Schlagwort-Archiv: Antivirus

CIBS POL: der Polizeivirus versucht Geld zu erpressen

Heute habe ich auf einem Kundenrechner einen wirklich interessanten Virus gefunden. Ich habe ihm mal die niedliche Bezeichnung “Polizeivirus” gegeben.
Der Virus erkennt man daran, indem man nach dem Neustarten nur noch eine Seite präsentiert bekommt, welche irgendwas von Verstössen gegen das Gesetz vermeldet und man solle doch CHF 150.- überweisen:

polizeivirus

Naja, ich bin da nicht so ein Freund von Geld verschenken, deshalb will ich den Kollegen auf andere Art und Weise los werden.
Meine erste Vermutung, der Virus ersetzt in der Registry den Winlogon-Eintrag anstatt auf Explorer.exe auf die Exe des Viruses. Doch dann ist mir aufgefallen, dass sich der Virus einfach in den Vordergrund drängt, denn beim Neustarten sieht man für ganz kurze Zeit im Hintergrund den kompletten Explorer mit allen Aktionen, welchem an über Tastenkürzel ausführen kann. Also kann der Virus den Explorer nicht ersetzt haben.
Bei meinem nächsten Versuch muss ich dem Virus doch einen gewissen Respekt zollen: Ich habe versucht in den abgesicherten Modus zu booten, und anstelle dass das Windows mit minimalem Funktionsumfang startet, schaltet sich das Betriebssystem nach dem Einloggen automatisch wieder aus – und bis jetzt habe ich noch keine Idee, wie man das realisieren könnte. Denn Services werden nur begrenzt gestartet, Autostart komplett deaktiviert und selbst Treiber werden eingeschränkt… Ich habe echt keine Idee.

Doch schlussendlich hat sich das Programm irgendwie selbst verraten. Im Ordner C:\Users\USERNAME\AppData\Local\Temp habe ich jede Menge jpg-Dateien gefunden und auch eine index-Datei, welche irgendwie verdammt ähnlich aussieht, wie die Warnung des Virus:

Weiterlesen

Virenschutz auch unter Linux

Erstmal vorweg: Ich will hier keine Grundsatzdiskussion auslösen, ob Linux nun einen Virenschutz braucht oder nicht. Auf allen meinen Servern installiere ich einen Virenschutz, ob dieser nun gebraucht wird oder nicht.

Und da ich mit Xymon (siehe früherer Artikel) den ClamAV Daemon überwachen kann, werden meine eigenen Server nun auch mit dem ausgestattet.

Die Installation von ClamAV ist dank den Paketquellen äußerst simpel:

1
sudo apt-get install clamav clamav-daemon

Danach kann man die Konfiguration des Daemons starten:

2
sudo dpkg-reconfigure clamav-base

Hier wird man schön durch die einzelnen Schritte geführt. Meistens waren die Standardeinstellungen schon ausreichend, dies liegt aber ganz im Ermessen des Admins:

3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Automatische Verwaltung der Konfigurationsdatei: JA
Socket-Typ: UNIX
Lokaler UNIX Socket: STANDARD
Grosszügier Umgang mit übrig geblibenen UNIX-Sockets: NEIN
eMail-Überprüfung: JA
Archiv-Überprüfung: JA
Maximale Grösse: 50
Maximale Verzeichnistiefe: 0
Symbolischen Links folgen: JA
Normalen Links folgen: JA
Zeitbeschränkung: 0
Anzahl Threads: 12
Anzahl wartende Verbidungungen: 15
Nutzung von Syslog: JA
Protokolldatei: STANDARD
Zeitangaben mitprotokollieren: JA
Zeitspanne für Selbsttest: 3600
Benutzer für Daemon: clamav
Daemon-Gruppe: root
Finish :)

Der Daemon kümmert sich nun darum, dass die Virendatenbank immer aktuell bleibt.

Leider aber ist ClamAV ein sogenannter OnDemand-Scanner, d.h. der Suchvorgang muss gestartet werden, und es wird nicht, wie üblich jede Datei vor dem Verwenden gescant.

Dem kann man jedoch mit einem Cronjob entgegenkommen, und da meine Server nur einem minimalen Risiko ausgesetzt sind, reicht dies auch vollkommen aus. Für einen Server mit High-Availability-Anwendungen sollte man sich einen “richtigen” Scanner zulegen.

