virus-informer.de: VIRUS durch Windows wiedergeboren & HACKERANGRIFFE

09.07.05 13:15 Age: 5 yrs

VIRUS durch Windows wiedergeboren & HACKERANGRIFFE - 4.12.01

Liebe Freunde,

liebe Partner,

seit unserm letzten Virus-Newsletter sind wieder ein paar Tage

ins Land gegangen. Seitdem haben uns wieder 17 neue

Viren erreicht und konnten von unserem Virenscanner

in Quarantäne geschickt werden.

Heute behandeln wir gleich zwei Themen in unserem aktuellen

Newsletter. Zum einen die Wiedergeburt eines vermeintlich

gelöschten Virus (so geschehn bei einem Kunden von uns)

und die derzeitigen, vermehrten Hackerangriffe...

-------------------------------------------------------------------------------

Die Wiedergeburt eines Virus

-------------------------------------------------------------------------------

Die neuen Microsoft-Betriebssystem ab Windows ME verfügen

über eine sogenannte "Restore"-Funktion, welche bei

Systemabstürzen quasi automatisch den vorherigen Zustand

des Computers wieder herstellt.

Genau DIESE "nützliche" Funktion erlaubt es nun einen

vermeintlich gelöschten Virus sich in den sog. "restore-files"

festzusetzen (findet man i.d.R. unter C:_restore)

Sollte nun die Systemwiederherstellung aktiviert werden wird

der vermeintlich gelöschte Virus wieder zurück in das bestehende

System kopiert und aktiviert.

Leider kann man die "resore-Dateien" nicht ohne weiteres löschen.

Man kann jedoch diese tolle Funktion durch ein paar Tricks

ausschalten bzw. sogar löschen.

Vorgehensweise:

1. Man benötigt eine DOS-Diskette und bootet von dieser das System

neu

2. man löscht nun das Verzeichnis mit folgendem Kommando

"c:windowscommand deltree c:_RESTORE"

3. nach erneuten Booten sind die Datein gelöscht, Windows legt

zwar wieder sofort ein neues Verzeichnis an - dies ist

jedoch absolut virenfrei

-------------------------------------------------------------------------------

Hackerangriffe

-------------------------------------------------------------------------------

Leider konnten wir im November auf unseren Servern wieder

verstärkt Hacker-Angriffe verzeichen. Bis Ende letzten Monats

summierten sich direkte Hackerangriffe, Skriptangriffe,

sowie Angriffe von Viren direkt auf den Server (nicht per Email)

auf insgesamt 5291 Attacken!

Wir konnten alle Angriffe erfolgreich abwehren.

Des weiteren sind wir dazu übergegangen die Netzbetreiber

über das Vergehen einzelner Hacker bzw. die dort entstandenen

Sicherheitslücken in Kenntnis zu setzen.

Wir möchten die von unsgesammelten Erfahrungen an Sie

weitergeben, damit Sie sich vor unliebsamen Eingriffen

schützen können.

Fakten:

- ca. 70% der Angriffe werden von Viren verursacht, welche auf

die Lücken einzelner Betriebssysteme ausgerichtet sind

(besonders betroffen sind wieder MS-Server)

- weitere 30% werden durch Hackerangriffe verursacht

diese teilen zu fast gleichen Teilen in Skript-Angriffe und

direkte Hackerangriffe

- Skript-Angriffe = d.h. der Hacker versucht bestimmte

bestehende Skripte auf dem Server des Betreibers auszuführen

bzw. dort gewisse Verzeichnisse oder Programme mit

Hilfe von Skripten aufzurufen der Hacker versucht ein

"automatisches" Eindringen ins System wobei er geschickt

bestehende Lücken ausnutzt; durch das "automatisierte"

Vorgehen ist die Indentifikation solcher Angriffe recht einfach

- direkte Hackerangriffe = sind meist zielgerichtet und zeichen

sich durch geschicktere Vorgehensweisen aus. Der Hacker

versucht z.B. mittels einer sehr langen Zahlen- oder Buchstaben-

kette (100x Z oder 100x N) den Serverbetrieb zu stören und

eine Fehler zu erzeugen. Der Server springt in den eine Art

"Störbetrieb" und ist somit noch angreifbarer.

Solche Attacken zielen wieder geschickt auf bestehende

Sicherheitslücken diverser Betriebssysteme

- Achtung! In den letzten Monaten mehren sich verstärkt Angriffe

aus Nachbarländern Afghanistans (Irak, Iran, Türkei) - diese

machen derzeit 70% der Angriffe aus. Zufall?!

Lösungsansätze:

- für den "privaten" Surfer empfiehlt sich der Einsatz einer sog.

"Personal-Firewall", welche die Zugriffe auf dem Computer

während des surfens überwacht.

Für Windowsuser empfiehlt sich z.B. Zonealarm (für den

privaten Einsatz kostenlos erhältlich unter zonealarm.com)

- für den professionellen User empfiehlt sich neben dem Einsatz

einer Firewall (entweder Soft- oder Hardware) zusätzlich die

ständige Aktualisierung bestehender Systeme. Sowohl Mac,

Windows, als auch Linux-System müssen ständig aktualisiert

werden, um ein hohes Maß an Sicherheit zu erreichen

- für sämtliche User werten Sie die Logfiles Ihrer Rechner /

Server ständig aus, um Angriffe frühzeitig zu lokalisieren!

-------------------------------------------------------------------------------

Sollten Sie weitere Fragen zur Systemsicherheit haben, oder

möchten Sie kostenlos Ihre Logfiles von uns analysiert haben.

Wir stehen Ihnen gerne zur Verfügung.

