Schadsoftware – Infektionen verhindern
Die sicherste Methode, ein infiziertes System zu reinigen, besteht darin,
es zu löschen. Danach werden das System und die Programme neu
installiert oder aus einem garantiert Schädlingsfreien Backup
wiederhergestellt und die Benutzerdaten auf Infektionen geprüft. Das
ist aufwändig und entsprechend unbeliebt, daher sollten Sie sorgsam
darauf achten, dass es erst gar nicht zu einer Infektion kommt. Viele
Schadsoftware kann man zwar auch problemlos aus dem infizierten System
löschen, aber frei nach Murphy wird die, die Ihr Rechner sich
einfängt, nicht dazu gehören.
Die alte Leier…
Das folgende haben Sie sicher schon tausend Mal gehört und gelesen,
erfahrungsgemäß gibt es aber viel zu viele Nutzer, die sich
nicht an diese einfachen Grundregeln halten:
- Halten Sie System und Anwendungen aktuell!
Neben 0-Day-Schwachstellen, für die es bekanntlich
definitionsgemäß keinen Patch gibt, werden auch immer
längst behobene Schwachstellen zum Einschleusen von Schadsoftware
genutzt. Mit der
Rückkehr des Exploit-Thursday
wurde erneut bewiesen, dass man mit dem Installieren von Updates und
Patches nicht mal einen Tag warten darf, will man auf Nummer Sicher
gehen. Und ich erinnere nur an den
RPC-Wurm Conficker,
der eine kurz zuvor behobene Schwachstelle
äußerst erfolgreich
ausnutzte! Wären der entsprechende Patch überall installiert
gewesen, hätte der Wurm keine Chance gehabt. - Arbeiten Sie mit angemessenen Benutzerrechten!
Arbeiten Sie nur dann mit Admin-Rechten, wenn dies unbedingt notwendig
ist. Für alle normalen Aufgaben reichen die Rechte eines normalen
Benutzers völlig aus. Das verhindert zwar keinen Angriff,
reduziert aber seine Folgen: Sollte sich eine Schadsoftware
erfolgreich einschleichen, kann sie zumindest nicht die Kontrolle
über das System übernehmen, sondern hat nur Zugriff auf die
Daten des betroffenen Benutzer-Kontos. - Erstellen Sie Backups!
In Ernstfall ist nichts so wichtig wie ein aktuelles Backup. Falls ein
Schädling es schafft, Daten zu löschen, besteht im Backup meist die
einzige Möglichkeit, die Daten zu retten. Und falls Sie auf
Ransomware
stoßen, ist ein Backup eine gute Rückversicherung. In den meisten
Fällen lässt sich die Verschlüsselung zwar rückgängig machen, wenn das
aber nicht möglich ist, haben Sie ohne Backup nur die Wahl, auf die
Daten zu verzichten oder das Lösegeld zu zahlen und zu hoffen, dass
die Cyberkriminellen so gnädig sind, die Daten im Gegenzug wirklich
wiederherzustellen. - Seien Sie misstrauisch!
Scareware
ist nur erfolgreich, weil viele Benutzer auf die gefälschten
Virenwarnungen herein fallen. Nutzen Sie keine Online-Virenscanner,
auf die Sie anscheinend zufällig im Internet stoßen. Und
ein unaufgefordert durchgeführter Virenscan kann nur eins sein: Die
Ausgabe von Scareware.
Wenn Sie dem Ergebnis ihres installierten Virenscanners in irgend
einem Fall misstrauen, können Sie verdächtige Dateien z.B.
von
VirusTotal
prüfen lassen, wo sie von einer Vielzahl zuverlässiger
Virenscanner geprüft werden. Da die meisten Antiviren-Hersteller
auch eigene Online-Scanner bereit stellen, können Sie auch einen
gezielt auswählen. Eine Liste vertrauenswürdiger
Antivirenhersteller finden Sie unter diesem Text. I.A. fährt man
aber mit einem Angebot wie VirusTotal besser, da man dann gleich
mehrere Einschätzungen auf einen Schlag erhält. Gerade bei
neuer Schadsoftware sind die Ergebnisse sehr unterschiedlich, und evtl.
verwenden Sie dann ausgerechnet einen Scanner, der genau den
Schädling, den Ihre Datei enthält, nicht erkennt. - Achten Sie auf den Schutz Ihrer Daten
Prüfen Sie niemals Dateien mit vertraulichem Inhalt mit einem
Online-Scanner, egal wie vertrauenswürdig der ist. Im Fall einer
Infektion mit einem bisher unbekannten Schädling wird die Datei
vom entsprechenden Scannerhersteller analysiert und ggf. auch mit
anderen Antivirenherstellern ausgetauscht.
VirusTotal
leitet verdächtige Dateien generell an die beteiligten
Antivirenhersteller weiter.
Schadsoftware fernhalten
Der beste Schutz vor Schadsoftware besteht darin, sie gar nicht erst in die
Nähe des Rechners gelangen zu lassen. Das ist leichter gesagt als
getan, den Schadsoftware kann auf jedem Weg auf den Rechner gelangen, auf
den auch harmlose Daten ihn erreichen. Egal ob Netzwerk oder mobiler
Massenspeicher, egal ob USB-Stick oder CD-ROM, Schadsoftware kann
überall enthalten sein. Und für jeden Weg gibt es mindestens
eine Möglichkeit zur Absicherung.
E-Mails filtern
Ein sehr beliebtes Einfallstor sind E-Mails. Sowohl Anhänge als auch
Links können gefährlich sein! Wenn Sie einen guten Spam-Filter
verwenden, erwischt der schon einen beachtlichen Anteil an E-Mails mit
schädlichem Inhalt. Denn viele Schädlinge werden eben über
Massenmails und damit Spam verbreitet. Den Rest sollte ein Virenscanner
auf dem Mailserver ausfiltern. Wenn sie vermuten, Spam- oder Virenfilter
hätten als “False Positive” eine harmlose Mail erwischt, seien Sie
besonders vorsichtig. Eine Fehlerkennung kann natürlich passieren,
aber genau so wahrscheinlich ist es, dass Sie auf einen Trick der
Cyberkriminellen hereinfallen. Jemand bei RSA kann
ein Lied davon singen!
Dateien prüfen
Prüfen Sie alle fremden neuen Dateien, bevor Sie sie öffnen.
Egal ob Sie sie von einer noch so vertrauenswürdigen Website
heruntergeladen oder von einem noch so guten Freund per E-Mail erhalten
haben – fragen Sie ihren Virenscanner um dessen Meinung. I.A. wird das
automatisch erfolgen, andernfalls müssen Sie den Scan manuell starten.
Bei auch nur minimal verdächtigen Dateien sollten Sie bei einem
negativen Ergebnis Ihres Scanners eine zweite, dritte und so weiter Meinung
einholen und die Datei z.B. von
VirusTotal
prüfen lassen.
Das geht natürlich nur, wenn die Datei keine vertraulichen Daten
enthält. Bei vertraulichen Daten stehen Sie vor einem Problem. Aber
das lässt sich lösen, indem Sie beim Lieferanten der Datei
nachfragen, was es damit auf sich hat. Berücksichtigen Sie auch, dass
dessen Rechner ohne sein Wissen mit einem Schädling infiziert sein
kann, der die für Sie bestimmte Datei infiziert hat.
Bei Programmdateien können Sie meist deren Signatur oder
Prüfsumme prüfen. Verlassen Sie sich aber nur dann auf das
Ergebnis der Prüfung, wenn Sie den verwendeten Schlüssel bzw.
die Prüfsumme über einen sicheren Kanal erhalten haben. Stammen
Programmdatei und Prüfsumme vom gleichen Server, können beide
nach einer Kompromittierung des Servers
manipuliert
worden sein.
