Jump to content
Sign in to follow this  
lefg

GEMA: Der Rechner wurde gesperrt

Recommended Posts

Eben wurde ich einen anderen Zuständigkeitsbereich gebeten, mir einen Rechner anzuschauen, eine misteriöse GEMA sperrte den Rechner, behauptete illegale Downloads und wollte 50€ für eine Freischaltung.

 

Der Taskmanager geht nur kurz auf und schliesst wieder.

 

Das Netz ist durch ein Avirgate "gesichert", auf dem Rechner läuft Sophos, der User hat keine Rechte.

 

Ob der der Rechner auf dem aktuellen Patchlevel war?

 

Ich werde mich da nicht lange dran aufhalten und imagen.

 

Wie kann sich sowas festsetzen, was kann man vorbeugend daggegen tun?

Share this post


Link to post
Share on other sites

Diese Viren sind durchaus bekannt. Wenn dier User keine Adminrechte hat, wird er wahrscheinlich nur im User-Modus ausgeführt. Dann sollte man ihn eigentlich leicht wegbekommen. notfalls mit Windows-PE .

 

Schutz ? Immer einen aktuellen Virenscanner benutzen und am Proxy am besten den Download von ausführbaren Dateien über einen Filter zusätzlich komplett sperren. Über Gruppenrichtlinien am PC lässt sich auich steueren, aus welchen Ordnern Programme gestartet werden drüfen.

 

-Zahni

Share this post


Link to post
Share on other sites
Wie kann sich sowas festsetzen, was kann man vorbeugend daggegen tun?

 

Hat mich neulich mein Nachbar, - ein ziemlich konservativer Familienvater, der immer gerne mal die christlichen Werte betont - mit einem ähnlichen Virus auf seinem Rechner auch gefragt.

"Und woher kommt sowas, wie kann man sowas vermeiden?"

 

Meine Antwort, die erstmal ganz frei von Hintergedanken war: Ich könnte auf deinem Rechner den Browserverlauf und die Temporary Internet Files ansehen. Da kann man vielleicht erkennen, ob du evtl. auf gefährlichen Websites unterwegs warst.

Seine Frau fand mein Angebot sehr nett und freundlich, er hat auf einmal irgendwie das Rumdrucksen angefangen :D

Share this post


Link to post
Share on other sites

Ja, irgendwo muss sowas ja herkommen. :D

 

Ich glaube also dem User, ich verhöre ihn nicht, bringe ihn nicht in Verlegenheit, er ist einer meiner tit4tat, der Gefährte einer besten Freundin. Gegebenfalls wird es ihm eine Lehre sein.

 

Also begrabe ich die Sache.

 

:)

 

Was mich wundert, sogar verunsichert, der Sophos hat da anscheinend überhaupt nicht reagiert. Bei etwas Überlegung beunruhigt mich das sogar, also werde ich mal Sunny`s Rat folgen, danach mal versuchen den EICAR zu laden; mir den Status des Sophos in Stichproben kontrollieren in dem Standort hier. Verdächig ist mir seit einiger Zeit so einiges ausserhalb meines Verantwortungsbereiches.

Share this post


Link to post
Share on other sites

Die Verteilung der Malware läuft laut Microsoft unter anderem über das Exploit-Kit Black Hole, das den Rechner beim Besuch einer verseuchten Webseite auf bekannte Sicherheitslücken in Adobe Reader, Flash, Java und Windows abklopft. Hat das Exploit-Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.

 

Quelle: Heise Security

 

edit:

Nicht immer sind es "unseriöse" Webseiten wo man sich per "drive by" etwas einfangen kann.

Schadcode auf schlecht gesicherte Webserver zu bringen ist durchaus eine sportliche Herausforderung für so manchen.

So kann es dann vorkommen dass von einer musikvereinxy.com eine Gefahr ausgeht. (Auch wenn hier nur eine beschränkte Zahl von Nutzern betroffen sein dürfte) ... dieses Beispiel hatten wir grad vor kurzem.

Share this post


Link to post
Share on other sites

Kenn ich auch das Ding, hat sich an ESET aktuelle Version mit Updates auch vrbeigeschlichen, der Scanner hat es im nachhinein erkannt konnte es dann aber nicht mehr desinfizieren. Offline Scannen und gut ist.

 

Das Ding hing, bei vielen Fällen die mir bekannt, auch sind an einem Crack für Office 2010.

 

Grüße

Lars

Share this post


Link to post
Share on other sites

Genau obwohl das nicht immer eine Herausforderung sein muß.

 

Schadcode auf schlecht gesicherte Webserver zu bringen ist durchaus eine sportliche Herausforderung für so manchen.

 

Das sind oftmals harmlose Webseiten deren Content Verseucht ist. Mag sein durch schlecht gesicherte Webserver oder schlecht gesicherte FTP und SSH Zugänge.

 

Die Webseite eines Kunden von mir wurde durch einen FTP Zugang verseucht.

Das Passwort war demjenigen bekannt und wir wissen bis heute nicht woher.

 

In den mir bekannrten Fällen dieser GEMA, Bundespolizei und ScareWare Vorfällen, kam der Schadcode immer über den JavaCode entsprechender Webseiten. Spuren sind meistens im lokalen Java Cache des Benutzers zu finden.

 

Gruß

 

tcpip

Share this post


Link to post
Share on other sites

Ich habe den Sophos mal laufen lassen:

 

Adware/PUA 'dWinlock' wurde erkannt

 

In den Anwendungsdaten des Benutzers:

 

dwlGina3.dll

 

Registrierungseintrag: HKCR/exefile/default

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...