Jump to content

GEMA: Der Rechner wurde gesperrt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Eben wurde ich einen anderen Zuständigkeitsbereich gebeten, mir einen Rechner anzuschauen, eine misteriöse GEMA sperrte den Rechner, behauptete illegale Downloads und wollte 50€ für eine Freischaltung.

 

Der Taskmanager geht nur kurz auf und schliesst wieder.

 

Das Netz ist durch ein Avirgate "gesichert", auf dem Rechner läuft Sophos, der User hat keine Rechte.

 

Ob der der Rechner auf dem aktuellen Patchlevel war?

 

Ich werde mich da nicht lange dran aufhalten und imagen.

 

Wie kann sich sowas festsetzen, was kann man vorbeugend daggegen tun?

Link zu diesem Kommentar

Diese Viren sind durchaus bekannt. Wenn dier User keine Adminrechte hat, wird er wahrscheinlich nur im User-Modus ausgeführt. Dann sollte man ihn eigentlich leicht wegbekommen. notfalls mit Windows-PE .

 

Schutz ? Immer einen aktuellen Virenscanner benutzen und am Proxy am besten den Download von ausführbaren Dateien über einen Filter zusätzlich komplett sperren. Über Gruppenrichtlinien am PC lässt sich auich steueren, aus welchen Ordnern Programme gestartet werden drüfen.

 

-Zahni

Link zu diesem Kommentar
Wie kann sich sowas festsetzen, was kann man vorbeugend daggegen tun?

 

Hat mich neulich mein Nachbar, - ein ziemlich konservativer Familienvater, der immer gerne mal die christlichen Werte betont - mit einem ähnlichen Virus auf seinem Rechner auch gefragt.

"Und woher kommt sowas, wie kann man sowas vermeiden?"

 

Meine Antwort, die erstmal ganz frei von Hintergedanken war: Ich könnte auf deinem Rechner den Browserverlauf und die Temporary Internet Files ansehen. Da kann man vielleicht erkennen, ob du evtl. auf gefährlichen Websites unterwegs warst.

Seine Frau fand mein Angebot sehr nett und freundlich, er hat auf einmal irgendwie das Rumdrucksen angefangen :D

Link zu diesem Kommentar

Ja, irgendwo muss sowas ja herkommen. :D

 

Ich glaube also dem User, ich verhöre ihn nicht, bringe ihn nicht in Verlegenheit, er ist einer meiner tit4tat, der Gefährte einer besten Freundin. Gegebenfalls wird es ihm eine Lehre sein.

 

Also begrabe ich die Sache.

 

:)

 

Was mich wundert, sogar verunsichert, der Sophos hat da anscheinend überhaupt nicht reagiert. Bei etwas Überlegung beunruhigt mich das sogar, also werde ich mal Sunny`s Rat folgen, danach mal versuchen den EICAR zu laden; mir den Status des Sophos in Stichproben kontrollieren in dem Standort hier. Verdächig ist mir seit einiger Zeit so einiges ausserhalb meines Verantwortungsbereiches.

Link zu diesem Kommentar

Die Verteilung der Malware läuft laut Microsoft unter anderem über das Exploit-Kit Black Hole, das den Rechner beim Besuch einer verseuchten Webseite auf bekannte Sicherheitslücken in Adobe Reader, Flash, Java und Windows abklopft. Hat das Exploit-Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.

 

Quelle: Heise Security

 

edit:

Nicht immer sind es "unseriöse" Webseiten wo man sich per "drive by" etwas einfangen kann.

Schadcode auf schlecht gesicherte Webserver zu bringen ist durchaus eine sportliche Herausforderung für so manchen.

So kann es dann vorkommen dass von einer musikvereinxy.com eine Gefahr ausgeht. (Auch wenn hier nur eine beschränkte Zahl von Nutzern betroffen sein dürfte) ... dieses Beispiel hatten wir grad vor kurzem.

Link zu diesem Kommentar

Genau obwohl das nicht immer eine Herausforderung sein muß.

 

Schadcode auf schlecht gesicherte Webserver zu bringen ist durchaus eine sportliche Herausforderung für so manchen.

 

Das sind oftmals harmlose Webseiten deren Content Verseucht ist. Mag sein durch schlecht gesicherte Webserver oder schlecht gesicherte FTP und SSH Zugänge.

 

Die Webseite eines Kunden von mir wurde durch einen FTP Zugang verseucht.

Das Passwort war demjenigen bekannt und wir wissen bis heute nicht woher.

 

In den mir bekannrten Fällen dieser GEMA, Bundespolizei und ScareWare Vorfällen, kam der Schadcode immer über den JavaCode entsprechender Webseiten. Spuren sind meistens im lokalen Java Cache des Benutzers zu finden.

 

Gruß

 

tcpip

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...