Also rufe ich die Cronjobs von Root auf:

23
sudo crontab -e

Da lege ich dann einen neuen Eintrag an:

24
00 01 * * 0 sudo clamscan -ri --quiet --bell --scan-mail --phishing-sigs --phishing-scan-urls --heuristic-scan-precedence --algorithmic-detection --scan-pdf --exclude-dir=^/proc\ / #Scan Root rekursiv, show only infected files

Damit wird jeden Sonntag morgen um Punkt 01:00 Uhr ein Scan ausgelöst, welcher das gesamte Root-Verzeichnis rekursiv durchscannt.

Weiter Informationen zu Zeitangaben für Cronjobs findet man im uu.de-Wiki.

Zum Abschluss würde es mich nun aber doch noch interessieren, wie und ob ihr eure Server den schützt?

Kaspersky 2009 unter Windows Server 2k8

Da ich aus schulischen Zwecken gezwungen bin ein Windows zu gebrauchen, habe ich mich vor noch nicht allzulanger Zeit für ein Windows Server 2008 entschieden.

Dies, da es zu der Zeit noch kein Windows 7 gab, ein Vista aus Performance-Gründen nicht in Frage kam und für XP nicht alle Treiber vorhanden waren.

Soweit ich mich zurück erinnere war die Installation schnell und unkompliziert. Was mich jedoch damals viel Zeit gekostet hatte, war das Aktivieren von Kleinigkeiten die typisch für einen Desktop sind, jedoch in einem Server-OS selbstverständlich nicht out-of-the-box laufen. Mittlerweilen ist dies jedoch auch kein Problem mehr, da es mittlerweile gute Seiten im Netz gibt, welche Schritt für Schritt diese Kleinigkeiten durchgehen und aktivieren.

Ein Problem, dass ich aber bis heute morgen noch nicht lösen konnte, war ein brauchbarer Virenscanner!

Aus meiner Vista-Zeit bin ich noch im Besitz einer gültigen Kaspersky Internet Security 09 Lizenz.

Jedoch, alle Virenscanner (Avira, Kaspersky, AVG, Norton, F-Secure, BitDefender) überprüfen erst den PC und reklamieren dann, ich darf den Schutz auf keinem Server installieren, und ich solle doch eine spezielle Serverlizenz kaufen!

Also habe ich mich heute mal wieder auf die Suche nach einer passenden Lösung gemacht. Gestossen bin ich auf einen Kommentar in einem anderen Blog:

Kaspersky Internet Security 2009 (downloaded final )will definitely run on x86. You must extract the files, open the .msi in Orca, search for all occurences of “unsupported operating system” (or whatever the error message states), drop those lines (4, I think. Voila! You’ve got it installed.

Die Lösung war dann auch ganz simpel, nachdem ich wusste wo suchen :-)

Ich musste nur die 4 Einträge löschen und schon funktionierte die Installation problemlos :D

kaspersky

Viren infizieren keine Unix-Maschinen!

Seit neustem gibt es in der Computerwoche einen Beitrag zum Umstieg nach Linux. Darin werden 10 Gründe aufgelistet, wieso man nach Linux wechseln sollte. Ich finde es sehr gut, dass die Computerwoche so Werbung macht für Linux, jedoch bin ich der Meinung, dass falsche Versprechen auch enorm kontraproduktiv sind.

Doch hier die 10 Gründe:

1. Kostenlos: Linux ist ein Open-Source-Projekt. Das Betriebssystem kostet nichts. Alles, was Interessenten benötigen, ist eine betriebsbereite Internet-Verbindung, um die ISO-Datei aus dem Web zu laden und eine CD zu brennen. Die Kosten für Windows sind häufig im Kaufpreis der Geräte versteckt. Offen zu Tage treten sie, wenn Desktops, Notebooks und Netbooks wahlweise mit Linux oder Windows ausgeliefert werden.

2. Die Distributionen sind komplett: Alle halbwegs ordentlichen Linux-Varianten integrieren die wichtigsten Funktionen. In der Regel enthalten sie Office-Applikationen, pdf-Reader, Web-Servers, Compiler usw. Sämtliche Applikationen und Tools sind ebenfalls frei verfügbar. Ubuntu nutzt beispielsweise OpenOffice als perfekte MS-Office-Alternative.

