Hallo!

Gestern hat der mitlerweile schon altbekannte "Bundeskriminalamt-Trojaner" (hxxp://www.pandemonia.de/netzinformationen/bundeskriminalamt-trojaner-sperrt-komplettes-betriebssystem) mein System befallen.

Habe ihn über die Systemwiederherstellung und die Kasperski Rettungs Disk dann wieder vom System entfernen können.

Trotzdem werde ich sicherheitshalber das System neu aufsetzen und den MBR neu schreiben lassen.

Was mich nur sehr enttäuscht ist, dass ich auf dem System den aktuellen Norton 360 5.0 installiert habe. Regelmäßige Updates und Systemscans wurden immer nach Plan gemacht.

Trotz komplett aktiviertem und aktuellem Norton "Schutz" sperrt der Trojaner während des surfens meinen PC.

Auch auf meiner Arbeitsstelle hat eine ähnliche Version des Trojaners den Rechner meines Kollegen lahm gelegt. Trotz installiertem Trend Micro Security Agent (aktuell und aktiv) schaffte es der Trojaner auf das System.

Da surfen ohne Java Script und Flash mittlerweile nicht mehr zeitgemäß ist, waren diese Scripte als Schwachstelle bei beiden Rechnern aktiviert.

Trotzdem finde ich es nicht in Ordnung, dass meine Security Software nicht mal mehr einen seit langem bekannten Trojanner blocken kann.

Ich muss erst auf die Kaspersky Seite gehen um eine Notfall CD zu erstellen, die dann das macht was Norton im aktivierten Zustand nicht hin bekommen hat.

Jetzt stellt sich für mich die Frage, ob ich mir direkt Kaspersky Internet Security auf dem System installiere, da diese ja anscheinend mit dem Schädling umzugehen wissen.

Was sind eure Erfahrungen und Meinungen dazu?

Hallo und

Erstens: Security Suiten sind eher kontraproduktiv statt nützlich, jedenfalls sind das meine Erfahrungen (Systembremsen, Systemkiller, schaffen es auch oft genug sich so fest ins System zufressen das es nach Deinstallation des Programmes nur Probleme gibt.).

Ein reiner Virenscanner reicht total aus, ich Empfehle immer Avast oder Emsisoft Anti-Malware sowie als On-Demand Scanner Malwarebytes Anti-Malware. Emsisoft kostet zwar ein wenig, ist aber dafür sehr gut in Sachen Erkennung und Stabilität. Als Firewall reicht die Windowseigene komplett aus.

Zweitens: Die verschiedenen Scanner (Avast, Kaspersky, Symantec usw.) kannst du nicht als gut oder schlecht einstufen aufgrund einer Malware. Die Scanneigenschaften sind derart unterschiedlich das nunmal Scanner 1 Malware ZB nicht erkennt und Scanner 2 Malware XY nicht, aber dafür gegenseitig die anderen, deshalb empfehle ich immer eine zweite Meinung in Form eines OnDemand-Scanners. Den perfekten Virenscanner der alles erkennt, gerne auch "Sicherheit aus der bunten Pappschachtel" genannt gibt es nicht. Das ist alles nur Reklame für ein Produkt was Mensch und Maschine nicht brauchen!

Für den privatgebrauch reicht ein kostenloser Virenscanner meist aus.

Ich hoffe ich konnte dir weiterhelfen.

So long,

Denis

Hallo yesup

Zitat:

Zitat von yesup

Was mich nur sehr enttäuscht ist, dass ich auf dem System den aktuellen Norton 360 5.0 installiert habe.

Nun, man muss zugeben, dass die Werbung (! man darf aber durchaus wissen was Werbung ist) hier sehr hohe - aber unhaltbare - Erwartungen weckt.
Würdest du einem Produkt aus der Humanmedizin glauben, bei dem mit "hilft gegen alles" geworben wird?
Zugegeben, für Medikamente darf nicht geworben werden und Yakult, rechtshüpfende Schlangenaugen & Co. verkaufen sich auch sehr gut.

Zitat:

Zitat von yesup

Da surfen ohne Java Script und Flash mittlerweile nicht mehr zeitgemäß ist

Unsinn.
JavaScript muss nicht ständig aktiviert und zugelassen sein, Flash noch sehr viel weniger.

Zitat:

Zitat von yesup

Ich muss erst auf die Kaspersky Seite gehen um eine Notfall CD zu erstellen, die dann das macht was Norton im aktivierten Zustand nicht hin bekommen hat.

Mit einer Notfall-CD von Symantec hätte es u.U. auch funktionieren können.

