Yeah - super intelligente Idee...

Im Falle einer Wurminfektion erst mal die Sicherheitseinstellungen runterregeln, um mit Excel Taskmanager spielen zu koennen - alles klar! Wo ein Wurm ist, gibt es moeglicherweise auch andere Schadsoftware - das sollte jeder "Profi" eigentlich wissen...

Edit: P.S. Allein wenn man sieht, dass ein Skript laufende Prozesse beenden und neue aktiv starten kann, zeigt sich wieder das anfaellige M$-Sicherheitskonzept. Und nein, eine Meldung "Das Skript koennte Schaden verursachen" reicht nicht als Sicherheitseinrichtung!



2 mal bearbeitet, zuletzt am 08.02.11 11:25 durch Der Kommunist.

*OMG*

Dieses geniale Excel-Ding ist lediglich als Sofortmaßnahme zu sehen.

Man setzt die Sicherheitseinstellungen runter, benutzt diese Excel-Datei, um an den Taskmanager zu gelangen und den Blockierer ggf. zu beenden, setzt die Sicherheit wieder rauf und sucht hoffentlich hinterher nach der Lücke. Und die kann in irgendeinem Programm oder OS-Teil stecken, also muß man auf einen Patch warten.

Das Problem sitzt also nicht immer (aber doch relativ oft) vor dem Bildschirm.

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Replay schrieb:
--------------------------------------------------------------------------------
> Man setzt die Sicherheitseinstellungen runter, benutzt diese Excel-Datei,
> um an den Taskmanager zu gelangen und den Blockierer ggf. zu beenden, setzt
> die Sicherheit wieder rauf und sucht hoffentlich hinterher nach der Lücke.

Oder aber man lädt sich einen der ca. 100 alternativen Taskmanager für Windows herunter, die zu 50% kostenlos sind und benutzt einfach so einen. Dazu muss man nicht einmal irgendwo irgendwelche Sicherheitseinstellungen anfassen oder Excel installiert haben. Unglaublich was heute so alles geht, oder?

/Mecki

Replay schrieb:
--------------------------------------------------------------------------------
> *OMG*
>
> Dieses geniale Excel-Ding ist lediglich als Sofortmaßnahme zu sehen.

... um den Rechner mal schnell richtig zu kompromittieren...

> Man setzt die Sicherheitseinstellungen runter, benutzt diese Excel-Datei,
> um an den Taskmanager zu gelangen und den Blockierer ggf. zu beenden, setzt
> die Sicherheit wieder rauf und sucht hoffentlich hinterher nach der Lücke.

In der Zeit kann natuerlich kein anderer Prozess diese geaenderten Sicherheitseinstellungen ausnutzen - Windows kann ja kein Multitasking und macht ohnehin nur, was der Admin (=fast jeder Benutzer) sagt...</ironie>

> Und die kann in irgendeinem Programm oder OS-Teil stecken, also muß man auf
> einen Patch warten.

Ach so, die Sicherheit kann durch jedes Stueck Software beeintraechtigt werden - soweit korrekt. Das heisst aber trotzdem nicht, dass ich dann gleich grob fahrlaessig handeln kann...

> Das Problem sitzt also nicht immer (aber doch relativ oft) vor dem
> Bildschirm.

Jup, und das nicht selten wegen thematisch aehnlicher Artikel in diversen PC-Magazinen...

Loesungen koennen manchmal so einfach sein und muessen nicht einmal die Sicherheit auf dem PC fahrlaessig gefaehrden ;) - danke fuer diesen Hinweis.

Schon mal daran gedacht, daß man z. B. beim Firmenlaptop nicht einfach was runterladen und installieren kann? Eine Excel-Datei kann man aber immer öffnen.

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Der Kommunist schrieb:
--------------------------------------------------------------------------------
> Loesungen koennen manchmal so einfach sein und muessen nicht einmal die
> Sicherheit auf dem PC fahrlaessig gefaehrden ;) - danke fuer diesen
> Hinweis.


