Botnetze, Zombi PCs in der Praxis?

    Nein, ich will kein Botnetz mieten, aber die stete Berichterstattung über ferngesteuerte PCs in Massen hat mich jetzt angesteckt und nervös gemacht.


    Bekommt man als Infizierter tatsächlich nichts von den ganzen Aktivitäten mit, oder braucht es dazu eine gehörige Portion Ignoranz?


    In meiner (vielleicht kindlichen) Vorstellung sollte man doch an wild flackernden LEDs vom Router die Datenaktivitäten mitbekommen, ebenso müsste man doch sehen können, ob die Firewall/Virenscanner auf dem PC deaktiviert ist.


    Ist das jetzt zu einfach gedacht?


    Ich meine jetzt vielleicht auch durchaus den Fall, wo ein Windows PC vielleicht nicht alle Sicherheutspatches hat und sich dort dann eventuell auch ohne grosses Zutun (auf Links in Mails klicken und die Programme runterladen) und unbemerkt so ein Programm einnisten kann.

    Ich persönlich habe zwar auch nur die Medien und den Computer****-Klon-zeitschriften über dieses thema Informationen beziehen können, stelle mir aber das Ganze auch im praktischen Alltag schwierig vor.


    Zitat

    Vorstellung sollte man doch an wild flackernden LEDs vom Router die Datenaktivitäten mitbekommen

    Bei vielen wird der Router wohl nicht Blickfeld stehen.
    Auch ist es mit den DSL-Flatrates ja ein leichtes den Überblick zu verlieren. Viele Rechner sind Daueronline und auf den MB-Verbrauch achtet doch heute auch keiner mehr.


    Was ich in Verbindung mit einem Bot Pc und damit manipulation durch einen Trojaner verbinde, ist ein extrem langsamer Pc durch die CPU und RAM auslastung. Auch ein verlangsamtes surfen ist für mich immer ein "Achtung" irgendwo muss der Traffic ja bleiben wenn nicht gerade die Leitung eine Macke hat.

    Interessantes Thema. Habe mal ein bisschen gesurft und folgendes gefunden:


    Klick 1


    Klick 2


    Klick 3


    Sicher ist die Gefahr allgegenwärtig, ich denke aber, wer brav Patches einspielt (Sicherheitslücken also nicht einfach ignoriert), einen Virenscanner und eine Firewall im Einsatz hat, der ist schonmal gegenüber automatisierten Angriffen gut gewappnet.

    Die Links sind wirklich ganz interessant, speziell der 2.Artikel ist aber wieder so ein Panikmacherartikel, find ich.


    Ich seh auch nicht die Logik bei den Tipps (speziell mit den Sicherheitsupdates), irgendwie erscheint es mir unlogisch, da die Schadprogramme ja laut Berichten ja inzwischen auch durch Werbebanner von bekannten Seiten eingeschleust werden können, was dann ja den Browser betrifft.
    Und kann die Installation solcher Schadprogramme durch ein up-to-date Betriebssystem eigentlich wirklich verhindert werden? Denn die Schadprogramme kommen ja ertsmal als harmlose Programme rein, die dann ja erst den bösen Rest nachladen.


    Und zu guter Letzt hinken Updates ja generell den Schadprogrammen hinterher, daher kann man sich also eigentlich nie sicher sein, ob man sich irgendwann infiziert.


    Darum halt auch meine ursprüngliche Frage, ob solche Programme wirklich so unbemerkt zu Werke gehen können. Die Kontrolle der Router LED vor sensiblen Aktionen wie Homebanking wäre ja z.B. meiner Meinung nach schon eine sehr einfache Kontrollmöglichkeit, ebenso zeigt ja auch die Firewall (z.B. Zonealarm) normalerweise auch die Datenaktivitäten an. Man hätte dann zwar das Problem bereits im Hause, aber wäre gewarnt, bevor man seine Daten unbemerkt weiter reicht.