Zitat:

Zitat von yesup

Jetzt stellt sich für mich die Frage, ob ich mir direkt Kaspersky Internet Security auf dem System installiere, da diese ja anscheinend mit dem Schädling umzugehen wissen.

Nein, ist genauso fehlbar und kein AV-Programm kann alles heilen und alle möglichen Schwachstellen inkl. "suboptimalen Nutzerverhalten" abdecken.

Und aktuell wäre übrigens Norton 360 Version 6.0


Mal abgesehen davon, dass ich keines der genannten Programme wirklich heiß empfehlen würde und absolut nicht gesagt ist, dass die aktuelle Version von Norton 360 das Problem rechtzeitig erkannt hätte.
Ich kenne kein System bei dem dies mir berichtet wurde, nur mir jeweils unterschiedlichen AV-Programmen Schadensfälle.

Zitat:

Nun, man muss zugeben, dass die Werbung (! man darf aber durchaus wissen was Werbung ist) hier sehr hohe - aber unhaltbare - Erwartungen weckt.
Würdest du einem Produkt aus der Humanmedizin glauben, bei dem mit "hilft gegen alles" geworben wird?
Zugegeben, für Medikamente darf nicht geworben werden und Yakult, rechtshüpfende Schlangenaugen & Co. verkaufen sich auch sehr gut.

Zumindest kann man doch erwarten, dass einer der größten Anti Virensoftware Entwickler gegen einen schon über ein Jahr kursierenden Trojaner mittlerweile ein wirksames Sicherheitsupdate herausgebracht hat.
Ob es eine unhaltbare Erwartung darstellt, mit meinem Virenscanner vor einem altbekannten Trojaner gut geschützt zu sein weiss ich nicht so recht...

Meine Kaufentscheidung hatte ich aufgrund guter Testergebnisse in einem Vergleichstest getroffen und nicht aufgrund eines Werbebanners..

Das es kein Allheilmittel gibt, ist mir bestens bekannt.. Vielen dank für den Hinweis!

Zitat:

Unsinn.
JavaScript muss nicht ständig aktiviert und zugelassen sein, Flash noch sehr viel weniger.

Ist denke ich subjektiv und hängt von den Surfgewohnheiten ab...
Immerhin ist es nach dieser Satistik (hxxp://www.webhits.de/deutsch/index.shtml?webstats.html) bei 95,7% der Internetuser aktiviert... so auch bei mir...

Zitat:

Mit einer Notfall-CD von Symantec hätte es u.U. auch funktionieren können.

Aber nicht unter diesen Umständen... als Norton Kunde hatte ich es vorher mit der Norton Rescue Software ergebnislos versucht...

Zitat:

Und aktuell wäre übrigens Norton 360 Version 6.0

Richtig! Mein Fehler... Ich beziehe Norton 360 über 1und1 und da ist die 6.0 Version noch nicht verfügbar!

War mir nur unverständlich, warum Norton diesen Trojaner nach so langer Zeit noch durchgehen lässt... Vielleicht hat der Trojaner ja eine neue Signatur erhalten und konnte so den AV umgehen... ?!

Immerhin ist die Meldung (hxxp://www.pandemonia.de/netzinformationen/bundeskriminalamt-trojaner-sperrt-komplettes-betriebssystem) vom 5. Juni 2011... aber wahrscheinlich erwarte ich zu viel

Naja.. Daten sind alle gesichert... System ist dank SSD schnell wieder aufgesetzt... gibt schlimmeres...

Kam mir nur alles vor wie eine Nachlässigkeit von Norton, weil ein Firmen PC den Trojaner ebenfalls schon vor einem halben Jahr hatte... Eigentlich doch genug Zeit um nachzubessern...

[OT]

Zitat:

Zitat von yesup

Zumindest kann man doch erwarten, dass einer der größten Anti Virensoftware Entwickler gegen einen schon über ein Jahr kursierenden Trojaner mittlerweile ein wirksames Sicherheitsupdate herausgebracht hat.

Man kann vieles erwarten
Ich erwarte auch immer ein paar Sachen (offensichtlich zu viel) und werde fast jedes Mal enttäuscht von Gott und der Welt.

Zitat:

Zitat von yesup

Ist denke ich subjektiv und hängt von den Surfgewohnheiten ab...
Immerhin ist es nach dieser Satistik (hxxp://www.webhits.de/deutsch/index.shtml?webstats.html) bei 95,7% der Internetuser aktiviert... so auch bei mir...

