Mpack-Abwehr

    Es gibt ja ein paar Dinge, die man tun kann um (auch) vor MPack sicher zu sein. Diese haben jedoch die unangenehme Nebenwirkung, daß viele Internetseiten nicht oder nicht vernünftig angezeigt werden:

    Deaktiviere jegliche aktive Inhalte und Scripte, die Internetseiten auf Deinem Rechner ausführen möchten.Das ist der einzige Weg, vor einer Infektion zuverlässig geschützt zu sein.

    Da das wie schon erwähnt zur Unbenutzbarkeit zahlloser Internetangebote führt, bei denen der Betreiber in seiner grenzenlosen Ignoranz gegenüber den Nutzern keine "normale" html-Funktionalität mehr bereitstellt, bleibt Dir nur übrig, in jedem Einzelfall abzuwägen, ob das Erlauben der Inhalte das Risiko infiziert zu werden rechtfertigt. Denn mpack wurde schon nachgewiesen auf (kommerziellen) Seiten aus den Bereichen Tourismus, Autohersteller, Kino, Musik, Steuer, Arbeitsmarkt, Stadtportale (ital.), Hotels. Also praktisch überall.

    Um das Management von "Zulassen" und "Verbieten" mit einigem Komfort zu bewerkstelligen und nicht für jede einzelne Internetseite in den Browsereinstellungen herumschrauben zu müssen, eignen sich Werkzeuge wie z.B. NoScript - JavaScript/Java/Flash blocker sofern Du mit Firefox unterwegs bist. Opera bringt entsprechende Möglichkeiten bereits von Haus aus mit, und mit dem MS-Internetexplorer mußt Du tatsächlich per Hand erstmal alles verbieten, und dann jeweils einzelne Seiten nach Bedarf von den Verboten ausnehmen.

    Bedenke: Jede auch noch so vertrauenswürdige Seite kann über eine ungepatchte Sicherheitslücke des Servers mit einer einzigen Codezeile (mehr braucht das mpack nicht, es läd sein Script über einen IFrame) manipuliert worden sein, ohne daß die Verantwortlichen es bisher bemerkt haben.
    Das Risiko surft bei aktiven Inhalten halt immer mit.
    Ferner gilt natürlich: Ein System, das stets und ohne Zeitverzug auf dem letzten Aktualisierungsstand ist, ist weniger gefährdet als eines, bei dem das Flickwerk nur eingespielt wird, wenn dem Besitzer grade mal danach ist. Das bedeutet jedoch entweder, daß man aktive Inhalte erlauben muß, damit der Hersteller es automatisch erledigen kann (womit man wieder das beschriebene Sicherheitsrisiko hinsichtlich aktiver Inhalte bei anderen Internetseiten eingeht) oder aber man ist ständig selbst damit beschäftigt, für ausreichende Sicherheit auf dem eigenen Rechner zu sorgen. EIn absoluter Schutz ist durch ein aktuelles System nicht gegeben, denn es gibt immer noch genügend Sicherheitslücken darin, die darauf warten geflickt zu werden - oder sogar dem Hersteller noch nicht bekannt sind, von Kriminellen derweil aber schon munter genutzt weden.

    Zuletzt: Die gegen Mpack immer wieder empfohlene Methode, eine einzelne IP-Adresse für Zugriffe zu sperren ist zwar als Akkutmaßnahme durchaus sinnvoll, um das Nachladen der Schadprogramme von dem einen, hinter der bekannten IP agierenden Server von vornherein zu vereiteln. Doch das ist kein Schutz vor dem durch Zulassen aktiver Inhalte geschaffenen Sicherheitsrisiko: Es ist nur eine Frage der Zeit, wann ein anderer Server unter neuer IP die Funktion der Schadsoftwareschleuder übernimmt.

    Grüße
    Funkenzupfer.


