Viren

[mh]

Glück gehabt.

Doch Spass beiseite: Gerade die neueren Viren können ohne eigenes zutun gestartet werden und da sollte zumindest der Autoprotect des Nortons mitlaufen.

Du sagst richtig: Bei Mails sind die Microsoft Produkte (Outlook und Outlook Express Angriffspunkte. Aber diese Gefahr kann man bei Emails drastisch reduzieren, wenn man z.B. das Visual Basic und die Macros deaktiviert.

Bleibt noch die Gefahr der Infektion über eine versaute Webseite und das hat man nur mit einem permanent mitlaufendem Virenscanner im Griff.

Zur Datensicherung: So was ist sehr lobenswert, aber damit kann man auch auf die Nase fallen und zwar dann wenn man den Virus mitsichert oder man hat verschlüsselnde Viren im System.

Da gibt es einen - ich glaube sein Name ist IDEA - der die Daten beim Beschreiben der Platte verschlüsselt und beim Lesen entschlüsselt. Findet man den Virus und löscht ihn, dann sind die Daten plötzlich nicht mehr lesbar. Bei diesem Virus ist eine aufwendige Prozedur für die Entfernung notwendig.

Es muss sich natürlich jeder darüber im Klaren sein wie wichtig ihm seine Daten sind und welchen Aufwand er treiben will um sie zu schützen, aber mir würde es fürchterlich stinken, wenn ich durch Nachlässigkeit einen Rechner komplett neu aufziegeln müsste und anschliessend wieder alle Anwendungen einzubringen.

Lieber 10 mal zu oft suchen als einmal zu wenig und wenn das automatisch geht, wo liegt dann das Problem?

[sVeNd]

ich hatte auch mal die neuste version vom norton antivirus und internet protection drauf.. das ergebnis war aber nur, das bei jedem klick ein warnfenster kam, ohne dass da irgendein virus war (oder ist tt-news.de auch schon infiziert? Hiiilllfeeee.. ).
irgendwann legte das ding dann auch die komplette internet-verbindung über dsl lahm.. ich hab ewig gebraucht, bis ich auf die idee gekommen bin, dass das antivirus programm schuld sein könnte. deinstallieren ließ es sich auch nicht, und einfach löschen ging auch nicht. erst nachdem ich jeden einzelnen eintrag aus der registry gelöscht hatte, wars endlich weg, und die internet-verbindung ging wieder. seitdem benutze ich keinen virenscanner mehr..

[Stephan]

@mh
Wenn unser Netzwerkserver (über den habe ich Verbindung zum Internet) eine Firewall hat, braucht dann jeder einzelner Rechner des Netzwerks keine mehr?

Einem immer mitlaufendem Virenscanner stehe ich zwar immer noch zweifelnd gegenüber. Der Geschwindigkeitsverlust ist, finde ich, nicht unerheblich selbst bei modernen Rechnern. Das ist irgendwie so als würde man einen Ferrari mit angezogener Handbremse fahren. Aber Du kannst uns als Experte mal was gutes (und kostenloses) empfehlen, das könnte ich dann mal antesten. Wie und Wo schalte ich den VB in Outlook Express aus? Oder kann ich VB nur für ganzen Rechner deaktivieren?

MfG
Stephan

[BlackJack]

Im IE auf Extras->Internetoptionen->Sicherheit->Stufe auf hoch, dann Stufe anpassen und Active Scripting deaktivieren. Ende, Gelände

Also damit schiebt man den meisten VBS-Viren den den Riegel vor.

[mh]

Wenn Euer Netzwerk über einen Firewall und dann (wahrscheinlich noch ein Proxy-Server) abgesichert, dann braucht man normalerweise keinen Firewall auf den einzelnen Rechner mehr, es sei denn das Netzwerk ist so groß, daß sich innerhalb des geschützten Bereiches einige Spielkälber betätigen. (z.B. Uninetzwerke)

Was aber auf jedem Rechner vorhanden sein sollte ist ein Virenscanner. Ich verwende den Norton Antivirus und habe noch keine Performanceverluste beobachtet. Wie das natürlich bei hochgezüchteten Internetspielen aussieht ist mir nicht bekannt.
Falls es Probleme mit der Leistung geben sollte, kann man über die Konfiguration noch einiges tunen. z. B. sollten nur Dateien gescannt werden, die auch Viren enthalten können. (TXT,BMP,JPG,TIF,GIF sind z.B. garantiert virenfrei)

Visual Basic kann nur für den ganzen Rechner deaktiviert werden, aber wenn Du in einem grösseren Netzwerk hängst, dann müssen die Netzwerkadmins ihr Ok. dazu geben, denn dort wird es häufig dazu verwendet um Softwareupdates in einen Rechner einzuspielen. Wie es gemacht wird hängt vom jeweiligen OS ab.

[mh]

Zitat:

Original geschrieben von BlackJack
Im IE auf Extras->Internetoptionen->Sicherheit->Stufe auf hoch, dann Stufe anpassen und Active Scripting deaktivieren. Ende, Gelände

Also damit schiebt man den meisten VBS-Viren den den Riegel vor.

Diese Methode legt aber auch Java(script) lahm und damit gehen viele Webseiten nicht mehr.

Man kann auch die Endung *.vbs (visual Basic) aus der Registry herausnehmen und dann funktioniert die automatische Ausführung dieser Dateien nicht mehr.

[BlackJack]

Ja, das mit dem Java ist mir durchaus bewusst, aber wer hohe Sicherheit will, der muss auch den Preis dafür in Kauf nehmen.