Jetzt müsste man halt noch Java von JavaScript unterscheiden können.
Übrigens halte ich diese (explizit diese) Statistik doch für sehr eingeschränkt.
Objektiv ist sie sehr eingeschränkt und sehr zweifelhaft, weil sie nur auf Sites von Webhits-Abonnenten erhoben wurde, also ein durchaus spezielles "Publikum". Vernünftige Domainverträge haben heute ordentliche Statistik- und Auswertungsmöglichkeiten inkludiert.
In der "großen Welt" haben weder der IE6 noch Windows 2000 mehr so einen hohen Marktanteil, also dürfte der Rest genauso bescheiden zutreffend sein - und AFAIK funktioniert der ganze Mumpitz bei denen auch nur mit aktiviertem JavaScript.

Zitat:

Zitat von yesup

Richtig! Mein Fehler... Ich beziehe Norton 360 über 1und1 und da ist die 6.0 Version noch nicht verfügbar!

Ja, 1und1 ist ein Fehler, da hast du Recht.
[/OT]

Zitat:

Zitat von yesup

War mir nur unverständlich, warum Norton diesen Trojaner nach so langer Zeit noch durchgehen lässt... Vielleicht hat der Trojaner ja eine neue Signatur erhalten und konnte so den AV umgehen... ?!

Kann ich dir nicht beantworten, damit beschäftige ich mich nicht so.
Ich kann dir nur sagen, dass ich bei den befallenen Kunden-PCs auch in diesem Jahr schon mehrere(!) unterschiedliche AV-Programme, IIRC inkl. Kaspersky, vorgefunden habe. Die Malwareentwickler scheinen eine Weg gefunden zu haben.
Ich tippe (= Spekulation) ja darauf, dass eine diesbezügliche Warnmeldung der AV-Programme zu immens vielen falschen Warnmeldungen führen würde (false positives), weil möglicherweise die Malwareroutine.
In einem(!) Fall (Microsoft Security Essentials) hat übrigens nach der Infektion die richtige Datei als "suspekt" blockiert und angezeigt.
In allen anderen Fällen hat jeweils die Malware das System blockiert. Die jeweils installierte AV-Software hatte nicht geholfen. Allerdings kann ich dir von keinem Fall sagen, wie aktuell zum Zeitpunkt der Infektion die AV-Software war, das habe ich nie überprüft.

Zitat:

Zitat von yesup

Immerhin ist die Meldung (hxxp://www.pandemonia.de/netzinformationen/bundeskriminalamt-trojaner-sperrt-komplettes-betriebssystem) vom 5. Juni 2011...

Schönes Beispiel. Genau dort wird ja die Avira-Rescue-CD als Heilmittel erwähnt.
Ganz sicher habe ich aber um den Jahreswechsel eine Kundenfall mit Avira Free-AV gehabt (allerdings weiß jetzt nicht mehr ob dieser Fall "GEMA" oder "BKA" war, sicher aber Ukash )

Zitat:

Zitat von yesup

aber wahrscheinlich erwarte ich zu viel

Ja, offensichtlich. Du musst immer bedenken, dass - gerade auch diese Malware - Geld bringt und auch gerade deshalb du nicht davon ausgehen musst, dass diese Malware-Entwickler alle auf der Brennsuppe dahergeschwommen kommen. Auch Malwareschreiber können u. U. ihr Handwerk verdammt gut beherrschen (oder zumindest ausreichend gut).

Zitat:

Zitat von yesup

Zumindest kann man doch erwarten, dass einer der größten Anti Virensoftware Entwickler gegen einen schon über ein Jahr kursierenden Trojaner mittlerweile ein wirksames Sicherheitsupdate herausgebracht hat.

Nachtrag: Ein Mitarbeiter eines AV-Produkte-Herstellers hat gestern mir gegenüber behauptet, dass sie alleine in diesem Jahr schon ca. 200.000 Samples (unterschiedliche! Samples) dieser Malware bekommen hätten.

Jo man braucht ja nur mal Googlen oder Youtuben und schon findet man zig verschiedene Leute die zig verschiedene Varianten (Gema, Interpol, BKA, LKA, Verfassungsschutz, FBI, CIA, sogar vom BND wegen angeblichen Terrorismus^^ usw.) von dem Ding hatten. Das ist schon krass.

Wobei theoretisch die dahinterstehende Software (das Herz der Malware) nicht auch unterschiedliche sein müsste. Technisch kann man ja unterschiedliche Optik und "Inhalt" (Gema, BKA etc sowie "Preis") mit nur relativ wenigen Bytes und einer kleinen Zufallssteuerung locker in eine Datei packen. Aber genau dies (alles in einer gleichen Datei) ist ja kein Ziel der Hersteller.

Zitat:

Zitat von DasKnuffel

wegen angeblichen Terrorismus^^

die haben vermutlich zu viel Ami-Schrott im Fernsehen gesehen. ("PATRIOT Act" & Co.)