Ich halte auch nichts von der Lösung, die im Artikel beschrieben wird....
aber eine Infektion (egal welcher Natur) des Rechners noch in Verbindung mit Sicherheit zu nennen ist dennoch fragwürdig...

Hat man sich was eingefangen gibts nur zwei Möglichkeiten:
Infektion nervt den Nutzer nur mit ausbremsung des Systems und blockiert dadurch Software möglicherweise (der eher harmlose Kandidat)

oder:
Infektion ist hochgradig Bösartig. Manipuliert, löscht oder sendet Daten.

Bei beiden Varianten muss man sich fragen, wie schwerwiegend ist die Infektion, wie tief sitzt sie drin und kann man sie entfernen ohne das Systeminstabil zu machen.
Bei ziemlich heftigen Infektionen hilft meistens nur noch Plattmachen des Systems und es neu aufzuspielen.

Von daher dürfte es eigentlich egal sein ob man da jetzt, nach dem man bereits infiziert ist, auch noch die Makrosicherheit in Office runtersetzt.

Aber wie ich erwähnte diese Lösung ist und bleibt ein Blödsinn.

Ein alternativer Taskmanager wäre z.b. "Process Hacker".
Opensource, sehr umfangreich und arbeitet (zumindest bei mir) zuverlässig.

Wer sich dazu durchringt die Bekämpfung von Schadsoftware auf sich zunehmen soll gewarnt sein... man sollte schon wissen was man da tut und in welcher Systemumgebung ;)

Replay schrieb:
--------------------------------------------------------------------------------
> Schon mal daran gedacht, daß man z. B. beim Firmenlaptop nicht einfach was
> runterladen und installieren kann? Eine Excel-Datei kann man aber immer
> öffnen.


Schon mal daran gedacht, dass sich die IT-Abteilung einer Firma dann damit befasst und nicht der Angestellte der Firma?

Im Normalfall darf der Angestellte keine Eingriffe dieser Art durchführen.
Das kann zwar von Firma zu Firma unterschiedlich gehandhabt sein, aber Regelfall ist, dass das die IT-Abteilung übernimmt. Und die haben ganz andere Werkzeuge und Methoden als ein Officeskript.

Schon mal daran gedacht, daß man ein Laptop außerhalb der Firma nutzt und ggf. mit dem Excel-Ding einen Weg hat, einfach weiterarbeiten zu können und daß es sich da durchaus um wichtige Dinge/Daten handeln kann, die eine Sofortmaßnahme erfordern?

Bitte denkt doch mal wenigstens etwas nach.

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Replay schrieb:
--------------------------------------------------------------------------------
> Schon mal daran gedacht, daß man ein Laptop außerhalb der Firma nutzt und
> ggf. mit dem Excel-Ding einen Weg hat, einfach weiterarbeiten zu können und
> daß es sich da durchaus um wichtige Dinge/Daten handeln kann, die eine
> Sofortmaßnahme erfordern?
>
> Bitte denkt doch mal wenigstens etwas nach.

Im Prinzip schwachsinn, ich arbeite teilweise selber im Helpdesk, wenn einer der User feststellt das sein Notebook durch Schadsoftware kompromittiert wurde, ist er von der Firma angewiesen das Gerät vom Firmennetzwerk (VPN usw.) zu trennen, auszuschalten und dem Helpdesk zu übergeben, dabei spielt das weiter arbeiten erstmal keine Rolle. Schadsoftware läd meistens andere neue Schadsoftware herunter, das irgend einer dann meint mit Excel irgendwelche Tasks zu beenden ist wohl eher unwahrscheinlich. Wenn überhaupt wird das ein IT'ler benutzen, und die haben andere Tools.

Das ist bei euch so. Hat es deswegen eine allgemeine Gültigkeit?

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Nachtrag

Mit dem Excel-Teil kann man den Nutzern ein simples Werkzeug ohne Installation in die Hand geben, um eben bei Bedarf selbst reagieren zu können. Und außerdem besteht ggf. nicht ständig Kontakt zum Firmennetzwerk.

