browser startet selbst - und andere Ungereimtheiten

[Waldfee106]

So, ich danke Euch für die umfangreiche Hilfe - und v.a. für die Geduld!

Ich hab das System neu gemacht - jetzt kommt noch nen Kaspersky Virenscanner drauf und dann sollte sowas nicht wieder vorkommen.

Lt. Scan ist nun alles clean hier und ich bin heilfroh, dass das nun überstanden ist. (hoffentlich)

[Chakky]

So, ich danke Euch für die umfangreiche Hilfe - und v.a. für die Geduld!

Ich hab das System neu gemacht - jetzt kommt noch nen Kaspersky Virenscanner drauf und dann sollte sowas nicht wieder vorkommen.

Lt. Scan ist nun alles clean hier und ich bin heilfroh, dass das nun überstanden ist. (hoffentlich)

und ne software firewall? (sofern kein router vorhanden ist), ja ich weis darüber kann man sich streiten bis zum geht nicht mehr

und nur noch mit den FF surfen oder? ^^

[InformatiX]

installier doch einfach den avg antivirus....

und aktivier die xp firewall ODER hol dir kerio..

ich hab mit der kombination avg scanner + kerio firewall seit über nem jahr keinerlei probleme mit viren oder andren biestern gehabt und das obwohl ich mitm ie und java und co aktiviert surfe..

grüße
steffen

[Sting]

Nein, darüber kann man sich nicht streiten.
So etwas gehört einfach dazu.

aktuellste OS-Updates
guter Virenscanner mit aktuellen Updates
Softwarefirewall
gescheiter Router

Wenn das jeder beachten würde, dann hätten die Viren- & Trojaner-Programmierer bald keine Lust mehr. So lange man ihnen aber die Angriffsmöflichkeiten bietet wird das immer so weitergehen.
Es gibt sogar ganz gute kostenlose Alternativen für diese Zwecke und trotzdem gehen viele mit ihrer gecrackten XP-Lizenz ohne Updates ohne Schutz und ihne zu überlegen ins Internet. Machen dort Online-Banking, ziehen gemütlich Filme und öffnen Anhänge in Mails, obwohl klar zu erkennen ist, dass diese Mails nicht in das Postfach gehören.
Wer sich einen PC kauft, der sollte sich auch eine gute Security-Suite kaufen, wie Kaspersky oder GData. Wenigstens ein Virenscanner sollte überall vorhanden sein.
So und jetzt wirds langsam Off-Topic.

Viel Glück mit deinem neu aufgesetzten System Waldfee.

[Chakky]

Nein, darüber kann man sich nicht streiten.

eine desktop firewall ist ein einfacher paketfilter auf der anwender ebene und kann somit beeinflusst werden

es gibt genug tutorials und papers die beweisen das eigtl sowas unnütz ist.
hilft halt nur gegen automatisierte "angriffe" und paar scriptkidz aber jmd der wirklich was will trickst das ding ohne probleme aus

//edit habt dir mal ein beitrag aus einen anderen forum rauskopiert

Warum Desktop-Firewalls nix taugen

Vorüberlegung
Zunächst einmal stellt sich die Frage, wovor dich eine Personal-
Firewall eigentlich schützen soll?

Im wesentlichen werden zwei Zeile angestrebt:
- Unerwünschten Datentransfer von innen nach außen unterbinden
- Schutz vor unerwünschten Zugriffen von außen

Einige PF enthalten noch einen http-Proxy zur Filterung von
Werbebannern oder Cokies.



Datentransfer von innen nach außen
Einige Beispiele aus dem realen Leben:

1)
Das trojanische Pferd der Firma Aureate basierte auf einem Netscape
Navigator / Internet Explorer Plugin und kommuniziert somit nicht
*direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die
Probleme, die sonst bei einem Internetzugang über ein Netzwerk
auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm,
sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum
Beispiel von GoZilla und WebCopier verwendet.
Anscheint greifen neuere Versionen des Trojanischen Pferdes über die
Wirtsanwendung auf das Internet zu, sofern es sich bei diesen
Programmen um "Internet-Software" handelt.
Suchstichwörter: advert.dll, Radiate

2)
Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine
HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die
Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
unter anderem aus den Dateinamen, die man unter {Start | Dokumente}
findet.

Der Realplayer kommuniziert übrigens auf diese Weise unter Umgehung
der Firewall mit dem Internet (auch wenn ZA die "normale" Kommuni-
kation erkannt und unterbunden hat):

C:\WINDOWS\TEMP\RN7080.htm
|<HEAD>
|<META HTTP-EQUIV="refresh" CONTENT="0;URL=http://presets6.real
|.com/sitesmenu/rphurl.html?xx00xx00x0X0xxx00xXxxxx0x0xxxxxxxXx
|xxxxxxxx0xxxxxx0xx0xxxxxxXxxxx0x00xx0x0xx00xxx0xxxxx0X0X0x0X0x
|xx0X0xxx0X0000xx0xxx0X0xxx0X0xxx0X0X0x0X0Xxx00xxxxxXxxx0xx0x0x
|xx0xx0x00xxxxX00xxXx0xXxxxx0xxXx0X0X0x0x00x00x0Xxxx">
|</HEAD>

Anonymisierung: Zahlen: 0 Großbuchstaben: X Kleinbuchstaben: x

3)
|Do you want Microsoft Internet Explorer to access the internet?
|Do you want Netscape Navigator to access the internet?
|Do you want Microsoft Windows 95 to access the internet?
|Do you want DFÜ-Netzwerk to access the internet?
|Do you want Zone Alarm to access the internet?

Vernünftig programmierte Spyware wird sich ja kaum
als "The ultimative hacking tool" in Windows anmelden.

4)
Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over
E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz
normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes
Protokoll über jedes andere tunneln, solange man Einfluss auf
eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel
geht das auch über "viele Ecken".

[1] Proxys verstehen im Gegensatz zu Packetfiltern das jeweilige
Protokoll und sind trotzdem gegen Tunnel (fast) machtlos, da sich
diese auf Protokollebene korrekt verhalten und lediglich unerwünschte
Inhalte transportieren.


5)
Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der
selben Ebene wie die PF mit dem Netzwerk zu kommunizieren
(also nebenher). Unter Windows NT (2000, XP) gilt das gleiche,
wenn man sich als "Administrator" angemeldet hat; z.B. um Soft-
ware im guten Glauben zu installieren.

Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll
ersetzen. Mittlerweile gibt es einen Proof-Of-Concept:
http://www.securityfocus.com/archive/1/244026 (Englisch)


6)
Mittlerweile gibt es auch die ersten bösen Programme [tm], die
einige Desktop-Firewalls (bzw. bestimmte Versionen) einfach beenden:
http://groups.google.com/groups?selm=3B ... hemnitz.de
http://www.seue.de/y3k/y3k.htm
Theoretisch dürften im Worst Case (also wenn das böse Programm [tm]
Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich
machtlos sein.

Außerdem kann man viele Desktop-Firewalls durch ähnlich-aussehende
Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in
der Registry löscht und den Aufruf des User-Frontends mit dem Datei-
namen eines entsprechend präparierten Programmes überschreibt.

Normale Benutzerrechte reichen bei den meisten PFs,
um neue Regeln einfügen:
http://www.heise.de/newsticker/data/pab-18.05.01-001
http://my-forum.netfirms.com/zone/zcode.htm (bestätigt "Yes-Button")


Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht
mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das
angeblich ein Virenscanner ist (und auch wirklich andere Viren findet)
allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht.


Zugriffsmöglichkeiten von außen
Von außen, gibt es grob gesagt drei Möglichkeiten, Zugriff auf dein System zu erlangen:

Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und
Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern
auch an das Internet-Interface gebunden ist. (Bei diesem Beispiel
sind Personal-Firewalls recht erfolgreich)

Bugs und Fehlkonfiguration (Default) z.B. in Browsern und
Mailprogrammen. Gegen erstere haben Personal Firewalls nur
dann eine Chance, wenn diese Fehler den Herstellern bekannt sind.
Bevor diese allerdings ihre Produkte angepasst haben, hat MS
(bzw. der Herstellers des fehlerhaften Programms) idR. ihre
Sicherheitspatches schon längst veröffentlicht.

Zu guter letzt könntest du dir noch eine Fernwartungssoftware
oder ein anderes böses Programm installiert haben (wahrscheinlich
eher unbewußt z.B. über Mail-Attachments, aktive Web-Inhalte
(ActiveX), oder im guten Glauben ein nützliches Programm zu
installieren). Dagegen sind PF ebenfalls machtlos: Es befindet
sich in diesem Fall bereits ein Programm auf deinem Rechner,
das die PF so verändern kann, dass sie Verbindungsaufbauten
von außen ohne Rückfrage annehmen. Oder noch leichter:
Es baut selbst eine Verbindung nach außen auf und holt sich seine
Befehl ab. (Damit fällt es in den ersten Abschnitt).



Weiterführende Informationen

Artikel im HaBo-WiKi:
http://wiki.hackerboard.de/index.php/Desktop_Firewall

de.comp.security.firewall FAQ von Lutz Donnerhacke:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Die "Zonealarm-FAQ" von Utz Pflock aus news:de.comp.security.firewall
enthält einige Informationen darüber, wie man als Privatanwender
einen Kompromiss zwischen Funktionaliät und angestrebter Sicherheit
erreichen kann. http://www.pflock.de/computer/za_faq.htm

Situationen, die einige PFs als "Angriff" fehlinterpretieren (engl.):
http://www.dslreports.com/forum/remark, ... ~mode=flat

http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
http://www.team-cauchy.de/personal/
http://www.fefe.de/pffaq/halbesicherheit.txt
http://www.samspade.org/d/persfire.html (Englisch)




Schlussüberlegung
Desktop-Firewalls können für den Fall als Sicherheitsnetz dienen,
dass man die "Datei- und Druckerfreigabe" falsch konfiguriert hat
oder sich in der Vertrauens-Einschätzung eines sehr schlampig
programmierten bösen Programmes vertan hat.

Diese Netz ist allerdings sehr weitmaschig, so dass man sich darauf
*nicht* verlassen kann. Daraus ergibt sich eine nicht zu unter-
schätzende neue Gefahr: Viele Leute werden mit dem Wissen, eine
PF und einen Virenscanner zu haben, ausnahmsweise ein einziges Mal
ein nicht vertrauenswürdiges Programm starten, ...

Zu guter letzt handelt es sich bei Personal-Firewalls (von
ipchains/iptables mal abgesehen) meist um closed-source Produkte,
bei denen sich wieder die Vertauensfrage stellt. Die einer PF
zur Verfügung stehenden Daten sind marketingtechnisch sicherlich
nicht uninteressant.

[Waldfee106]

Also nen Router hängt davor .... das war der Grund, warum Männe meinte bisher, es sei kein Virenscanner nötig.

Auf dem Schleppi haben wir AVG drauf und den hätt ich gerne auch auf dem großen Rechner, der nu neu ist. Aber Männe will den Kaspersky haben

Ich würde auch diesmal gerne auf SP2 verzichten ... auch das eine Gretchenfrage Manch einer schört drauf andere lehnen es ab.

[InformatiX]

Also ich statte jeden pc, auch wenn er hinter nem router hängt, mit virenscanner, desktop-firewall (auch um zu verhindern, daß alle möglichen programme "nach hause telefonieren" und irgendwas zum rootkit- und adaware und co suchen aus.. alle akt. patche von ms inkl. sp2 sind bei xp meiner meinung nach auch pflicht !
Vor allem da es für Privatanwender wirklich gute kostenlose Antivir- und Firewall-Software gibt..

ein router verhindert zwar, daß alle offenen windows-ports nach aussen hin gleich sichtbar sind, kann aber nix gegen im datenstrom enthaltene seuchen unternehmen....
(sieht man von ner osi-layer-7-firewall ab die wohl die wenigsten privatanwender daheim stehen haben *g*)

grüße
steffen

[lunic]

Ich hab zu dem Thema Sicherheit im Internet mal ne Site geschrieben, bei Interesse kannst du dich ja mal durchlesen.. klick.
Ich hoffe die Links gehen alle noch.

Grüße!

[Waldfee106]

Sieht ja Klasse aus

Kann mit Sicherheit nicht schaden .... hab erstmal drübergeschaut vorm Frühstück muss ich da nicht in die Tiefe gehen bei dem Thema *gg*