Netzwerkverkehr prüfen
Die sog. Unified Thread Management (UTM) Appliances am Internet-Gateway
sind ein guter Ansatz, Schadsoftware aus einem lokalen Netz heraus zu
halten. Je nach Umfang der eingesetzten Lösungen filtert die
Appliance schädliche Inhalte aus mehr oder weniger vielen
Übertragungskanälen heraus. Wichtig ist dabei vor allem die
Prüfung der HTTP-Daten, um
Drive-by-Infektionen
schon im Vorfeld abzuwehren. Gelangt der Schadcode erst einmal auf den
Client, ist es für eine Reaktion u.U. schon zu spät. In den
allermeisten Fällen erkennt zwar der lokale Virenscanner den Schadcode,
man kann aber nicht ausschließen, dass die Cyberkriminellen genau das
ausnutzen und gezielt Schwachstellen in Virenscannern ausnutzen. Entweder,
um darüber sofort Code einzuschleusen, oder aber um die Scanfunktion zu
unterlaufen oder das Ergebnis zu verfälschen.
Nutzen Sie Virenscanner und Firewall
Nutzen Sie auf allen Rechnern einen Virenscanner und Firewall. Auch wenn
eine UTM-Appliance alles Schädliche vom lokalen Netz fern hält, bleiben
Einfallstore. So konnte sich z.B. Conficker in vielen Netzen ungestört
verbreiten, nachdem er auf einem infizierten Notebook an allen
Netzwerksicherungen im wahrsten Sinne des Wortes vorbei getragen wurde.
Die Admins waren einem falschen Sicherheitsgefühl erlegen, weil der
anfällige RPC-Port nicht aus dem Internet erreichbar war, und hatten sich
mit der Installation der Patches Zeit gelassen.
Vor einem so ins lokale Netz gelangten Schädling schützt (außer einem
aktuellen System und aktuellen Programmen, sofern keine
0-Day-Schwachstelle ausgenutzt wird) nur ein lokaler Virenscanner und eine
lokale Firewall.
Vergessen Sie aber nicht, dass diese lokalen Schutzmaßnahmen von auf dem
Rechner laufender Schadsoftware ausgetrickst werden kann. Haben Sie
Schadsoftware auf Ihrem Rechner, sind die lokale Firewall und der lokale
Virenscanner wirkungslos.
In der
nächsten Folge
erfahren Sie, wie Sie installierte Schadsoftware wieder los werden – Hoffentlich ohne das System neu zu installieren.
Antiviren-Hersteller
Die folgende, alphabetisch sortierte Liste ist weder vollständig noch
stellt sie irgend eine Form der Bewertung dar. Welcher Scanner für
Sie der beste ist, müssen und können Sie nur selbst entscheiden.
Sofern Sie die Möglichkeit haben, probieren Sie verschiedene Scanner
aus, z.B. in separaten virtuellen Maschinen.
- AVG
- Avira
- BitDefender
- ClamAV
(ClamXav
für Mac OS X) - Dr.Web
- ESET
- F-Secure
- G Data
- Kaspersky
- McAfee
- Microsoft Security Essentials
- Sophos
- Symantec
- Trend Micro
Die meisten Hersteller bieten außer Windows-Versionen auch Scanner
für Linux und/oder Mac OS X an. Nur für den Mac gibt es die
Virenscanner von
Intego.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren – Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer – Schadsoftware, die sich selbst verbreitet
- Trojaner – Der Feind im harmlosen Programm
- Zeus – Trojaner, Botnet, Schädlingsbaukasten, …
- Exploit-Kits – Die Grundlage für Drive-by-Infektionen
- Rootkits – Schadsoftware im System
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets – Zombie-Plagen im Internet
- Gegenmaßnahmen
-
- Schadsoftware – Infektionen verhindern
- Schadsoftware – Weg mit Scareware, Ransomware und Spyware!
- Schadsoftware – Weg mit Viren, Würmern, Trojanern und Rootkits
- Schadsoftware im Überblick
Trackbacks
Keine Trackbacks
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt