{"id":7169,"date":"2016-06-02T18:15:38","date_gmt":"2016-06-02T16:15:38","guid":{"rendered":"http:\/\/unser-quartier.de\/kali50plus\/?p=7169"},"modified":"2017-02-17T16:03:14","modified_gmt":"2017-02-17T15:03:14","slug":"digitale-schaedlingsbekaempfung","status":"publish","type":"post","link":"https:\/\/unser-quartier.de\/kali50plus\/digitale-schaedlingsbekaempfung\/","title":{"rendered":"Digitale Sch\u00e4dlingsbek\u00e4mpfung"},"content":{"rendered":"
Vortrag von Eleonore Mohr – Ka-Li 50plus<\/em><\/h5>\n

Rootkits (auch Malware genannt), Trojaner, Spyware, W\u00fcrmer, Hijacker, Viren und Toolbars. Fiese Adwars restlos entfernen.<\/h4>\n

Was ist ein Rootkit?<\/h5>\n

Die sogenannten Rootkits sind komplex aufgebaut, ver\u00e4ndern sich st\u00e4ndig und graben sich tief in das Betriebssystem ein. \u201eRootkit\u201c bedeutet etwa Administratorenbausatz. Die Bezeichnung Root kommt urspr\u00fcnglich aus dem Betriebssystem UNIX\/Linux und bedeutet „Benutzer mit Administratorenrechten“. Zweck eines Rootkits ist es, Schadprogramme (Malware) vor den Antivirenprogrammen und dem Benutzer durch Tarnung zu verbergen. Der Computer-Nutzer hat keine Kenntnis und es wird installiert ohne Einverst\u00e4ndnis und ohne Wissen des Benutzers.<\/p>\n

F\u00fcr Antivirenprogramme ist es fast unm\u00f6glich, diese Sch\u00e4dlinge zu entfernen. Hierf\u00fcr gibt es spezielle Programme.<\/p>\n

Warum wird ein Rootkit verwendet?<\/h5>\n

\u00dcber die Hintert\u00fcrfunktion versteckt ein Rootkit normalerweise Anmeldevorg\u00e4nge, Prozesse und Logdateien und enth\u00e4lt oft Software, um Daten von Terminals, Netzwerkverbindungen und Tastaturanschl\u00e4ge und Mausklicks sowie Passw\u00f6rter vom kompromittierten System abzugreifen.  Durch diese Sch\u00e4dlinge kann der Rechner \u00fcbernommen werden. Das bedeutet, Ausf\u00fchren von Dateien, Zugriff auf Log-Files (Protokolldateien von Installationen), Ausspionieren der Aktivit\u00e4ten des PC-Inhabers am Rechner und nat\u00fcrlich auch \u00c4nderung der Konfiguration des Computers. Eine \u00dcbernahme des Rechners geschieht meistens in der Nacht. Wenn der Besitzer schl\u00e4ft, kann es sein, dass der PC hochf\u00e4hrt und wie von \u201eGeisterhand\u201c bedient wird.<\/p>\n

Die Grenze zwischen Rootkits, Trojanischen Pferden, Viren und W\u00fcrmern ist flie\u00dfend.<\/p>\n

Aber es gibt auch Rootkits, die werden genutzt, um z.B. einen virtuellen PC und auch s\u00e4mtliche VNC-Versionen (Virtual Network Computing) einzurichten. Rootkits sind also nicht immer Schadprogramme. Aber dies kann nur ein Rootkit-Programm auseinander halten.<\/p>\n

Auch k\u00f6nnen sich auf CDs oder DVDs Rootkits verbergen.<\/p>\n

Bestes Beispiel daf\u00fcr war die Fa. Sony BMG. Sie verkaufte CDs mit Kopierschutz, der beim Abspielen auf Home-Computern eine Software auf den Computer platzierte. Kein Antivirus- oder Antispyware-Programme konnte diese Software ausfindig machen. Sony wurde verklagt, weil sie \u201eDigitalen Hausfriedensbruch\u201c begann.<\/p>\n

Wie verbreiten sich Rootkits?<\/h5>\n

Rootkits k\u00f6nnen sich nicht selbst\u00e4ndig ausbreiten. Nur durch den Benutzer werden Rootkits aktiv.<\/p>\n

Rootkits bestehen in Wirklichkeit aus drei Bestandteilen: einem Dropper, einem Loader und dem Rootkit selbst.<\/p>\n