Ja, die Welt ist bunt, es gibt 1001 Szenarien für solche Dinge. Und dies ist nur eine der Möglichkeiten, die niemand verwenden muß, aber verwenden kann.

Warum also immer so ablehnend und negativ? Ist es nicht sinnvoll, mehrere Wege als Option zu haben? Ich zumindest finde gerade die einfachen Dinge, die man mit Bordmitteln erledigen kann, den besten Weg.

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Sobald ein Rechner infiziert wurde, bzw die Infektion bemerkt wurde ist es absolut zu empfehlen IMMER den Rechner neu und sauber auf zu setzen.

Warum? Weil die Schadsoftware durch eine Sicherheitsluecke ins System kam. Das System ist nicht mehr als vertrauenswuerdig ein zu stufen, da man weitere Infektionen nicht ausschliessen kann.
Scans aus dem laufenden System bzw Gegenmassnahmen sind nicht vertrauenswuerdig, da professionelle Wuermer mittels rootkit Techniken uU alle varianten abwehren koennen.
Externe scnas der Datentraeger (Live CDs) sind da schon besser, aber auf Grund des Restrisikos durch Nichterkennung auch keine Sichere Methode.

Die einzige Variante die Vertrauenswuerdigkeit wieder her zu stellen ist eine frische Installation des OS und aller Programme von Originalmedien.

gentoomaniac schrieb:
--------------------------------------------------------------------------------
> Sobald ein Rechner infiziert wurde, bzw die Infektion bemerkt wurde ist es
> absolut zu empfehlen IMMER den Rechner neu und sauber auf zu setzen.
>
> Warum? Weil die Schadsoftware durch eine Sicherheitsluecke ins System kam.
> Das System ist nicht mehr als vertrauenswuerdig ein zu stufen, da man
> weitere Infektionen nicht ausschliessen kann.
> Scans aus dem laufenden System bzw Gegenmassnahmen sind nicht
> vertrauenswuerdig, da professionelle Wuermer mittels rootkit Techniken uU
> alle varianten abwehren koennen.
> Externe scnas der Datentraeger (Live CDs) sind da schon besser, aber auf
> Grund des Restrisikos durch Nichterkennung auch keine Sichere Methode.
>
> Die einzige Variante die Vertrauenswuerdigkeit wieder her zu stellen ist
> eine frische Installation des OS und aller Programme von Originalmedien.

Das ist völliger Quatsch. Gründe:
1. Ein gepatchtes System ist in der Regel sehr viel weniger anfällig als ein neu aufgesetztes System im Originalzustand.
2. Es muss keine Systemsicherheitslücke gewesen sein, die den Befall zuließ. Oft reicht auch ein mehr oder weniger unwissender Anwender aus.
3. Livesysteme von schreibgeschützten Datenträgern sind auch nicht unanfällig, da sie durchaus auch Daten auf anderen Datenträgern ablegen und diese einlesen. Außerdem sind die Scanner auf solchen Systemen oft nicht auf dem aktuellen Stand.

Ein professioneller Wurm, der nicht von Hand entfernt werden konnte und das abwehrte, kam mir leider noch nicht unter. Kannst du da ein Beispiel nennen?

Die beste Möglichkeit ist meiner Meinung nach fast immer die professionelle Beseitigung der Schadsoftware unter Erhaltung des Systems. Anschließende Belehrung und Aufklärung der Systembediener erweisen sich in der Regel als nicht besonders nachhaltig oder effektiv.

Replay schrieb:
--------------------------------------------------------------------------------
> Schon mal daran gedacht, daß man ein Laptop außerhalb der Firma nutzt und
> ggf. mit dem Excel-Ding einen Weg hat, einfach weiterarbeiten zu können und
> daß es sich da durchaus um wichtige Dinge/Daten handeln kann, die eine
> Sofortmaßnahme erfordern?
>
> Bitte denkt doch mal wenigstens etwas nach.