Mit freundlichen Grüssen

Boris Hinzer

web-vision GmbH - friedensstr. 12-18 - 41236 mönchengladbach

fon: 0 21 66 - 94 04 54 fax: 0 21 66 - 94 03 70

<- Back to: virus-informer.de


	09.07.05 13:15 Age: 5 yrs VIRUS durch Windows wiedergeboren & HACKERANGRIFFE - 4.12.01 Liebe Freunde, liebe Partner, seit unserm letzten Virus-Newsletter sind wieder ein paar Tage ins Land gegangen. Seitdem haben uns wieder 17 neue Viren erreicht und konnten von unserem Virenscanner in Quarantäne geschickt werden. Heute behandeln wir gleich zwei Themen in unserem aktuellen Newsletter. Zum einen die Wiedergeburt eines vermeintlich gelöschten Virus (so geschehn bei einem Kunden von uns) und die derzeitigen, vermehrten Hackerangriffe... ------------------------------------------------------------------------------- Die Wiedergeburt eines Virus ------------------------------------------------------------------------------- Die neuen Microsoft-Betriebssystem ab Windows ME verfügen über eine sogenannte "Restore"-Funktion, welche bei Systemabstürzen quasi automatisch den vorherigen Zustand des Computers wieder herstellt. Genau DIESE "nützliche" Funktion erlaubt es nun einen vermeintlich gelöschten Virus sich in den sog. "restore-files" festzusetzen (findet man i.d.R. unter C:_restore) Sollte nun die Systemwiederherstellung aktiviert werden wird der vermeintlich gelöschte Virus wieder zurück in das bestehende System kopiert und aktiviert. Leider kann man die "resore-Dateien" nicht ohne weiteres löschen. Man kann jedoch diese tolle Funktion durch ein paar Tricks ausschalten bzw. sogar löschen. Vorgehensweise: 1. Man benötigt eine DOS-Diskette und bootet von dieser das System neu 2. man löscht nun das Verzeichnis mit folgendem Kommando "c:windowscommand deltree c:_RESTORE" 3. nach erneuten Booten sind die Datein gelöscht, Windows legt zwar wieder sofort ein neues Verzeichnis an - dies ist jedoch absolut virenfrei ------------------------------------------------------------------------------- Hackerangriffe ------------------------------------------------------------------------------- Leider konnten wir im November auf unseren Servern wieder verstärkt Hacker-Angriffe verzeichen. Bis Ende letzten Monats summierten sich direkte Hackerangriffe, Skriptangriffe, sowie Angriffe von Viren direkt auf den Server (nicht per Email) auf insgesamt 5291 Attacken! Wir konnten alle Angriffe erfolgreich abwehren. Des weiteren sind wir dazu übergegangen die Netzbetreiber über das Vergehen einzelner Hacker bzw. die dort entstandenen Sicherheitslücken in Kenntnis zu setzen. Wir möchten die von unsgesammelten Erfahrungen an Sie weitergeben, damit Sie sich vor unliebsamen Eingriffen schützen können. Fakten: - ca. 70% der Angriffe werden von Viren verursacht, welche auf die Lücken einzelner Betriebssysteme ausgerichtet sind (besonders betroffen sind wieder MS-Server) - weitere 30% werden durch Hackerangriffe verursacht diese teilen zu fast gleichen Teilen in Skript-Angriffe und direkte Hackerangriffe - Skript-Angriffe = d.h. der Hacker versucht bestimmte bestehende Skripte auf dem Server des Betreibers auszuführen bzw. dort gewisse Verzeichnisse oder Programme mit Hilfe von Skripten aufzurufen der Hacker versucht ein "automatisches" Eindringen ins System wobei er geschickt bestehende Lücken ausnutzt; durch das "automatisierte" Vorgehen ist die Indentifikation solcher Angriffe recht einfach - direkte Hackerangriffe = sind meist zielgerichtet und zeichen sich durch geschicktere Vorgehensweisen aus. Der Hacker versucht z.B. mittels einer sehr langen Zahlen- oder Buchstaben- kette (100x Z oder 100x N) den Serverbetrieb zu stören und eine Fehler zu erzeugen. Der Server springt in den eine Art "Störbetrieb" und ist somit noch angreifbarer. Solche Attacken zielen wieder geschickt auf bestehende Sicherheitslücken diverser Betriebssysteme - Achtung! In den letzten Monaten mehren sich verstärkt Angriffe aus Nachbarländern Afghanistans (Irak, Iran, Türkei) - diese machen derzeit 70% der Angriffe aus. Zufall?! Lösungsansätze: - für den "privaten" Surfer empfiehlt sich der Einsatz einer sog. "Personal-Firewall", welche die Zugriffe auf dem Computer während des surfens überwacht. Für Windowsuser empfiehlt sich z.B. Zonealarm (für den privaten Einsatz kostenlos erhältlich unter zonealarm.com) - für den professionellen User empfiehlt sich neben dem Einsatz einer Firewall (entweder Soft- oder Hardware) zusätzlich die ständige Aktualisierung bestehender Systeme. Sowohl Mac, Windows, als auch Linux-System müssen ständig aktualisiert werden, um ein hohes Maß an Sicherheit zu erreichen - für sämtliche User werten Sie die Logfiles Ihrer Rechner / Server ständig aus, um Angriffe frühzeitig zu lokalisieren! ------------------------------------------------------------------------------- Sollten Sie weitere Fragen zur Systemsicherheit haben, oder möchten Sie kostenlos Ihre Logfiles von uns analysiert haben. Wir stehen Ihnen gerne zur Verfügung. Mit freundlichen Grüssen Boris Hinzer web-vision GmbH - friedensstr. 12-18 - 41236 mönchengladbach fon: 0 21 66 - 94 04 54 fax: 0 21 66 - 94 03 70 <- Back to: virus-informer.de
home Impressum