Archiv der Kategorie: Viren

Defending Malware / Crapware / Adware

Veröffentlicht am von
Antwort

Microsoft hat dem Windows Defender vor geraumer Zeit die Möglichkeit spendiert die Installation von Adware zu unterbinden. Kandidaten hierfür sind einige renomierten Programme wie Java (Ask Search, …) und der Adobe Acrobat Reader (Amazon, Google Chrome). Wählt man im Verlauf deren Installation oder Updates die Option zur Installation von zusätzlichen Programmen nicht ab, so landet eine Reihe von unerwünschten auf dem PC. Darüber hinaus finde ich diesen Weg schon aus dem Grund nicht sinnvoll, da Software immer aus den originalen Quellen installiert werden sollte. Der Google Chrome Browser kommt damit von Google und nicht über irgendwelche Hintertüren ins Haus.

Die Aktivierung des Adware-Blockers hat Heise hier beschrieben:

http://www.heise.de/security/meldung/Windows-mit-verstecktem-Adware-Killer-3023579.html

Setzt man den Defender im Netzwerk ein, so kann diese Einstellung auch auf alle PCs über eine Group-Policy Preference verteilt werden.

  1. Start des Group Policy Editors
  2. Auswahl oder Anlage einer GPO auf die alle Domain Computers/Domänencomputer berechtigt werden

    image

  3. Setzen des folgenden Wertes unter Computer Configuration / Windows Settings / Registry:

    Action: Create
    HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine
    Value Name: MpEnablePus
    Value Type: REG_DWORD
    Value Data: 0x1

    Die folgende Abbildung zeigt nochmals die notwendigen Einstellungen

    image

  4. Mit dem nächsten Refresh der GPOs wird die Einstellung aktiviert und die Installation von Adware auf diesem Wege geblockt

Während der Windows Defender einen extrinsischen Blocker darstellt, gibt es auch die Möglichkeit zumindest für Java diese Einstellung im Programm selbst zu deaktivieren. In einem älteren Artikel habe ich das schon mal in den Einstellungen selbst beschrieben, man kann hier aber auch den Weg über eine GPO gehen.

Dazu ist der gleiche Weg wie oben nur mit den folgenden Einstellungen notwendig.

Action: Create
HKLM\SOFTWARE\JavaSoft
Value Name: SPONSORS
Value Type: REG_SZ
Value Data: Disable

image

Im Kontext von Java sehe ich hier ein Henne/Ei Problem, damit man an die Java-Einstellungen ran kommt muss Java installiert sein, wird hier nicht aufgepasst ist die Adware schon mit auf dem Rechner drauf.

Enjoy it, b!

RSA-4096–Trojan.JS.Iframe.DJH

Veröffentlicht am von
Antwort

Neulich wurde ich zu einem Notfall mit einem Verschlüsselungstrojaner gerufen, Der Kunde hatte die große (und nicht ganz unberechtigte) Sorge, dass seine Daten auch auf dem Server verschlüsselt werden könnten.

Glücklicher Weise hatte in diesem Fall der Virenscanner (F-Secure) ganze Arbeit geleistet und den Schädling um 16:04:57 unschädlich gemacht. Kurz nachdem der Virus auf dem System aktiv wurde.

image

image

Das Problem für den Anwender war jedoch, dass er immer noch eine Seite innerhalb seines Webbrowsers angezeigt bekam. Die Seite liegt im lokalen Cache und wurde für jeden Benutzer welcher sich am System angemeldet hat sichtbar.

image

Die Analyse mit Autoruns von Sysinternals erbrachte folgendes Ergebnis.

image

An jeweils 2 Stellen wurde die gleiche Nachricht insgesamt 3x verlinkt

  • 1x als HTML (Screenshot oben)
  • 1x als PNG
  • 1x als Text-Datei

Die Einträge wurden von mir erst einmal deaktiviert (Haken raus in der Checkbox) und darüber hinaus nochmals mit autoruns der Benutzer explizit angeschaut. Hierzu muss man im Menü User auf den entsprechenden Benutzer umschalten.

image

Natürlich waren hier ebenfalls noch die Einträge zu finden …

image

… und wurden gleich entsprechend gelöscht.

Da ich den Virenscanner in diesem Fall vertraue, dennoch 100% sicher gehen wollte das nichts mehr auf dem System zurück bleibt, habe ich mich zu folgenden Maßnahmen entschieden:

  1. Löschen der Dateien aus der Quarantäne des Virenscanners (weg ist weg)
  2. Löschen aller Benutzerprofile
  3. Anmeldung mit einem neu erstelltem Benutzer (mit lokalen Admin Rechten) und löschen des Benutzerprofiles mit dem die Analyse durchgeführt wurde

Prinzipiell hätte das Löschen der Einträge über Autoruns ausgereicht – da ich aber vor kurzem mit einem TeslaCrypt gekämpft hatte wollte ich hier auf Nummer sicher gehen.

Enjoy it, b!