Der Dropper ist der Code, der die Installation startet. Um den Dropper zu aktivieren, bedarf es menschlicher Bedienung, z. B. Klicken auf einen b\u00f6sartigen E-Mail-Link. Einmal angeklickt, setzt der Dropper das Loader-Programm ein und l\u00f6scht sich dann selbst. Ist der Loader einmal aktiv, verursacht er gew\u00f6hnlich eine \u00dcberlastung des Speichers, der den Rootkit in den Speicher l\u00e4dt. Das Programm hat nun einen Fu\u00df in der Hintert\u00fcr und kann nun die Schw\u00e4chen des Rechners ausnutzen. So probiert er alle bekannten M\u00f6glichkeiten der Schwachstellen aus. In allen F\u00e4llen werden Sicherheitsl\u00fccken im System ausgenutzt. Wichtig ist es, die Updates der Betriebssysteme durchzuf\u00fchren!<\/p>\n

Rootkits k\u00f6nnen f\u00fcr bestimmte Programme geschrieben werden, so dass dieser Sch\u00e4dling sich erst einbindet, wenn er auf einem Rechner das f\u00fcr ihn programmierte Programm findet, kann er sich installieren, dann beginnt seine eigentliche T\u00e4tigkeit. So z. B. versendet er Nachrichten mit einem Schad-Link an alle im Adressen-Bereich befindlichen Email-Empf\u00e4nger. Ohne unser Wissen.<\/p>\n

Auch PDF-Dokumente, die als Email-Anhang verschickt wurden, k\u00f6nnen infiziert sein.<\/p>\n

Es ist wichtig, dass wir ein Antiviren- bzw. Malware-Programm haben, dass auch Emails kontrolliert.<\/p>\n

Wir k\u00f6nnen diese Kontrolle manuell durchf\u00fchren oder wir automatisieren unsere Kontrollsoftware.<\/p>\n

Anzeichen von Rootkit-Befall<\/h5>\n

Rootkits sind entmutigend. Aufgrund ihres Aufbaus \/ ihrer Bauart ist es schwierig festzustellen, ob sie auf einem Rechner installiert sind. Auch Experten haben ihre Probleme, einen installierten Rootkit zu entdecken.<\/p>\n

Folgende Merkmale k\u00f6nnen auf einen Rootkit deuten:<\/p>\n

    \n
  • Wenn sich der Computer gegen Zugriffe oder fehlerhafte Ausgaben auf irgendeine Eingabe durch Maus oder Tastatur liefert, k\u00f6nnte das eine Folge eines installierten Kernel-Modus Rootkit sein.<\/li>\n
  • Einstellungen in Windows \u00e4ndern sich ohne Erlaubnis, z. B. wird pl\u00f6tzlich ein anderer Screensaver gestartet oder die Taskleiste ist versteckt.<\/li>\n
  • Webseiten-Verbindungen werden langsamer oder Netzwerk-Aktivit\u00e4ten treten zeitweilig unvermutet auf oder der Datenverkehr steigt sehr stark an.<\/li>\n<\/ul>\n

    Wenn aber der Rootkit einwandfrei arbeitet, treten diesen Symptome nicht auf, denn gute Rootkits laufen versteckt.<\/p>\n

    Rootkits und auch Malware k\u00f6nnen den Kern-Zusammensetzung-Code \u00fcberschreiben, was die Verwendung von Antivirus- oder Antispyware-Programmen, die auf Signaturen-Erkennung basieren, sinnlos macht. Die einzige Hoffnung, einen Rootkit aufzust\u00f6bern, ist Technologie, die tiefenwirksam das Betriebssystem und Software durchsucht und dann diese Resultate mit den Basisinformationen vergleicht.<\/p>\n

    Also eine spezielle Software, die Rootkits erkennt. Mittlerweile gibt es auch Kombi-Programme, die aus einem Virenprogramm und einem Rootkitprogramm bestehen, so z.B. das kostenlose Programm von AVG. Von den von mir getesteten kostenlosen Programmen war das das genaueste Programm. Spezielle Einstellungen, leicht zu Handhaben und behindert nicht so sehr das Betriebssystem.<\/p>\n

    Erkennung und Entfernung<\/h5>\n

    Die 100%ige Entfernung von Rootkits ist fast unm\u00f6glich. Falls die hier aufgef\u00fchrten Programme keine Rootkits finden, ist es fast unumg\u00e4nglich, die Festplatte neu zu formatieren. In der Hoffnung, dass man damit alle Sch\u00e4dlinge beseitigt hat.<\/p>\n

    Um eine Infizierung des BIOS zu vermeiden, sollte das BIOS hardwareseitig mit einem Schreibschutz versehen werden, z. B. durch einen Jumper (eine kleine Klammer) auf der Hauptplatine. Dann ist die sogenannte Hintert\u00fcr geschlossen.<\/p>\n

    Dies funktioniert nicht auf einem Laptop, da man dort keinen Zugriff auf die Hauptplatine hat.<\/p>\n

