bitte beachten Sie, dass es sich bei den in diesem Absatz vorgestellten Tools um Werkzeuge für Spezialisten handelt.
Das Mittel der Wahl wären dann Boot-CDs bzw. Boot-DVDs, mit denen man den zu untersuchenden Computer starten kann, ohne dass dessen Betriebsystem geladen wird. Wir empfehlen die "DE-Cleaner Rettungssystem CD" von Avira, die Sie unter
https://www.botfrei.de/rescuecd.html zum Download vorfinden. Lesen Sie auch hier bitte unbedingt die Hinweise auf jener Seite und laden Sie vorher auch die Anleitungen herunter!
Leider haben Sie jedoch nie die Gewissheit, wirklich alles gefunden zu haben, dann wäre das System womöglich nach kurzer Zeit erneut befallen.
Guten Gewissens können wir Ihnen dann nur noch eine vollständige Neu-Installation des Betriebssystems empfehlen.
Unter
https://www.botfrei.de/neuinstallation.html finden Sie wichtige Informationen und Anleitungen, die bei einer Neu-Installation beachtet werden sollten.
Wenn Sie Ihr Sicherheitsproblem nicht selbst lösen können, raten wir Ihnen, einen Experten bzw. eine Computerwerkstatt hinzuzuziehen.
Vermeidung einer sofortigen, erneuten Infektion
-----------------------------------------------
Damit die Schädlinge nach der Bereinigung nicht wieder auftauchen, müssen Sie danach alle (!) Updates für das Betriebssystem und für die von Ihnen benutzten Anwendungen einspielen und zwar BEVOR Sie auch nur ein einziges Dokument (Insbesondere PDF-Dateien, aber auch Bilder und
Videos) öffnen oder auch nur einen einzigen USB-Datenträger daran anschließen. Das ist nämlich auch ein üblicher Verbreitungsweg. Nicht nur externe Festplatten und Speichersticks kommen in Frage, sondern auch Digitalkameras und MP3-Player bzw. einfach jedes USB-Gerät mit beschreibbaren Speicher. Denn erst mit dem Windows-Update Mitte Februar
2011 hat Microsoft diesen Weg insofern erschwert, dass der Autostart für USB-Datenträger deaktiviert wurde.
Es wäre wirklich frustrierend, wenn man beispielsweise den Rechner in stundenlanger Arbeit neu aufsetzt und wie zuvor einrichtet, nur um dann feststellen zu müssen, dass man sich die Urlaubsfotos besser erst nach dem Neustart nach den letzten Update angeschaut hätte ...
Da der Internet Explorer auch Betriebssystemsdienste zur Verfügung stellt, sollte er auch dann aktualisiert werden, wenn er nicht zum Browsen im Web benutzt wird. Für Windows XP ist die aktuelle (und
letzte) Version der Internet Explorer 8.0, für jüngere Windows-Versionen ist der Internet Explorer 9.0 aktuell.
Eine kleine FAQ zum Thema 'Schutzsoftware'
------------------------------------------
Meine Antiviren-Software hat keine Bedrohung gemeldet?
Gängige Antiviren-Software erkennt mittels herkömmlicher Methoden (Signaturen und Heuristik) gerade einmal ca. 40-60% der aktuellen Bedrohungen. (*) Dies erscheint für die meisten Nutzer mehr als ausreichend, sofern die Konfiguration auf Maximalwerte eingestellt ist, Betriebssystem, Software und Add-Ons rechtzeitig aktualisiert werden und aus vertrauenswürdigen Quellen stammen. Natürlich sollten ferner die generellen Sicherheitshinweise beachtet werden, also Popups, HTML in E-Mails, Java, Adobe Flash etc. bestenfalls deaktivieren und nur für vertrauenswürdige Inhalte aktivieren und niemals Inhalte (Software, Filme, Dokumente usw.) aus nicht vertrauenswürdigen Quellen verwenden.
Woher weiß ich, ob meine Software aktuell ist?
Nicht jedes Programm auf Ihrem PC hat eine automatische Update-Funktion.
Die für Privatanwender kostenlose Software Secunia PSI scannt Ihre Festplatte und vergleicht die Versionsnummern mit einer stets aktuellen Datenbank mehrerer tausend Anwendungen. Die Software zeigt Ihnen den direkten Downloadlink gleich mit an und unterstützt automatische
Updates:
http://www.ct.de/-1156584Ist es möglich Infektionen generell zu verhindern?
Durch Zusatzsoftware kann man Rechner so konfigurieren, dass der Anwender quasi in einem sicheren Bereich abgeschottet wird und Änderungen dort nach Benutzung einfach gelöscht werden können. Für Windows bietet diese Funktion bspw. das Programm 'Sandboxie':
http://de.wikipedia.org/wiki/SandboxieWo finde ich weitere Informationen?
Neben unseren eigenen und zahlreichen fremden Angeboten ist das Bürger-CERT des Bundesamtes für Sicherheit in der Informationstechnik sicherlich die beste Anlaufstelle. Das Bürger-CERT informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut neutral. Experten analysieren rund um die Uhr die Sicherheitslage im Internet und verschicken bei Handlungsbedarf aktuelle Warnmeldungen und
Sicherheitshinweise:
http://www.buerger-cert.de(*) Unabhängige Testergebnisse werden regelmäßig unter
http://www.av-comparatives.org/en/comparativesreviews/detection-test(englisch) veröffentlicht. Die Erkennungsraten werden durch weitere Methoden - insbesondere dem 'Behavioral Blocking' - verbessert.
Nachsorge: Zur Vermeidung weiterer Schäden alle Passwörter ändern
------------------------------------------------------------------
Nachdem Sie Ihre(n) Rechner bereinigt haben, kann weiterer Schaden durch den Missbrauch bereits gestohlener Zugangsdaten entstehen. Daher raten wir Ihnen, *alle* Passwörter zu ändern, vergessen Sie dabei nicht etwaige Passwörter für Onlinebanking, eBay, Amazon & Co., falls Sie solche Dienste nutzen. (Wichtig: Dies darf nur von einem Rechner aus erfolgen, der garantiert "sauber" ist, sonst landen die neuen Passwörter gleich wieder bei einem der Angreifer!)
Zu den mit unseren Diensten benötigten Passwörtern einige gesonderte Anmerkungen und Tipps:
Ändern Sie bitte alle Passwörter im Kundencenter unter dem URL
https://kundencenter.telekom.de/kundencenter/kundendaten/passwoerter Ihr 'Persönliches Kennwort' (für den Zugang), das 'Passwort' für
Webdienste, das 'E-Mail-Passwort' und - wenn eingerichtet - auch
das 'FTP-Passwort'
Das neue 'Persönliche Kennwort' nach der Änderung bitte auch für den Internetzugang z. B. im Router eintragen:
Achtung! Ihr Router würde möglicherweise wiederholt versuchen, sich
mit dem alten Kennwort einzuwählen und nach neun Versuchen - das
dauert maximal eine Minute - würde Ihr Internetzugang wegen dieser
Fehlversuche aus Sicherheitsgründen automatisch bis Mitternacht
gesperrt werden. Um dies zu vermeiden, gehen Sie bitte wie folgt
vor:
Denken Sie sich ein neues 'Persönliches Kennwort' aus: Dies sollte
genau acht Zeichen umfassen, denn mehr sind nicht möglich und
weniger mindern die Sicherheit. Benutzen Sie bitte jeweils
mindestens einen Groß- und Kleinbuchstaben, eine Ziffer und ein
Sonderzeichen:
Ziffern: 0-9
Buchstaben: a-z, A-Z
Erlaubte Sonderzeichen: ! # % & ( ) * + , - . / : ; < = > ? ^ _ $ §
Beachten Sie bitte, dass Ihr persönliches Kennwort das
Masterpasswort ist: Mit diesem Passwort können Sie sich in
Webmail, Kundencenter usw. anmelden, auch wenn dort ein anderes
Passwort eingerichtet wurde!
Sofern die Option 'Das neue persönliche Kennwort automatisch in
meinen Router übernehmen' erscheint, aktivieren Sie diese bitte.
Die folgenden beiden eingerückten Absätze sind dann für Sie nicht
mehr von Bedeutung.
Anderenfalls gilt: Nachdem das 'Persönliche Kennwort' geändert ist
(Bestätigung im Kundencenter), sollten Sie das Kabel vom Router
zum Splitter des DSL-Anschlusses abstecken und dann das Kennwort
auch im Router ändern. Erst danach das Kabel wieder einstecken.
Dadurch verhindern Sie, dass Ihr Router versucht, sich mit dem
nicht mehr gültigen 'Persönlichen Kennwort' einzuwählen.
Falls ein Speedport-Router verwendet wird, können Sie auf der
Startseite der Routerkonfiguration stattdessen auch einfach auf die
Schaltfläche [Internet sperren] klicken und dieses später wieder
freigeben, dann erübrigen sich die Umstände, mit Kabeln zu
hantieren.
Das 'Passwort' (für Webdienste) und das 'E-Mail-Passwort' können jeweils acht bis 16 Zeichen umfassen. Verwenden Sie unterschiedliche, sichere Passwörter mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen, z.
B. einen Punkt.
Danach sollte eine Fremdnutzung Ihres Account ausgeschlossen sein.
Hinweis zum 'E-Mail-Passwort':
Nachdem Sie das 'E-Mail-Passwort' geändert oder erstmals angelegt
haben, ist eventuell eine Änderung in den Einstellungen Ihres
E-Mail-Programms notwendig. Um Schwierigkeiten zu vermeiden, haben
wir unter
http://www.t-online.de/email-passwort Anleitungen
für die beliebtesten E-Mail-Programme zusammengestellt.
Mit freundlichen Grüßen