Freitag, 29. Januar 2010

Warnung vor dem bösartigem Zimuse Wurm - Removal Tool von Bitdefender

Diese Woche hat Bitfender eine Warnung vor dem zerstörerischen Virus Zimuse herausgebracht, der einen Teil der Festplatte (MBR) überschreibt und somit wirklich Daten löscht.

Das tückische an dem Virus ist, dass er als IQ-Test getarnt zunächst nicht in Erscheinung tritt (20 bzw. 40 Tage). Danach gibt es eine Fehlermeldung und nach anschließendem Neustart bootet der PC nicht mehr.

Um zu prüfen, ob der eigene PC bereits von Zimuse befallen ist, kann von Bitfender ein Online-Check durchgeführt werden. Weiterhin gibt es vom gleichen Hersteller ein Removal Tool, um befallene Rechner wieder zu säubern.

Der Virus ist mittlerweile gut dokumentiert, es gibt von seiner Funktionsweise auch ein Video auf Youtube.

Links zum Thema:
Zimuse.de

Donnerstag, 28. Januar 2010

test.reg im TEMP Ordner und automatischer Start vom Internet Explorer im Hintergrund

Bei einem Kunden hatte ich gerade ein hartnäckiges Problem mit einem Viren/Trojaner/Root-Kit Befall: Rootkit.TDSS

Nach jedem Neustart wurde im TEMP-Ordner eine Datei "test.reg" erzeugt, die u.a. Einstellungen des Internet Explorers zurücksetzte. Weiterhin wurde der Prozess iexplore.exe im Hintergrund gestartet, jedoch ohne sichtbares Fenster.

Beim Einsatz von Firefox gab es die Meldung, dass der IE der Standardbrowser sei und man das Verhalten ändern könne. Gebracht hat das jedoch nichts, weil die Einstellungen mit jedem Neustart überschrieben wurden.

Programme wie Malwarebytes oder Combofix konnten zwar installiert, aber nicht ausgeführt werden, da keine Fenster im Vordergrund waren und die Tasks lediglich im Hintergrund gestartet wurden.

Um das System wieder sauber zu bekommen, sind folgende Schritte notwendig (alles auf eigene Gefahr; diese Tools greifen tief in das System ein, daher nur von Profis zu benutzen):
- McAfee Rootkit Detective starten und entsprechende Aktionen durchführen (nicht abgesichert starten!)
- Rechnerneustart
- Malwarebytes installieren und durchlaufen lassen
- Rechnerneustart
- Combofix starten und durchlaufen lassen
- Rechnerneustart

Nun sollte der Rechner wieder sauber sein und alle Programme reagieren. Wie immer bei Viren/Trojaner/Root-Kit-Befall ist zu überlegen, ob der PC zur Sicherheit nicht doch lieber komplett formatiert und neu installiert werden sollte.

Links zum Thema:
McAfee Rootkit Detective
Malwarebytes Anti-Malware 
Combofix

Mittwoch, 27. Januar 2010

Von Microsoft empfohlene Ausschlußliste von Verzeichnissen für Virenscanner

Microsoft hat für die Betriebssysteme Windows Server 2008, Windows Server 2008 R2, Windows Server 2003, Windows 2000, Windows XP, Windows Vista und Windows 7 eine Empfehlung herausgegeben, in der Dateien und Verzeichnisse genannt sind, die von Virenscannern ausgeschlossen werden sollten.

Durch Beachten dieser Empfehlung kann die Sicherheit und Stabilität der Systeme, aber auch die Geschwindigkeit im Netzwerk verbessert werden.

Link zum Thema:
http://support.microsoft.com/kb/822158/en-us

Montag, 25. Januar 2010

Spendenaufruf: Umsatzerlös für Erdbebenopfer aus Haiti [Update 28.02.2010]

[Update 28.02.2010]
Kiene IT hat insgesamt 2.500 Euro an die Hilfsorganisation "Unsere kleinen Brüder und Schwestern" überwiesen. Dieses international tätige Kinderhilfswerk ist seit mehr als 22 Jahren auf Haiti tätig. Im aktuellen chrismon-Heft 03/2010 ist ein Artikel über das Kinderhilfswerk erschienen.

[Update 07.02.2010]
Bisher habe ich 2.240 Euro in Form von Dienstleistungen sammeln können.


Die Not der Erdbebenopfer in Haiti hat mich stark betroffen gemacht, insbesondere weil ich das Land vor vielen Jahren besucht habe und bereits die damalige Lage als bedrückend empfand. Nun ist die Not schlimmer denn je und ich möchte gerne meinen Beitrag dazu leisten, sie zu lindern.

Aus diesem Grund werde ich 1/3 meines Umsatzes auf EDV-Dienstleistungen der nächsten 3 Wochen, also bis zum 17.2.2010 einschließlich, den Erdbebenopfern in Haiti spenden.

Tun Sie Gutes und profitieren Sie gleichzeitig davon - nehmen Sie mich so viel in Anspruch wie Sie können und empfehlen die Aktion weiter. Die gesammelte Spendensumme wird nach Ablauf der 3 Wochen auf meiner Homepage veröffentlicht, ebenso wie der Spendenempfänger.

Kiene IT - "Technik die überzeugt - Service der begeistert"

Sonntag, 17. Januar 2010

Der Dienst Netzwerklastenausgleich wurde aufgrund eines Fehlers nicht gestartet

Nach der Installation von Symantec Backup Exec oder anderen Backup Programmen auf einem Windows 2003 Server kann es folgenden Eintrag mit der Ereigniskennung 7000 im Ereignisprotokoll geben:

Der Dienst "Netzwerklastenausgleich" wurde aufgrund folgenden Fehlers nicht gestartet:

Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.



Diese Meldung gibt es, obwohl der Dienst Netzwerklastenausgleich überhaupt nicht installiert ist. Abhilfe schafft eine Änderung in der Registry. Regedit starten und den Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS aufrufen:

 Der Wert der Zeichenkette "Group" steht auf "PNP_TDI" und muss auf "" (leer) geändert werden.

Links zum Thema:
http://support.microsoft.com/kb/833375/en-us,

Samstag, 16. Januar 2010

Patch verfügbar - Kritische Lücke im Internet Explorer - Angriff auf Google, Adobe + Co [Update 22.01.2010]

[Update 22.01.2010]
Der Patch von Microsoft ist mittlerweile verfügbar und kann u.a. über das Downloadcenter heruntergeladen werden: http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de

[Update 21.01.2010]
Für heute Abend ist endlich ein Patch für den IE6, 7 und 8 von Microsoft angekündigt! Weiteres im Link am Endes des Artikels.

Am 14. Januar 2010 ist bekannt geworden, dass durch eine bislang unbekannte Sicherheitslücke im Internet Explorer Angriffe auf Windows Rechner durchgeführt worden sind, die vermutlich aus China stammen. Aufgrund der Methode der Vorgehensweise wird vermutet, dass es sich um einen gezielten Angriff aus Regierungskreisen handelt. McAfee war einer der schnellsten Antivirenhersteller, die sich mit dieser Sicherheitslücke auseinandergesetzt und mit Microsoft zusammengearbeitet haben.

Durch diese Sicherheitslücke, die sich in der Version 6, 7 und 8 vom Internet Explorer ab Windows XP befindet und von Microsoft bestätigt ist, können Angreifer aus der Ferne Zugriff auf den Rechner bekommen, Programme ausführen und die gesamte Kontrolle übernehmen.

Zum Infizieren des Rechners muss eine manipulierte Webseite aufgerufen werden; bislang wurden E-Mails mit Links zu diesen Seiten an ausgewählte Mitarbeiter in den betroffenen Firmen geschickt, eine weitere Verbreitung hat bisher nicht stattgefunden.

Festzuhalten ist, dass zum jetzigen Zeitpunkt, der Angriff:
- ausschließlich chinesische Webseiten betraf
- nur Rechner mit Windows XP und Internet Explorer 6 befallen wurden
- Links zu den Webseiten gezielt per E-Mail verschickt wurden

Trotzdem gibt es die Sicherheitslücke weiterhin, Microsoft arbeitet mit Hochdruck an einer Lösung für den Internet Explorer und es ist nicht auszuschließen, dass künftig auch europäische Webseiten zum Zweck der Spionage mit der Sicherheitslücke präpariert werden.

Micosoft hat eine Sicherheitsempfehlung (Security Advisory) herausgegeben, wie das Risiko von der Sicherheitslücke betroffen zu werden, minimiert werden kann. Der BSI (Bund für Sicherheit in der Informationstechnik) erwartet, dass "diese Schwachstelle in kurzer Zeit für Angriffe im Internet eingesetzt wird." und empfiehlt, "bis zum Vorliegen eine Patches von Microsoft auf einen alternativen Browser umzusteigen.".

Der derzeit wohl sicherste Browser ist Opera, da sowohl Firefox (erhöhte Sicherheitslücken) als auch Chrome (hier liegt ebenfalls eine Warnung vom BSI vor) Risiken aufweisen.

Fragen zum Thema bitte per E-Mail oder der Kommentarfunktion im Blog stellen.
 
Links zum Thema:
[Update 21.01.2010] Update für den Internet Explorer demnächst verfügbar
[Update 19.01.2010] http://www.buerger-cert.de/extraausgabe_archiv.aspx?param=Zxo7YT%2f0ple8D0BOTjmS7w%253d%253d
https://www.bsi.bund.de/cln_174/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html
http://www.heise.de/newsticker/meldung/Angriffe-auf-Google-und-Co-durch-bislang-unbekannte-Luecke-im-Internet-Explorer-905183.html
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/
http://www.microsoft.com/technet/security/advisory/979352.mspx
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
http://www.gulli.com/news/google-hack-neue-hinweise-auf-regierungs-hilfe-2010-01-16

Freitag, 15. Januar 2010

Karteikarte Sicherheit in der Exchange 2003 Konsole anzeigen

In Exchange System Manager für Exchange 2003 wird nicht standardmäßig die Registerkarte "Sicherheit" angezeigt, die jedoch benötigt wird, um bestimmte Rechte zu setzen (z.B. dem Administrator das Recht zu geben, auf alle Postfächer zuzugreifen).

Um diese Registerkarte anzeigen zu lassen, muss ein Registrierungsschlüssel gesetzt werden:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Exchange\EXAdmin]
"ShowSecurityPage"=dword:00000001

Dieser Text kann einfach als .reg-Datei abgespeichert und in die Registrierung importiert werden. Alternativ ist der Key per Hand zu setzen über REGEDIT.

Die Änderung ist sofort wirksam.

Links zum Thema:
http://support.microsoft.com/kb/264733/en-us

Dienstag, 12. Januar 2010

Immer wieder mal wieder unterwegs - Erika Weber vom BKA (Viruswarnung)

Regelmäßig bekomme ich von Freunden und besorgten Kunden E-Mails zur Warnung weitergeleitet, in denen vor gewährlichen Viren und sonstigen Gefahren gewarnt wird. In den Mails selbst werden meist noch der gesamte Bekanntenkreis des Betroffenen und sämtliche Kollegen mit aufgeführt, um auch wirklich Jeden zu warnen.

Doch vor was? Meist geht es um das gefährlichste Computervirus der Welt, ein Kind, welches dringend auf einen Organ/Blutspender wartet, um Geld, das angeblich von AOL oder Microsoft ausgezahlt wird, etc. Man könnte meinen, es ist klar, dass diese Art von E-Mails nicht echt sein können. Trotzdem halten sich solche Kettenmails (und nichts anderes sind diese Art von E-Mails) über Jahre, teilweise sind die Ursprünge älter als 10 Jahre!

So warnt etwa Erika Weber vom BKA seit Januar 2010 vor einem (nicht existierenden) Virus:

Betreff: Fw: Bitte dringend lesen - PC-Virus
> Aufpassen!
> Bitte lesenDRINGEND
>
> wurde heute auch schon in Ö3 - durchgesagt! Bitteverteile diesen Hinweis an Deine Freunde, Familienangehörige und weitere Kontaktpersonen!
>
> In den kommenden Tagen solltest Duaufmerksam sein und keine eMail öffnen mit dem Betreff oder Anhang:Einladung, unabhängig davon wer sie Dir geschickt hat. Es handeltsich um ein Virus, das eine Olympia-Fackel öffnet, die die gesamtePC-Festplatte zerstört.
>
> Dieses Virus kann Dir von einemBekannten gesendet werden, in dessen Adressbuch du stehst. Darumsolltest Du diese Information an alle Deine Kontakt-Adressenweiterleiten. Diese Nachricht eventuell 25 Mal zu bekommen, sollteman bevorzugen, anstatt einmal eine solche Virus-eMail zu erhaltenund sie zu öffnen. Wenn dennoch eine eMail mit dem BetreffEinladung bei Dir eintreffen sollte- und sei es von einem Freund-,öffne sie nicht.
>
> Es handelt sich um das gefährlichsteVirus, das je durch CNN angekündigt wurde.
>
> Dieses neueVirus ist gerade - gestern Nachmittag - durch McAfee entdecktworden und von Microsoft als das zerstörerischste, das es jegegeben hat, eingestuft worden. Und noch gibt es keine Möglichkeit,diese Virusart zu eliminieren. Sie zerstört einfach die Zone Zero(Zentrum) der Festplatte, wo die lebenswichtigen Informationenabgespeichert sind.
>
> Schick bitte diese eMail an alle, die Dukennst! Denk daran: wenn Du sie ihnen sendest, ist das für uns allevon Vorteil
>
> Erika Weber
>
> Bundesministerium f.Inneres
>
> Bundeskriminalamt
>
> Büro II/BK6.1.2Personsfeststellung
>
> Tel: +43-1-24836/85888
>
> Fax:+43-1-24836/85889
> mailto:Erika.Weber@bmi.gv.at


Links zum Thema:
http://hoax-info.tubit.tu-berlin.de/
http://www.coart.de/Computer/Hoaxes-im-Internet

Montag, 11. Januar 2010

FlashPlayer auf Windows Terminal Server 2003 mit Internet Explorer IE8

Um den FlashPlayer auf einem Windows Terminal Server 2003 unter dem Internet Explorer 8 zum Laufen zu bekommen - ohne dass administrative Rechte vorhanden sein müssen - sind folgende Schritte vom jeweiligen User durchzuführen. Es sind keine Registry-Einträge notwendig.

Internet Explorer 8 starten:
- Extras -> Internetoptionen
- Erweitert -> Zurücksetzen -> Zurücksetzen

Internet Explorer 8 neu starten
- (Assistent) -> Weiter -> „Nein, nicht aktivieren“ -> Weiter -> Expresseinstellungen -> Fertig stellen