    P.S.: Wer ganz sicher gehen will, geht nicht mehr mit Windows sondern nur von einer Live-CD aus ins Internet, die standardmäßig keine Festplatten einbindet. So kann der Rechner nicht infiziert werden, und selbst wenn es einem Tunichtgut gelingen sollte, über eine kompromittierte Webseite ein Script nachzuladen, kann es sich nicht auf dem Rechner einnisten und schon der nächste Neustart von CD sorgt dafür, daß alles wieder in bester Ordnung ist. Diese Live-CDs sind also für's Internetsufen sehr zu empfehlen, es dürfte wohl die derzeit sicherste Möglichkeit sein.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

    Hallo Justice,

    du kannst auch mit einem virtuellen PC surfen. Nach dem Herunterfahren werden einfach etwaige Änderungen nicht übernommen. Nach meinem Kenntnisstand ist die Wahrscheinlichkeit ausgesprochen gering, dass sich Schädlinge auf den eigentlichen PC übertragen.

    Ich setze einen deutschsprachigen virtuellen PC (Virtual PC 2004 - kostenlos) für den Test neuer Programme und dem Surfen auf unbekannte Seiten ein. Da sich der virtuelle PC wie ein Programm in einem Fenster ausführen lässt, ist diese Variante einfacher zu handhaben als eine Live-CD.

    Infos zum virtuellen PC:

    Microsoft Virtual PC - Wikipedia
    Virtual PC

    Ansonsten schau auch mal bei Google

    Gruß
    Manni

    Quelle Network-Secure - Home dieser Artikel ist vom

    Zitat von Network-Secure - Home

    Samstag, 23. Juni 2007 Die Experten der PandaLabs warnen aktuell wieder vor der immer stärker werdenden Verbreitung der Malware MPACK. Zwischenzeitlich wurden über 350.000 verseuchte Webseiten entdeckt, die zusätzlich als Infektoren agieren oder als Ziel des MPACK Werkzeugs dienen. Zwischenzeitlich geben die Entwickler des Angriffswerkzeugs sogar eine Garantie für den Erfolg ab.

    weiterlesen...


    Eine Erkennung des Trojaners ist es nach Meinungen von Experten sehr schwierig,es gibt auf der Seite von
    PANDA-Vierus einen Hinweis wie der Mpack Trojaner erkannt werden kann, wobei nach meiner Ansicht mehr als PC Wissen erforderlich sind.

    Gruß Cuckoo

    Ein Kluger bemerkt alles - ein Dummer macht über alles eine Bemerkung.

    Hallo Manitwo,

    ein Virtueller PC ist zwar eine feine Sache, doch hat es sich in der Vergangenheit immer wieder gezeigt, daß der keine wirkliche Sicherheit bietet. Schadprogramme können grundsätzlich daraus ausbrechen und auf das echte System, das ja darunter läuft, zugreifen. Nachgewiesen (und gepatcht) z.B. für Microsoft Virtual PC in der Mac-Version :Microsoft Security Bulletin MS04-005

    Ferner kann sich der Schädling auch im virtualsierten Betriebssystem selbst einnisten; beim nächsten Start des Systems in der Kiste wäre er - anders als bei einer CD-ROM - wieder aktiv.

    Nun könnte man sagen: Auch bei einer Live-CD könnte ein Schadprogramm es schaffen, ein im Rechner vorhandenes Laufwerk einzubinden und sich darin einzunisten. Das ist jedoch wesentlich unwahrscheinlicher, denn solche Versuche blieben nicht unbemerkt und wären zudem ohne Root-Rechte (vergleichbar mit den Admin-Rechten unter Windows) ohnehin zum Scheitern verurteilt. Es läuft eben kein zweites System darunter, das zusätzliche Schwachstellen und Angriffspunkte bietet.

    Deshalb ist eine LiveCD im Hinblick auf die Sicherheit in jedem Fall vorzuziehen.

    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

    Die einzige denkbare Abwehr die es Momentan gegen solche Bedrohungen an und für sich gibt ist Windows Steady State.

    Es hat eine eingebaute Funktion, welche automatisch beim Neustart des Rechners ALLE Veränderungen an der Systemfestplatte rückgängig macht (also auch einen eingefangenen Virus oder Wurm oder....)

    Die Funktion nennt sich Disk Protection.