    Mit den folgenden Programmen k\u00f6nnen Rootkits entfernt werden:<\/p>\n

      \n
    • F-Secure Blacklight (www.f.secure.com\/blacklight)<\/li>\n
    • RootkitRevealer (www.technet.microsoft.com\/en-us\/sysinternals\/bb897445.aspx<\/li>\n
    • Windows Malicious Software Removal Tool<\/li>\n
    • (www.microsoft.com\/security\/malwareremove\/default.mspx<\/li>\n
    • ProcessGuard<\/li>\n
    • www.diamondcs.com.au\/processguard\/index.php?page=download<\/li>\n
    • RootkitHunter (Linux and BSD)<\/li>\n
    • www.rootkit.nl\/projects\/rootkit_hunter.html<\/li>\n<\/ul>\n
      Viren<\/h5>\n

      Viren sind die \u00e4ltesten Schadprogramme. Sie k\u00f6nnen sich nur in einem Computer verbreiten. Um auf andere PCs zu gelangen, brauchen sie die \u201eHilfe\u201c des Computerbenutzers. Der muss eine vireninfizierte Datei weitergeben. Auch k\u00f6nnen sie sich innerhalb eines Computernetzwerks selbst\u00e4ndig vervielf\u00e4ltigen. Viren werden ohne das Wissen des Benutzers aktiv.<\/p>\n

      Jeder Wurm und jeder Virus kopiert sich selbst\u00e4ndig und kann somit die Ausbreitung mit erstaunlicher Geschwindigkeit durchf\u00fchren. Mittlerweile gibt es zigtausende von Viren und W\u00fcrmern und es ist unerl\u00e4sslich, dass jeden Tag das Virenprogramm aktualisiert wird.<\/p>\n

      Dies ist auch der Unterschied zu Trojanern und Rootkits. Sie k\u00f6nnen sich nur durch die Aktivit\u00e4t des Benutzers verbreiten. Die Viren und W\u00fcrmer k\u00f6nnen sich im Netz selbst\u00e4ndig verbreiten, d. h. dies h\u00e4ngt von der Programmierung der Sch\u00e4dlinge ab. Oder sie werden \u00fcber Kettenmails an gewisse Emailempf\u00e4nger verschickt.<\/p>\n

      W\u00fcrmer<\/h5>\n

      Technisch gesehen sind W\u00fcrmer Nachfolger der Viren. Sie k\u00f6nnen sich selbst\u00e4ndig \u00fcber Netzwerk- und Internetverbindungen von einem Computer zum anderen verbreiten.<\/p>\n

      Die meisten W\u00fcrmer werden als Dateien, die als E-Mail-Anhang gesendet werden, als Link zu einer Web- oder FTP-Ressource, in einer ICQ- oder IRC-Nachricht, \u00fcber P2P-Filesharing-Netzwerke verbreitet. Einige W\u00fcrmer werden als Netzwerkpakete verbreitet. Diese dringen direkt in den Hauptspeicher des PCs vor, woraufhin der im Wurm enthaltene Code aktiviert wird.<\/p>\n

      Trojaner (verstecktes Programm)<\/h5>\n

      Diese Sch\u00e4dlinge tarnen sich als n\u00fctzliche Hilfsprogramme. In ihnen stecken aber gut getarnte Schadprogramm. Trojaner werden in der Regel vom Computerbesitzer selbst auf den PC \u00fcberspielt, oft in dem Glauben, eine gute Software im Internet kostenlos ergattert zu haben. Auch Trojaner kommen unbemerkt auf den PC.<\/p>\n

      Wie verbreitet sich ein Trojaner?<\/h5>\n

      Wie beim Rootkit \u00fcbergibt der Benutzer die Kontrolle \u00fcber den infizierten Computer an den Trojaner. Der Benutzer, der den Trojaner eingeschleust hat, erh\u00e4lt \u00fcber den Trojaner die komplette Kontrolle \u00fcber den befallenen Computer und kann dann beliebige Aktionen ausf\u00fchren, einschlie\u00dflich Senden, Empfangen, Starten und L\u00f6schen von Dateien, Anzeigen von Daten oder Neustart des PCs. Hintert\u00fcr-Trojaner werden h\u00e4ufig eingesetzt, um die befallenen PCs zu einem sogenannten Zombie-Netzwerk zusammenzuschlie\u00dfen, das dann zu kriminellen Zwecken verwendet wird.<\/p>\n

      Spionage-Programme (Spyware = Spionprogramm – frei \u00fcbersetzt)<\/h5>\n

      Sie gelangen oft \u00fcber Trojaner in den Computer. Ihr Auftrag: Daten sammeln und weiterleiten, mit denen andere Zeitgenossen Geld machen k\u00f6nnen. Sei es, dass sie auf Grund der von ihnen besuchten Internetseiten massenhaft Werbung erhalten oder dass Betr\u00fcger mit ihrer Kreditkartennummer einkaufen.<\/p>\n

      Betr\u00fcgerische E-Mails (Pishing = angeln = sinnbildliche \u00dcbersetzung)<\/h5>\n

      Dies sind keine Schadprogramme, aber h\u00f6chst gef\u00e4hrlich. Sie gaukeln als Absender etwa ihre Bank vor und wollen Sie auf fingierte Internetseiten locken. Dort sollen Sie ihre Konto-Zugangsdaten angeben. Mit den Daten wird dann ihr Bankkonto gepl\u00fcndert.<\/p>\n

      Falschmeldungen<\/h5>\n

      Die vors\u00e4tzlichen Falschmeldungen \u201einformieren\u201c Sie \u00fcber angebliche Sicherheitsl\u00fccken des PCs. Bestenfalls fordern sie nur zur Weiterleitung der Nachricht auf und m\u00fcllen damit E-Mail-Postf\u00e4cher zu. Schlimmstenfalls empfehlen sie die Installation eines \u201eSchutzprogramms\u201c aus dem Internet, das dann einen der oben genannten Sch\u00e4dlinge bek\u00e4mpfen soll. Dies ist aber nur eine Vort\u00e4uschung. Mit dem Download k\u00f6nnen dann aber o.g. Sch\u00e4dlinge heruntergeladen werden.<\/p>\n

      Browser-Hijacker, Toolbars<\/h5>\n

      … sind ungewollt installierte Browser-Erweiterungen (Extensions oder Plugins genannt). Hiervon sind mittlerweile alle g\u00e4ngigen Browser betroffen. Das Ergebnis sind u. a. falsche Startseite , ungewohnte Suchmaschine (die gewohnte Suchmaschine ist nicht mehr vorhanden) und nervige Werbung.<\/p>\n

      Die Pseudo-Suchmaschinen f\u00fcgen auf einem PC einen vermarkteten Zusatzlink ein. Sobald du diesen herunterl\u00e4dst bzw. anklickst, erh\u00e4lt der Anbieter dieses Links bereits Geld, eine sogenannte Provision. Wir werden in diesem Fall nur als Vermittler genutzt.<\/p>\n

      Die Hijacker sind nur zum Teil gef\u00e4hrlich. Die Werbung ist nicht nur nervig, sondern bremst deinen PC aus, je l\u00e4nger er l\u00e4uft.<\/p>\n

      Die Deinstallation dieser Toolbars ist oft recht schwierig, weil sie sehr hartn\u00e4ckig sind und auch nach einer Deinstallation immer wiederkommen k\u00f6nnen. Diese Toolbars\/Trojaner haben nicht nur die Funktion, nervige Werbung zu installieren, sondern auch<\/p>\n

        \n
      • dem ausspionieren der Bankdaten bzw. Passw\u00f6rter oder anderen Zugangsdaten<\/li>\n
      • dem Aussp\u00e4hen von Tastatureingaben<\/li>\n
      • Ausspionieren von Netzwerken, Online-Shops usw.<\/li>\n
      • Missbrauch des PCs zur Bereitstellung illegaler Inhalte (z.B. Downloads von MP3s oder pornografischen Inhalten)<\/li>\n
      • Einsehen gespeicherter Daten, Bilder usw.<\/li>\n<\/ul>\n
        Wichtig ist es deshalb, diese Toolbars\/Trojaner direkt zu entfernen.<\/span><\/h6>\n

        Falls man diese Ver\u00e4nderungen festgestellt hat, sollte man alle Zugangsdaten im Internet \u00e4ndern. Es muss nicht hei\u00dfen, dass eine Ver\u00e4nderung einer Zugangsseite das einzige war, was diese Toolbar verursacht hat. Diese Toolbar kann auch so programmiert sein, dass sie uns ausspioniert.<\/p>\n

        Auch wenn die Werbeseite vom PC gel\u00f6scht werden konnte, ist es m\u00f6glich, dass ein sogenannter Trojaner installiert wurde, der dann unseren PC ausspioniert.<\/p>\n

        Wenn wir im Internet nach geeigneten Ma\u00dfnahmen suchen, um einen bestimmten Sch\u00e4dling zu entfernen, werden wir auf Seiten sto\u00dfen, die uns Hilfe anbieten. Da hei\u00dft es: \u201eTool zum Download empfohlen\u201c, \u201ekostenpflichtige Software angeboten\u201c. Oft genug werden diese Seiten in einem ziemlich schlechten Deutsch formuliert.<\/p>\n

        Man kann nicht alle Plagegeister kennen, aber alle haben ein- und dieselbe Vorgehensweise. Hier eine Liste der bekanntesten unerw\u00fcnschten Programme:<\/p>\n