[chr.flader]

Hi leute neuer Virus:

NAME: Vote
ALIAS: WTC, W32/Vote@mm, I-Worm.Vote
TYP: Wurm (geschrieben in Visual Basic)
F-PROT: wird erkannt und beseitigt
Gefahr **** (mittel-hoch) [Hoch falls der Benutzer das Attachment öffnet]
Herkunft ?
Datum: 24.09.2001

Vote ist ein einfacher Visual-Basic Virus, der die WTC-Tragödie (World-Trade Center) ausnutzt, damit er ausgeführt wird. Ausserdem verbreitet er sich über E-MAIL als Massen-Mail-Wurm.

Offenbar wurde er von einem "Jugendlichen" in die Welt gesetzt, da er sehr einfach programmiert wurde.

Vote wurd am 24. September 2001 entdeckt, 13 Tage nach der schrecklichen Tragödie in den USA.

Bis jetzt gibt es keine Anzeichen dafür, dass der Wurm sich frei verbreitet (Stand 25.9.2001). Wahrscheinlich wird er sich auch kaum ausbreiten.

Programm-Code (binärer Teil)

Der Wurm benutzt das Standard Windows Mail API, um an das Adressbuch zu gelangen. Damit sind Benutzer von MAPI-kompatiblen Mail-Clients betroffen, hauptsächlich Benutzer von Microsoft Outlook

Die E-MAIL, die der Wurm verschickt, sieht folgendermaßen aus:

Von: Name-des-infizierten-Benutzers
An: Zufalls-Name-aus-dem-Adressbuch
Betreff: Fwdeace BeTween AmeriCa and IsLaM !


Hi
iS iT waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!

Attachment: WTC.exe



Folgende Dateien werden von der Festplatte gelöscht:

'C:\Program Files\AntiViral Toolkit Pro\*.*'
'C:\eSafe\Protect\*.*'
'C:\Program Files\Command Software\F-PROT95\*.*'
'C:\PC-Cillin 95\*.*'
'C:\PC-Cillin 97\*.*'
'C:\Program Files\Quick Heal\*.*'
'C:\Program Files\FWIN32\*.*'
'C:\Program Files\FindVirus\*.*'
'C:\Toolkit\FindVirus\*.*'
'C:\f-macro\*.*'
'C:\Program Files\McAfee\VirusScan95\*.*'
'C:\Program Files\Norton AntiVirus\*.*'
'C:\TBAVW95\*.*' 'C:\VS95\*.*'

Dadurch sollen einige Antiviren-Produkte unbrauchbar gemacht werden.

Trojan Installation

Der Wurm öffnet zwei Internet-Explorer Fenster. Das eine Fenster versucht den Trojaner Barrio 5.0 herunterzuladen und setzt die Startseite des Explorers auf diese Adresse.

Das Trojaner-Programm Barrio ist hauptsächlich dazu entwickelt worden, Passwörter auf einem System zu sammeln und zu versenden. Er kann Einwahl-Passwörter, ICQ UIN und Passwörter, u.a. ausspähen und dann an eine vordefinierte E-MAIL-Adresse senden.

Script-Komponenten

'[windows_Verzeichnis]\MixDaLaL.vbs' ist ein Visual Basic Skript, das alle erreichbaren lokalen und Netzwerk-Laufwerke nach .HTM und .HTML Dateien durchsucht. Der Inhalt aller dieser Dateien wird durch folgenden Text ersetzt:

'AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You .'

'ZaCker.vbs' wird im Windows-System-Verzeichnis abgelegt und in der Registry eingetragen unter '[HKLM]\Software\Microsoft\Windows\CurrentVersion\run\Norton.Thar', wodurch diese Datei beim nächsten Systemstart ausgeführt wird.

ZaCker.vbs löscht zunächst alle Dateien im Windows-Verzeichnis und gibt dann diese Meldung aus:



Danach ändert dieses Skript die autoexec.bat so ab, dass beim nächsten Systemstart Laufwerk C: formatiert wird. Dieser Teil des Skripts wird abgebrochen, so dass die autoexec.bat leer bleibt. Er versucht einen Neustart des Systems, was aber nicht durchgeführt werden kann, da die Programme zur Ausführung des Reboots gelöscht wurden.

Anleitung zur Beseitigung

Sobald der Wurm aktiviert wurde, darf das System zunächst nicht neu gestartet werden, bevor nicht Vote beseitigt wurde, andernfalls wird die Schadfunktion des Programms ausgeführt.

Die folgenden Dateien müssen entfernt werden:

'[windows_Verzeichnis]\WTC.EXE'
'[windows_Verzeichnis]\MixDaLaL.vbs'
'[system_Verzeichnis]\ZaCker.vbs'

Dieser Registry-Eintrag muss gelöscht werden:

'[HKLM]\Software\Microsoft\Windows\CurrentVersion\run\Norton.Thar'

Oben erwähnte Anwendungen (Anti-Viren-Programme) müssen wieder installiert werden, falls sie auf dem System vorhanden waren.


Alle gelöschten .HTM und .HTML- Dateien müssen von einer Sicherungskopie wieder eingespielt werden.

[mh]

Dieser Virus ist in den neuesten Signaturen von Symantec, McAffee und einigen anderen Herstellern bereits vorhanden.

[Stephan]

Ein Bekannter (ebenfalls TT-Spieler) hat mir mal gesagt, daß er ein Programm hat, mit dem er selber (eigentlich hat er keine blassen Schimmer vom Programmieren etc.) Viren entwickeln kann. Ich frage mich, wer sich so einen Sch hat einfallen lassen?
Auf die Frage, was er denn mit einem solchen Programm vor hat, kam nur ein dämliches Grinsen.
Es scheint ja genug Bekloppte zu geben, die es witzig finden andere Leute auf aller übelste Art und Weise zu ärgern (da kann man schon von schädigen sprechen).

Die Welt ist schon verrückt.


MfG
Stephan