    Bei den derzeitigen Berichten wird das ganze ja doch immer wieder recht mytisch beschrieben und die Vielzahl von infizierten Rechner machen mich eben stuzig, ob eben nun soviele Nutzer so sorglos sind und mögliche Hinweise (Router/Netzwerk LED) einfach ignorieren, oder ob so ein Schadprogramm wirklich so raffiniert vorgeht.


    Das ein Rechner langsamer wird, soll übrigens oft nicht auffallen, da die Schadprogramme oft nur die Ruhezeiten des Rechners nutzen.


    Fragen über Fragen ;)

    Zitat

    Original geschrieben von hpsmobiles.de
    Was ich in Verbindung mit einem Bot Pc und damit manipulation durch einen Trojaner verbinde, ist ein extrem langsamer Pc durch die CPU und RAM auslastung. Auch ein verlangsamtes surfen ist für mich immer ein "Achtung" irgendwo muss der Traffic ja bleiben wenn nicht gerade die Leitung eine Macke hat.


    Das muss nicht auf diese Art auffallen. Wenn z.B. nur ein Bot auf dem System aktiv ist, kann dessen Aktivität auch "untergehen". Es kommt halt darauf an, zu welchen Zwecken der gekaperte PC missbraucht wird, wie leistungsstark dieser ist und welche Art der Internetanbindung zur Verfügung steht.


    Zitat

    Original geschrieben von Mr. A
    Sicher ist die Gefahr allgegenwärtig, ich denke aber, wer brav Patches einspielt (Sicherheitslücken also nicht einfach ignoriert), einen Virenscanner und eine Firewall im Einsatz hat, der ist schonmal gegenüber automatisierten Angriffen gut gewappnet.


    Das stimmt so nicht. Virescanner und "Firewall" können oftmals gar nichts ausrichten, da Virenscanner neue Schädlinge übersehen und "Firewalls" getunnelt werden können. Allerdings: Die Patches sind ein sehr wichtiger Part.



    Zitat

    Original geschrieben von Cimba
    Die Links sind wirklich ganz interessant, speziell der 2.Artikel ist aber wieder so ein Panikmacherartikel, find ich.


    Abgesehen von einigen begrifflichen Fehlern (z.B. "Hacker" statt "Cracker"), unsinnigen Programmempfehlungen (spybot gegen Backdoors) und etwas Symantec-Werbung in diesem Artikel, stimmt er aber. Oder was genau empfindest Du als "Panikmache"?


    Zitat

    Ich seh auch nicht die Logik bei den Tipps (speziell mit den Sicherheitsupdates), irgendwie erscheint es mir unlogisch, da die Schadprogramme ja laut Berichten ja inzwischen auch durch Werbebanner von bekannten Seiten eingeschleust werden können, was dann ja den Browser betrifft.


    1.) Das ist nicht nur "inzwischen" der Fall, das passiert bereits seit Jahren. Die Medien verteilen diese im Grunde alten Geschichten nur wieder als neue.


    2.) Gerade in diesem Zusammenhang ist unter anderem das Einspielen von Patches notwendig, da für diese sogenannten "Drive-by-Infektionen" oftmals bekannte Sicherheitslücken ausgenutzt werden.


    3.) Dies betrifft nicht nur die Browser, es betrifft insbesondere auch die in den Browser eingebundenen Plugins und Player (Adobe, Java, Flash, Quicktime, Real,...). Sind der Browser und das System aktuell gehalten, wurden diese Plugins jedoch vergessen, kann das System innerhalb von Sekunden infiziert werden.


    4.) Allerdings - das Aktuellhalten allein hilft hier nicht. Siehe dazu die Antwort auf Deine folgende Frage:


    Zitat

    Und kann die Installation solcher Schadprogramme durch ein up-to-date Betriebssystem eigentlich wirklich verhindert werden?