3. Virus, Spyware, Adware – kein Problem: Lästige Viren und Würmer infizieren keine Linux-basierenden Systeme. Daher sind auch keine Antiviren-Programme erforderlich, die die Leistung des Rechners beeinträchtigen.

4. Geringe Hardwareanforderungen: Windows XP und Windows Vista mit ein oder zwei GB Arbeitsspeicher zu betreiben, ist eine Herausforderung. Ubuntu Linux läuft ohne Probleme in einer solchen Hardware-Umgebung. Zudem gibt es spezielle Linux-Ausführungen, die sich mit wenigen Hardware-Ressourcen bescheiden und damit gut für alte Rechner geeignet sind (siehe Bilderstrecke “Linux für besondere Herausforderungen”).

5. Stabil: Linux ist deutlich stabiler als Windows-Betriebssysteme. Das ist auch der Grund, warum die meisten Web-Server das quelloffene Betriebssystem nutzen. Vergessen Sie den blue screen of death.

6. Programmier-Tools: Wer gerne das Programmieren erlernen möchte, ist bei Linux bestens aufgehoben. Linux-Distributionen werden mit Compilern und weiteren Werkzeugen ausgeliefert, mit denen sich Programmzeilen schreiben, testen und ausführen lassen. Die Gnu Compiler Collection (gcc) enthält beispielsweise Front-ends für die Sprachen C, C++, Objective-C, Fortran, Java und Ada.

7. Kurze Release-Zyklen: Linux-Distributionen werden schnell überarbeitet. Für gängige Versionen gibt es alle sechs Monate neue Upgrades oder Releases.

8. Hilfe aus der Community: Die weltweite Fangemeinde von Linux ist riesig. Es gibt unzählige Foren und Blogs, in denen Probleme diskutiert oder gelöst werden. Wer Rat sucht, wird hier in der Regel schnell fündig.

9. Linux und Windows lässt sich parallel betreiben: Einer Entscheidung für Linux folgt nicht zwangsläufig die Trennung von Windows. Beide Betriebssysteme lassen sich parallel auf unterschiedlichen Partitionen betreiben. Nutzer können Windows jederzeit starten. Außerdem ist es möglich, Linux unter Windows als Emulation zu betreiben. Dazu ist eine Emulationssoftware wie VMWare oder Microsofts Virtual PC erforderlich. Umgekehrt lassen sich auch Windows-Applikationen unter Linux nutzen, wenn etwa die Laufzeitumgebung Wine installiert ist.

10. Neue Erfahrungen sammeln: Wer Linux auf seinem Rechner installiert, wird viele neue Dinge lernen. Linux hat eine grafische Benutzeroberfläche, lässt aber auch die Bedienung via Kommandozeile zu. Das macht das System schneller und eröffnet den Nutzern viele interessante Möglichkeiten.

Eigentlich ja alles pausible Gründe, doch wenn es keinen Haken geben würde, wäre die Nachricht auch kein Blog-Eintrag wert :)

Also:

Über den dritten Grund muss ich mich doch sehr wundern. Es gibt keine Viren für Linux, es wird kein Anti-Virus benötigt, weil Viren keine Linux-Kisten infizieren… Wusste ich gar nicht! :D

Wenn ich das lese stell ich mir folgende Szene vor:

Mr. Virus will einen PC infizieren. Doch plötzlich meldet sich der PC selbst: “Halt ich bin eine Linux-Maschine!”. Darauf erinnert sich der Virus zurück: Viren infizieren keine Linux-Kisten, und sucht sich ein neues Opfer…

Mir stellt sich die Frage, wie die Computerwoche zu einer solchen Aussage kommt… Oder ob einer der Redakteure jemals ein Linux aus der Nähe gesehen hat….

Naja, wenigstens die erste Frage habe ich der Computerwoche nun gestellt! Mal schauen ob eine Antwort kommt…

Update vom 18.3.09:

Vielen Dank an Joachim Hackmann, dem Autor des Artikels, für die persönliche Stellungnahme! Herr Hackmann hat seinen Irrtum eingesehen und der Beitrag würde geändert:

3. Virus, Spyware, Adware – weniger problematisch: Lästige Viren und Würmer infizieren Linux-basierenden Systeme nicht so häufig wie Windows-Rechner.