Einfach weiter arbeiten? Munter, lustig, fröhlich die Infektion ignorieren?
Ja du hast nachgedacht. *zwinker*

Gerade weil es sich um höchstwahrscheinlich wichtige Daten in diesem falle handelt sollte man das Firmen-Notebook schnellst möglich der IT-Abteilung überreichen.

So ein Teil bekommst du von der Firma nicht einfach so in die Hand gedrückt.
Du musst dafür normalerweise deine Unterschrift unter ein Dokument setzen, in dem geregelt ist wie das Gerät den Firmenwünschen entsprechend zu handhaben ist.
Im Normalfall sollte es so sein wie ich es nun mehrfach schilderte.

Oder einfach ausgedrückt:
Du haftest für Schäden am Gerät und im Falle der Verseuchung des Rechners auch für die wirtschaftlichen Schäden, welche die Firma erleiden könnte, wenn du selbst daran rumpfuschst.

Wenn du für dein privates Notebook das Skript nutzt und du da auf eigene Faust eine Maßnahme ergreifst, ist das deine Sache.

Da du aber speziell auf ein Firmen-Notebook eingegangen bist... solltest du vieleicht erst mal selbst darüber nachdenken.

Zu 1.: ich bin davon ausgegangen, dass allen klar ist, dass ein System nach der Installation komplett durchgepatcht wird. Wodrauf ich hinaus wollte ist, dass man zur Reinstallation (und zum Patchen natuerlich auch) nur auf Vertrauenswuerdige Quellen wie Originalmedien zurueckgreifen sollte. Nicht etwa auch die aktuelle Version WinXY Monat X SPY aus dem Filesharingtool deiner Wahl.

Zu 2.: Es gibt genuegend Beispiele von Schadsoftware die andere Software nachladen. Viele oeffnen auch Backdoors. Selbst wenn der Virus/Wurm/... an sich rel harmlos ist, so kann er doch wiederum als Einfallstor fuer andere dienen. Ueber die vermeintlich harmlose infektion kann also uU ein weitaus groesseres Problem kommen.

Zu 3.: Deine Antwort geht etwas am Thema vorbei. Sicher gibt es LiveCDs die Daten auf der Platte ablegen. Darum geht es aber gar nicht. Sondern um ein OS, was unabhaengig vom installierten OS in der lage ist die Daten auf Infektionen zu pruefen. Bsp: Knoppicillin & co
"Außerdem sind die Scanner auf solchen Systemen oft nicht auf dem aktuellen Stand." Stimme ich dir zu, viel bei mir unter Restrisiko. Die meisten Distros sind btw in der Lage die Signaturfiles der Scanner bei bestehender INetverbindung live up zu Daten.


Wer weiss, vllt ist er dir unter gekommen, du hast ihn nur nie entdeckt?!
In geschaeftskritischen bereichen wuerde ich dir jedenfalls nicht empfehlen das system zu "saeubern" und weiter laufen zu lassen. Wenn es beim 100x schief geht hast du einen haufen Aerger.

Belehrung und Aufklaerung ist natuerlich wichtig, da stimme ich dir voll zu, und sollte die erste Massnahme sein.
Ein guter lerneffekt stellt sich aber auch mit ein, wenn der Anwender danach noch 2h sein system neu einrichten muss ;-)

Und noch als Beispiel was heutzutage alles moeglich ist:
http://en.wikipedia.org/wiki/Blue_Pill_%28malware%29

Immer dran denken: der freundlich offensichtliche Wurm von nebenan, der nur Liebesmails verschickt kann in Wirklichkeit auch nur Tarnung sein.

Replay schrieb:
--------------------------------------------------------------------------------
> Schon mal daran gedacht, daß man z. B. beim Firmenlaptop nicht einfach was
> runterladen und installieren kann?

Die Firma ist also so paranoid, die die Installation von Software zu untersagen, du darfst aber im Excel die Sicherheitseinstellungen soweit herunter drehen, dass ein Script praktisch Zugriff auf tiefste Systeminterna hat? LOL, ich werf mich weg. Das ist nicht dein ernst, oder? Die Gefahr, dass du dir durch eine Excel Datei, die du unbedarft aus einer E-mail öffnest, einen Trojaner einfängst ist zehnmal höher als jegliche Gefahr, die von Fremdsoftware ausgeht, die in der Regel noch aus vertrauenswürdigen Quellen stammt und auf Schädlinge geprüft wurde.

/Mecki

Endwickler schrieb:
--------------------------------------------------------------------------------
> Das ist völliger Quatsch. Gründe:
> 1. Ein gepatchtes System ist in der Regel sehr viel weniger anfällig als
> ein neu aufgesetztes System im Originalzustand.
Das gepatchte System wurde infiziert. Damit ist das Thema durch. Siehe unten.

> 2. Es muss keine Systemsicherheitslücke gewesen sein, die den Befall
> zuließ. Oft reicht auch ein mehr oder weniger unwissender Anwender aus.
Es kann evtl für den Admin interresant sein den Infektionsweg nachzuvollziehen. Aber nur um in Zukunft besser auf diesen Angriffsvektor gewappnet zu sein. An der Neuinstallation führt kein Weg vorbei.

> 3. Livesysteme von schreibgeschützten Datenträgern sind auch nicht
> unanfällig, da sie durchaus auch Daten auf anderen Datenträgern ablegen und
> diese einlesen.
Zum Glück muss man nicht irgendein Livesystem benutzen - sondern eins von denen die man sich vorher ausgewählt hat.

>Außerdem sind die Scanner auf solchen Systemen oft nicht
> auf dem aktuellen Stand.
Onlineupdate. Aber wie gesagt - nur am Rande interresant.

Wichtig:
-------------
Da moderne Schadsoftware heutzutage entweder anderen Mist runterläd, Sicherheitslücken öffnet und Rootkits installiert oder gleich einen IRC Server (oder eine andere Kommunitkationsmöglichkeit - siehe den großen Botnetzen) mit bringt mit dem das ganze dynamisch passiert ist der einzige Weg festzustellen ob eine "Desinfektion" eines Systemes 100% Erfolgreich war, die Prüfsumme jeder [indirekt] ausführbaren Datei mit einer garantiert sauberen Kopie zu vergleichen (dabei Patchstand usw beachten).

Guter Admin = Garantiert sauberes Backup des Systems einspielen (geringer Zeitaufwand)
Mäßiger Admin = Neu installieren (mittlerer Zeitaufwand)
Frickelkind = Gebastel bis alle Symptome erfolgreich bekämpft sind (drolligerweise höchster Zeitaufwand ohne reelle Chance das System jemals wieder als wirklich Vertrauenswürdig einzustufen)

"Guter Admin = Garantiert sauberes Backup des Systems einspielen (geringer Zeitaufwand)"
Fuer das reine Einspielen ja. Problematischer wirds aber wenn der Zeitpunkt der Infektion nicht bekannt war. Dann hast du die Wahl alle Backups zu pruefen, was Tage dauern kann, oder gescriptet neu zu installieren und nur ein Backup der Daten ein zu spielen.

Beispiel: eine Neuinstallation dauert bei uns max 30 min, voll gescriptet. Da lohnt der Aufwand nicht das Backup zu durchsuchen.
Bei den Workstations sind/sollten alle Daten bereits regelmaessig auf die Teamshares gesichert sein (werden dort gescanned) => 30 min installation, 15min daten recover VS. uU Tagelanges pruefen der Backups (Backup aus den Tapes holen, files pruefen, ...)

> Sobald ein Rechner infiziert wurde, bzw die Infektion bemerkt wurde ist es absolut zu empfehlen IMMER den Rechner neu und sauber auf zu setzen.
So einen Rechner aufsetzen macht Arbeit. Und im Gegensatz zu Linux, lässt sich die Software dann auch nicht so einfach in einem Rutsch nachinstallieren.

___

Die ganz grossen Wahrheiten sind EINFACH!

Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.