    Wenn Du mit "solche Schadprogramme" Malware meinst, die einen PC zu einem "Mitglied" in einem Bot-Netz machen kann, dann muss Deine Frage mit einem eindeutigen Nein beantwortet werden. Denn:


    Drive-by-Downloads (während des Surfens mit dem Browser) sind nicht der einzige Infektionsweg. Es gibt viele weitere, unter anderem:


    - Verbreitung auf Netzwerkebene (Netzwerkwürmer)
    - IM-Würmer (Instant Messaging wie MSN, ICQ, Yahoo, AIM, usw.)
    - Tauschbörsen
    - Als Anhang in E-Mails (Mailwürmer)
    - Als Downloads auf Webseiten
    - Über USB-Sticks, MP3-Playern, usw., die zuvor auf infizierten Systemen eingesteckt waren


    Zitat

    Denn die Schadprogramme kommen ja ertsmal als harmlose Programme rein, die dann ja erst den bösen Rest nachladen.


    So pauschal kann man das nicht sehen. Definiere "Hereinkommen"! Wenn Du von harmlosen Programmen redest, dann meinst Du die Installation von Schädlingen durch den Nutzer selbst, weil er annimt, ein von ihm installiertes Programm sei harmlos, (obwohl es das nicht ist).


    Dieser Infektionsweg ist eigentlich noch der harmloseste, weil man es als Benutzer im Prinzip im wahrsten Sinne des Wortes "selbst in der Hand" hat, so etwas zu verhindern. Indem man nämlich von der unkontrollierten Installation verschiedener Programme absiehst und stattdessen einen gesteigerten Wert darauf legt, dass das eigene System auch wirklich das eigene System bleibt. Checksummen z.B. können dabei sehr hilfreich sein und die "Installationssensibilität" des Nutzers heraufsetzen helfen.


    Zitat

    Und zu guter Letzt hinken Updates ja generell den Schadprogrammen hinterher, daher kann man sich also eigentlich nie sicher sein, ob man sich irgendwann infiziert.


    A.) Vor allem trifft dies auf die Updates der Virenscanner zu - sie hinken neuen Schädlingen im Primzip immer hinterher - heuristische Erkennungen einmal ausgenommen. Verlässlich ist das Ganze jedoch auf gar keinen Fall. Virenscanner können allenfalls eine kleine Hilfe darstellen. Mehr nicht.


    B.) Bezüglich der Programmaktualisierungen (Updates, Patches) ist es nicht ganz so extrem. Allenfalls sogenannte "Zero-Day-Exploits" stellen hier ein großes Problem dar. Vor ihnen schützt man sich am besten durch eine Minimierung der Angriffsfläche, indem man nur eine möglichst geringe Anzahl von permanent im Hintergrund laufenden Anwendungen nutzt, diese möglichst restriktiv konfiguriert und ergänzend niemals als Admin arbeitet.


    Bezüglich der Gefährdung durch Drive-by-Downloads empfiehlt sich aus sicherheitstechnischen Gründen derzeit z.B. eine Kombination des Browsers Firefox mit Erweiterungen wie NoScript und Adblock Plus plus Brain.exe.


    Zitat

    Darum halt auch meine ursprüngliche Frage, ob solche Programme wirklich so unbemerkt zu Werke gehen können.


    Ja, das können sie weitestgehend (in Abhängigkeit von bestimmten Faktoren, siehe oben).


    Zitat

    Die Kontrolle der Router LED vor sensiblen Aktionen wie Homebanking wäre ja z.B. meiner Meinung nach schon eine sehr einfache Kontrollmöglichkeit,


    Es ist absolut unrealistisch, anhand des Flackerns der Router LED z.B. auf einen Keylogger zu schließen. Mit anderen Worten: Die Kontrollmöglichkeit steht Dir in dieser Form nicht zur Verfügung.


    Zitat

    ebenso zeigt ja auch die Firewall (z.B. Zonealarm) normalerweise auch die Datenaktivitäten an.


    Ohnehin schon nicht zuverlössig, und bei Schädlingsbefall erst recht nicht zuverlässig genug. Das gilt im Prinzip für jedes Produkt dieser Software-Kategorie.


    http://blog.copton.net/articles/pfw-versagen/
    http://ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls


    Zitat

    Man hätte dann zwar das Problem bereits im Hause, aber wäre gewarnt, bevor man seine Daten unbemerkt weiter reicht.