    Gibts hier eine News,
    http://www.win-tipps-tweaks.de/forum/news/158…rheitstool.html
    der Tipp ist in Arbeit

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Hallo,

    bevor ich dieses tolle Forum gefunden habe kannte ich nur den Virus, seit dem ich hier fleißig mitlese kenne ich auch Trojaner, Rootkits usw. aber was ist ein Mpack? Habe bei Wiki nichts gefunden. Könnte jemand meine Wissenslücke schliessen?

    Wir lernen aus Erfahrung, daß die Menschen nichts aus Erfahrung lernen.(George Bernard Shaw Irischer Dramatiker, 1856-1950)

    Zitat

    Die einzige denkbare Abwehr die es Momentan gegen solche Bedrohungen an und für sich gibt ist Windows Steady State.

    So schön, wie Steady State für viele Einsatzzwecke ist, gegen eine Bedrohung durch ausgebuffte Schädlinge ist es nur bedingt geeignet. Natürlich werden damit alle Änderungen es Benutzers am System beim nächsten Boot rückgängig gemacht, das gilt aber nur für Änderungen, die Steady State erkennt.
    Das ist aber bei Modifikationen durch Schadsoftware regelmäßig nicht gewährleistet, insbesondere wenn sie sich in Form eines Rootkits vor dem Betriebssystem verbergen und schon beim Startvorgang aktiv werden.

    Hier gilt wie immer: Ein einmal kompromittiertes System ist nicht zu retten, sondern muß grundsätzlich vollständig neu installiert werden. Niemand kann dafür garantieren, daß bei einer Säuberungs-Aktion (und letztlich stellt Steady State wenn auch besonders umfassend eben eine solche dar) wirklich alle Manipulationen gefunden und entfernt wurden. Denn der "beste" Trojaner ist der, der unbemerkt nach einer Säuberung oder Wiederherstellung auf dem System verbleibt, während der Anwender glaubt, nach der Entfernung des aufgefallenen "Köders" (den der Tunichtgut speziell für diesen Zweck mitgebracht hat) wieder sauber zu sein. Davor kann auch Steady State nicht schützen.

    Auch wenn das etwas unbequemer in der Handhabung ist: Die sicherste Möglichkeit zum Internetsurfen ist nach wie vor die Live CD, und wer wirklich nach dem heutigen Stand der Technik geschützt sein will, nutzt diese.


    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

    Bei eingeschalteter Disk Protection speichert Steady State die Änderungen (egal welcher Art und egal von welchem Programm) nicht direkt auf der Festplatte, sondern in einem extra Cache (ähnlich der Auslagerungsdatei).

    Diese wird AUTOMATISCH beim Neustart überschrieben (sofern das Programm richtig eingestellt ist).

    Ich habe auf meiner Testkonfig mit Absicht einen Virus auf das System gesetzt (und die Spyware Virtomundo) und sie waren nach dem Neustart weg!!

    Diese Funktion gibt es auch über Programme von anderen Anbieter (Easy HDD Sheriff z.B.). Da diese Programme den Zugriff auf die Festplatte umleiten sollte auch ein Rootkit keine Chance haben (ich habe leider keins gefunden zum Testen).

    Wenn natürlich der Schädling schon vor Einschalten der Disk Protection auf dem System ist, wird man ihn dann auch nicht mehr los!!

    Natürlich ist das nur eine Softwarelösung, also mit Sicherheit auch angreifbar, die einzig wirklich 100%-ig sichere Variante wäre den Festplattenschutz über ein PCI Modul zu realisieren, welches ein Schreiben auf die Systemplatte auch auf Hardwareebene verhindert (aber das ist relativ teuer).

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Hallo Fachmänner,
    besonders herzliches "Dankeschön" für euer grosses Engagement in meiner Sache. Das endgültige "Ergebnis" ist augenscheinlich momentan nur eingeschränkt zu erreichen.

    Vorsicht ist wohl auch hier die Mutter.........

    Maria

    Hoffentlich haben die Admins hier im WTT ein wachsames Auge;) auf diesen IFrame der so oder änlich aussehen könnte, geworfen, denn WTT wäre ja ein guter Verteiler des MPacks, bei so vielen User/Gast zugriffen...:rolleyes:

    Vileicht hängt das sogar mit den misteriösen Fake/Bot Accounts hier im Forum zusammen:confused:

    Gruß...
    DeinMuddn:cool:.