    Diese hoffnungsgeprägte Annahme ist leider falsch. "Problem im Haus" bedeutet bereit einen erreichten Worst Case. Da sollte sofort der Netzwerkstecker gezogen und der PC bei nicht vorliegender Datensicherung sofort hart heruntergefahren werden.


    Begründung für das harte Herunterfahren: Falls keine Datensicherung vorliegt und ein datenverschlüsselnder Schädling aktiv werden konnte, bestünde die Gefahr, dass die Daten ein für alle Mal verloren wären.


    Begründung für das Ziehen des Netzwerksteckers: Eine Weiterverbreitung der Malware, ein Nachladen weiterer Malware sowie das Ausführen krimineller Aktionen über den infizierten PC müssen im Eigen- wie auch im Fremdinteresse konsequent verhindert werden.


    Natürlich erübringt sich bei einem harten Herunterfahren des Systems zunächst das Ziehen des Netzwerksteckers als Erstmaßnahme. ;)


    Zitat

    Bei den derzeitigen Berichten wird das ganze ja doch immer wieder recht mytisch beschrieben und die Vielzahl von infizierten Rechner machen mich eben stuzig,


    Mich nicht - viele haben versiffte PCs und merken es nicht.


    Zitat

    ob eben nun soviele Nutzer so sorglos sind und mögliche Hinweise (Router/Netzwerk LED) einfach ignorieren, oder ob so ein Schadprogramm wirklich so raffiniert vorgeht.


    Alles zusammen:


    - Viele (die meisten) Nutzer sind sorglos und gehen auch dementsprechend fahrlässig mit Ihrem System um.


    - Das bedeutet allerdings am wenigsten ein Ignorieren von Router-LEDs - denn dies stellt, wie oben bereits erwähnt, keine verlässliche Möglichkeit dar, einen Schädlingsbefall aufzudecken.


    - Schadprogramme sind nicht raffiniert - aber ihre Programmierer "verleihen" ihnen diese Funktionen! Diese "Rafinesse" kann z.B. darin bestehen:


    -> Schädlinge tunneln installierte Personal Firewalls oder schalten sie ab (Suchbegriffe hier: "bypass firewall").


    Das kann sowohl die Windows Firewall sein:
    http://www.eset.com/msgs/tdagentuf.htm


    ... als auch andere:
    http://www.sophos.com/security/analyses/trojmurlon.html
    http://www.ca.com/us/securitya…sinfo/virus.aspx?id=43618
    http://www.pctools.com/jp/mrc/…jan-Downloader.Small.DWC/


    -> Malware überwindet die Windows File Protection, also den Windows Dateischutz für Systemdateien:


    http://www.avertlabs.com/resea…07/05/wfp-hack-redefined/


    Damit können Systemdateien gegen Malwarekomponenten ausgetauscht werden.


    -> Malware deaktiviert die Systemwiederherstellung von Windows XP.


    -> Schädlinge manipulieren den Virenscanner und lassen Aktualisierungen neuer Signaturen ins Leere laufen.


    -> Auffällige Infektionen (z.B. mit PopUps, Desktophintergrundveränderungen, Einblendungen im Tray, usw.) dienen als Ablenkungsmanöver: Während der User glaubt, mit der Entfernung der für diese Veränderungen verantwortlichen Komponenten alle Schädlinge entfernt zu haben, läuft im Hintergrund längst ein Rootkit, was u.a. auch die Eingliederung in ein Botnetz bedeuten kann.


    Rootkits können nur sehr unzuverlässig erkannt werden - auch spezielle Rootkitscanner wie "gmer" können dies nicht hinreichend zuverlässig leisten. Genau daher müssen kompromittierte Systeme auch konsequent neu aufgesetzt werden.


    Auf der folgenden Seite gibt es ein paar Demo-Videos, die aufzeifen, dass aktive Rootkits von guten aktuellen Virenscannern nicht erkannt werden (z.B. der "KAV7 vs Rustock + test"):


    http://gmer.net/files.php


    -> und vieles mehr.


    Zitat

    Das ein Rechner langsamer wird, soll übrigens oft nicht auffallen, da die Schadprogramme oft nur die Ruhezeiten des Rechners nutzen.


    Auch das wäre eine Möglichkeit.


    Zitat

    Fragen über Fragen ;)


    Antworten über Antworten ...

    Erstmal danke für deine ausführlichen und interessanten Informationen inkl der Links (auch wenn ich dort nicht wirklich alles verstanden habe).



    Zitat

    Original geschrieben von mmk
    Abgesehen von einigen begrifflichen Fehlern (z.B. "Hacker" statt "Cracker"), unsinnigen Programmempfehlungen (spybot gegen Backdoors) und etwas Symantec-Werbung in diesem Artikel, stimmt er aber. Oder was genau empfindest Du als "Panikmache"?


    Ich fand, dass sich der Artikel zu sehr auf die beschriebenen, möglichen Szenarien konzentrierte und diese in allen schaurigen Farben ausmalte und einerseits von 1/4 infizierter PCs spricht, aber 100.000 PCs nur an einem Angriff teilnahmen.
    Aber nach dem lesen deines Beitrags ziehe ich diese Behauptung eigentlich auch zurück ;)



    Zitat

    Und kann die Installation solcher Schadprogramme durch ein up-to-date Betriebssystem eigentlich wirklich verhindert werden?


    Dann stellt sich doch aber die Frage, wie man eigentlich sicher sein kann, kein Botnetzmitglied zu sein, da ja wie gesagt die Updates generell den Schadpgrogrammen hinterher hinken. Und wenn ein Schadprogramm erst einmal unbemerkt drauf ist, werden diese - so wie ich es verstehe - auch durch zukünftige Updates nicht gestoppt, oder? Und damit ist dann nicht nur der Sorglose Schuld am wachsenden Botnetz, sondern auch viele andere, die das Sicherheitsupdate halt zu spät eingespielt haben (wenn man z.B. nur recht selten ins Netz geht).



    Zitat

    Es ist absolut unrealistisch, anhand des Flackerns der Router LED z.B. auf einen Keylogger zu schließen. Mit anderen Worten: Die Kontrollmöglichkeit steht Dir in dieser Form nicht zur Verfügung.


    Stimmt natürlich, das ist ein guter Hinweis, ich dachte aber eher an die SPAM Schleudern.



    Zitat


    -> Schädlinge tunneln installierte Personal Firewalls oder schalten sie ab (Suchbegriffe hier: "bypass firewall").


    -> Malware deaktiviert die Systemwiederherstellung von Windows XP.


    -> Schädlinge manipulieren den Virenscanner und lassen Aktualisierungen neuer Signaturen ins Leere laufen.


    Und bekommt man sowas dann nicht mit, wenn man sich das Logfile des Virenscanners anschaut oder die Systemwiederherstellung startet?



    Zitat


    Rootkits können nur sehr unzuverlässig erkannt werden - auch spezielle Rootkitscanner wie "gmer" können dies nicht hinreichend zuverlässig leisten. Genau daher müssen kompromittierte Systeme auch konsequent neu aufgesetzt werden.


    Tja, und beisst sich hier eben die Katze nicht in den Schwanz? Wie bekommt man das erstmal mit, dass ein System kompromittiert ist?


    So wie sich das alles liest, werden doch sicher auch eine Vielzahl von Usern, die sich brav alle Sicherheitsupdates runtergeladen haben, sich in einer Scheinsicherheit bewegen.


    Wenn man teilweise davon spricht, dass ein nicht aktuelles System innerhalb von Sekunden verseucht ist und ein Download eines Updates schon länger dauert, hat man doch eigentlich auch nicht wirklich eine Chance, unverseucht zu bleiben?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden