Falls es jemand noch nicht wissen sollte - derzeit gibt es einen recht fiesen Exploit bezüglich WMF-Grafikfiles, durch die schadhafter Code auf den Rechner kommen kann.
Die ganze Geschichte gibt es hier (http://handlers.dshield.org/jullrich/wmffaq.html).
Sieht wirklich nicht gut aus, da der "malicious Code" schon beim einfachen Betrachten von Grafikdateien ausgeführt wird!

Wie schütze ich mich???
Entweder du lädst dir einen inoffiziellen Patch (MS hat bislang noch NICHT reagiert, wird dies aber sicherlich demnächst nachholen) hier herunter (http://handlers.sans.org/tliston/wmffix_hexblog14.exe) (nicht heulen, wenn hinterher der PC brennt, ich übernehme keine Verantwortung) oder aber du gehst in den Command Prompt und schreibst da
regsvr32 -u %windir%\system32\shimgvw.dll
wobei %windir% mit dem Pfad zu Windows ersetzt werden muß, meist
c:\windows

Wie gesagt - ist kein Scherz und könnte schnell ein großes Problem werden.
Alleine die Verwendung einer Browseralternative ist übrigens KEIN Schutz.

Wobei das Deregistrieren der Bildbetrachtungs-Treiber-Datei den Exploit nicht ganz sicher verhindert:

WMF-Exploit: Anfällige Programme
Die von Microsoft empfohlene Deregistrierung einer DLL lässt Schlupflöcher offen.



Die in der letzten Woche bekannt gewordene und zum Einschleusen schädlicher Programme ausgenutzte Windows-Sicherheitslücke beim Umgang mit WMF-Dateien beschränkt ( wir berichteten ) sich nicht auf die "Bild- und Faxanzeige". Auch mehrere Anwendungen von Drittherstellern weisen vergleichbare Fehler auf.Zusammen mit dem Testlabor AV-Test haben wir einige Stichproben mit beliebten Grafikprogrammen unter verschiedenen Windows-Versionen gemacht. Diese Tests erheben keinen Anspruch auf Vollständigkeit, sie sollen nur demonstrieren, dass die von Microsoft als Interimslösung vorgeschlagene Deregistrierung der Programmbibliothek "shimgvw.dll" keine vollständige Sicherheit vor den WMF-Exploits bieten kann.

Überprüft wurden nicht unbedingt die aktuellsten Programmversionen, da in der Praxis oft ältere Versionen installiert sind. Getestet wurde mit verschiedene Windows-Versionen von Windows NT 4.0 über Windows 98 bis XP und Server 2003.

Bei den Tests zeigt sich, dass einige Grafikprogramme wie Corel Draw (getestete Versionen: 9 und 11) und Paintshop Pro (getestete Versionen: 7.0.3, 8.10, 9.0) nicht anfällig zu sein scheinen. Während Corel Draw mit Exploit-Code präparierte WMF-Dateien klaglos öffnet, meldet Paintshop Pro einen angeblichen Mangel an Arbeitsspeicher und öffnet die Dateien nicht. Wie auch Microsoft bestätigt, sind Office-Anwendungen wie Microsoft Word nicht anfällig. Eine Stichprobe mit Open Office 1.1.5 unter Windows 2000 zeigt ebenfalls keine Auffälligkeiten.

Anders sieht es bei den kostenlosen Bildbetrachtern Irfanview und Xnview aus. Bei diesen Programmen genügt bereits der integrierte Datei-Browser, der Vorschaubilder anzeigt, um dem Exploit-Code zur Ausführung zu verhelfen. Dieser Effekt tritt auch unter Windows NT 4.0 auf, obwohl auf diesem PC keine shimgvw.dll vorhanden ist.Bei älteren Windows-Versionen wie Windows 98 oder NT ist standardmäßig keine Anwendung mit WMF-Dateien verknüpft. Unter Windows 98 und Me scheint der Exploit-Code nicht zu funktionieren, vermutlich ist der Code auf neuere Windows-Versionen angepasst. Prinzipiell existiert die Schwachstelle in der Grafikschnittstelle (GDI) von Windows seit Windows 3.0. Aus dieser Zeit stammt auch das Dateiformat WMF (Windows Meta File), dessen spezielle Eigenarten auf die damaligen Erfordernisse ausgerichtet sind. In WMF-Dateien kann Programm-Code enthalten sein, der bis heute den Start beliebiger Anwendungen ermöglicht.

Die größte Gefahr besteht bei Windows XP und Windows Server 2003, da hier im Gegensatz zu anderen Windows-Versionen standardmäßig eine Verknüpfung von WMF-Dateien mit einer Anwendung (Bild- und Faxanzeige) besteht. Sie sollten sich jedoch keineswegs sicher fühlen, wenn Sie noch mit Windows 98 oder Me arbeiten. Je nach installierten Anwendungen können auch solche darunter sein, die für die WMF-Exploits anfällig sind.

Zudem ist nicht davon auszugehen, dass Microsoft für diese Windows-Versionen noch ein Sicherheits-Update bereit stellen wird, das sich des Kernproblems annimmt. Zumindest für Windows XP und Server 2003, vermutlich auch für Windows 2000, will Microsoft am 10. Januar ein Sicherheits-Update anbieten" (PC-Welt.de)

und

"WMF-Exploit: Offizielles Sicherheits-Update kommt nächste Woche
Microsoft kündigt ein Update gegen die WMF-Lücke für den kommenden Patch Day an.



Während die Ausnutzung der in der letzten Dezemberwoche bekannte gewordenen Sicherheitslücke bei der Behandlung von WMF-Dateien weitergeht, hat Microsoft seine diesbezügliche Sicherheitsempfehlung aktualisiert. Darin gibt Microsoft bekannt, dass es am kommenden Dienstag, 10. Januar, ein Security Bulletin dazu geben wird.Das Sicherheits-Update gegen die WMF-Lücke sei fertig entwickelt und werde nun an die verschiedenen Sprachversionen von Windows angepasst. Ferner würden ausführliche Tests durchgeführt, die Qualität und Anwendungskompatibilität des Updates sicherstellen sollen.

Das Sicherheits-Update soll am regulären Patch Day in 23 Spachen zur Verfügung gestellt werden. Bis dahin empfiehlt Microsoft weiterhin die Deregistrierung der "shimgvw.dll" ( wir berichteten ) sowie die Beachtung der üblichen Vorsichtsmaßnahmen bei der Internet-Nutzung.

Wer nicht bis zur nächsten Woche warten kann oder will, kann den inoffiziellen Patch ( wir berichteten ) von Ilfak Guilfanov, Entwickler des Debuggers IDA Pro, installieren. Dieser Patch kann (und sollte) vollständig wieder deinstalliert werden, sobald ein Update von Microsoft zur Verfügung steht. Das Internet Storm Center stellt den Patch zum Download bereit.

Ferner sollten Sie Ihre Antivirus-Software stets auf dem aktuellen Stand halten. Die meisten Antivirus-Programme erkennen den überwiegenden Teil der präparierten WMF-Dateien. Überprüfen Sie, ob Ihr Virenscanner so eingestellt ist, dass er alle Dateitypen prüft, damit auch umbenannte WMF-Dateien mit Endungen wie etwa JPG, GIF, PNG, BMP oder TIF erkannt werden."

ich habe mir z.B. das hier installiert

"Ilfak Guilfanov hat nun ein Programm geschrieben, das alle Aufrufe von SetAbortProc() im Arbeitsspeicher abfangen soll. Auf diese Weise sollen normale WMF-Dateien weiterhin angezeigt, die schädlichen jedoch entwaffnet werden. Das Internet Storm Center (ISC) hat dieses Programm auseinander genommen, mit dem mitgelieferten Quelltext abgeglichen und getestet. Es wurde nach kleineren Verbesserungen für geeignet und sicher befunden. Auch der Antivirus-Hersteller F-Secure empfiehlt das Programm im Weblog seines Virenlabors .

Das ISC stellt das Programm auch selbst zum Download bereit . Dies ist ein eher unüblicher Schritt und nicht unbedingt das, was der PC-Doktor normalerweise empfiehlt. Aber ungewöhnliche Situationen erfordern zuweilen ungewöhnliche Maßnahmen. Nach Einschätzung des ISC können und sollten Anwender nicht warten, bis Microsoft ein Update liefert, das die Lücke schließt - womöglich erst zum nächsten Patch Day am 10. Januar." (PV-Welt)

den gibt es hier: http://handlers.dshield.org/jullrich/wmffaq.html

Grüsse

Wobei das Deregistrieren der Bildbetrachtungs-Treiber-Datei den Exploit nicht ganz sicher verhindert:
Leider absolut richtig, deshalb ja auch bei mir der Link zum Patch.

Das kann noch was werden - wenn sogar Würmer, die die absolute Dummheit einiger Leute ausnutzen, so viel Erfolg haben (Wir laden Sie ein zur Millionenshow, bitte öffnen Sie diese EXE), dann wird dieses Ding ganz böse einschlagen.

In diesem speziellen Fall ist man mit Linux als Surf-Plattform da sicher.

Wer das nicht in tuto betreiben will kann sich mit dem kostenfreien VMWare Player http://www.vmware.com/products/player/ und einer entsprechenden Browser-Appliance VM http://www.vmware.com/vmtn/vm/browserapp.html schmerzfrei eine sichere Surfumgebung bauen.

Gruss

VMWare-Player ist sowie die Macht ;)

Grüsse

Virtual Machine ist wirklich cool - aber für solche Kleinigkeiten irgendwie ein wenig zu umständlich.

@Sordid
Das ist so aber ganz gut praktikabel. Wenn du die VM nach Verwendung nur mit "Suspend" parkst anstelle komplett runterzufahren, fährt die annähernd so schnell wieder hoch wie man auch braucht um den Browser zu starten.

Ansonsten gewinnt man schon viel indem man
* Nicht in alter Windows-Angewohnheit mit Administratorrechten surft, sondern sich ein Konto mit ganz normalen Benutzerrechten für den Alttagsbetrieb anlegt und verwendet.
* Einen Alternativbrowser verwendet.

Der WMF-Exploit ist da eine der Ausnahmen, weil die entsprechende DLL praktisch von jedem verwendet wird.

Ciao

Zu dem Thema noch von PC-Welt:

"WMF-Exploit: Microsoft aktualisiert Sicherheitsempfehlung
Microsoft hat seine Sicherheitsempfehlung für den WMF-Exploit aktualisiert. Mit der Aktualisierung bittet Microsoft die Anwender um Geduld. Der Patch, der die gefährliche Lücke schließen soll, wird wie geplant am 10. Januar am Patch-Day erscheinen. Von der Nutzung des inoffiziellen Patches rät Microsoft dagegen ab.



Microsoft hat seine Sicherheitsempfehlung zum WMF-Exploit aktualisiert, deren erste Fassung Ende Dezember online gegangen war. Aktualisiert wurde die FAQ um zwei neue Einträge, in denen Microsoft Stellung bezieht zu dem kürzlich veröffentlichten inoffiziellem Patch, der die Lücke schließen soll."Als eine generelle Regel empfiehlt es sich Sicherheits-Updates für Sicherheitslücken vom Original-Hersteller zu verwenden", rät Microsoft und fügt hinzu, dass man bei Microsoft die Updates sorgfältig teste, vor allem hinsichtlich der Kompatibilität zu anderen Applikationen. Zudem würde es den offiziellen Patch auch gleich in 23 Sprachversionen geben. Daher empfiehlt Microsoft den Anwendern bis zum Erscheinen des Sicherheitsupdates am 10. Januar zu warten und nicht den inoffiziellen Patch ( wir berichteten ) zu installieren.

In einem weiteren, neuen Eintrag in der FAQ beziehen die Redmonder Stellung zu der im Internet aufgetauchten Pre-Release-Version des offiziellen Patches. "Die Pre-Release-Version des Updates wurde unbeabsichtigt auf einer Sicherheits-Community-Site veröffentlicht", so Microsoft. Anwender sollten alle Hinweise über den Patch ignorieren und bis zur offiziellen Veröffentlichung warten.

Auch wenn Microsoft zur Geduld rät, stecken die Anwender in der Zwickmühle. Die Sicherheitslücke ist seit Tagen bekannt und wird für Angriffe ausgenutzt. Mit der weiterhin offiziell patchlosen Zeit nimmt die Gefahr ständig zu. Da fällt es schwer sich in Geduld zu üben, vor allem dann, wenn es bereits eine, wenn auch inoffizielle, Lösung für das Problem gibt. In seiner FAQ erläutert Microsoft zwar, dass die Entwicklung eines Patches aufwendig sei, allerdings hilft dies den Anwendern herzlich wenig.

Inzwischen warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Sicherheitslücke.

Der Ansturm auf den inoffiziellen Patch hatte dafür gesorgt, dass die Seite des Entwicklers Ilfak Guilfanov (Hexblog.com), zusammengebrochen war und mittlerweile nur in einer Notfassung online ist. Alternativ wird mittlerweile auch eine bereits aktualisierte Fassung (inklusive MSI-Installer) des Patches beim Internet Storm Center hier zum Download angeboten . Der Patch lässt sich später, wenn der offizielle Patch erscheint, über "Systemsteuerung, Software" wieder deinstallieren.

Das Internet Storm Center rät weiterhin zur Installation des inoffiziellen Patches. Sollten Sie dieser Empfehlung folgen, dann sollten Sie den inoffiziellen Patch deinstallieren, bevor Sie in der kommenden Woche dann den offiziellen Patch installieren."

und

"WMF-Exploit leicht gemacht
Das Programm WMFMaker ermöglicht die Erstellung von WMF-Dateien mit beliebigen Schadensroutinen.



Verschiedene Sicherheitsunternehmen melden eine weiterhin zunehmenden Zahl von Angriffen mit präparierten WMF-Dateien. Vorwiegend werden Websites durch die Einbettung solcher Bilddateien für Angriffe auf die Ende 2005 bekannt gewordene WMF-Sicherheitslücke ( wir berichteten ) genutzt. Immer neue WMF-Dateien tauchen auf. Jetzt melden mehrere Antivirus-Firmen die Entdeckung eines Programms, das die Erstellung schädlicher WMF-Dateien wesentlich vereinfacht.Das als "WMFMaker" bezeichnete Tool ist ein schlichtes Kommandozeilenprogramm. Es übernimmt eine im Befehlsaufruf übergebene Schadensroutine und erzeugt eine WMF-Datei mit dem Exploit-Code. Dieser basiert nach Angaben von F-Secure auf der ersten, in der letzten Woche veröffentlichten Methode zur Ausnutzung der Sicherheitslücke in Windows. Die Virenforscher von F-Secure schreiben in ihrem Weblog , die so erzeugten Dateien seien zum Teil "buggy", funktionierten also nicht richtig.

Panda Software gibt an, das Programm erzeuge WMF-Dateien mit dem Namen "evil.wmf" oder dem Dateinamen des integrierten Schädlings. Nach der Beschreibung von Panda ist WMFMaker in C++ geschrieben und etwa 52 KB groß.

McAfee hingegen gibt in seiner sehr knappen Beschreibung eine Größe von mehr als 480 KB an und verkündet, dass die mit WMFMaker erzeugten Dateien von McAfee Virusscan erkannt würden. Dies dürfte allerdings inzwischen auch auf andere Antivirus-Programme zutreffen."

Grüsse

Martin,
du predigst da dem Chor! He, ich kann meinen Rechner zuhause sogar in BeOS booten, wenn ich lustig bin. :D
Allerdings ist VMWare halt doch ein Memory Hog, und den zu parken kostet massiv Ressourcen. Mag für den reinen Surfer und Mailer in Ordnung sein, aber wenn dann nebenher eine fette Anwendung gestartet werden sollte, dann ist das nicht zu verzeihen.

Martin,
du predigst da dem Chor! He, ich kann meinen Rechner zuhause sogar in BeOS booten, wenn ich lustig bin. :D

Ich sah in dir nicht die Zielgruppe für die Tips. ;)


Allerdings ist VMWare halt doch ein Memory Hog, und den zu parken kostet massiv Ressourcen. Mag für den reinen Surfer und Mailer in Ordnung sein, aber wenn dann nebenher eine fette Anwendung gestartet werden sollte, dann ist das nicht zu verzeihen.
Vielleicht kommen die Leute dann auf den Dreh die Kohle in die Speicherausstattung statt in die neueste Grafikkarte für ihre gekofferten, virenverseuchten Games zu stecken. ;)

Gruss

In meinem Computer siehts so aus:

#fdisk -l

Disk /dev/hda: 163.9 GB, 163928604672 bytes
255 heads, 63 sectors/track, 19929 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/hda1 * 1 8500 68276218+ 83 Linux
/dev/hda2 8501 12500 32130000 83 Linux
/dev/hda3 12501 13500 8032500 83 Linux
/dev/hda4 13501 19929 51640942+ 5 Extended
/dev/hda5 13501 13900 3212968+ 83 Linux
/dev/hda6 13901 14200 2409718+ 83 Linux
/dev/hda7 14201 14450 2008093+ 83 Linux
/dev/hda8 14451 14900 3614593+ 83 Linux
/dev/hda9 14901 17199 18466654+ 83 Linux
/dev/hda10 17200 19800 20892532+ 81 Minix / old Linux
/dev/hda11 19801 19929 1036161 be Solaris boot

ALTLinux, Slackware-Linux, Mandrake-Linux, ... Solarix, Minix. Windows-nix. Kann da der Virus auch reinkommen ?? :D
Ausserdem immer root ohne password benutzen: # passwd -d root. Da findet selbst john-the-ripper nix ! :D :D

ich versteh nur bahnhof:( was soll ich jetzt machen als unkundiger?

ich versteh nur bahnhof:( was soll ich jetzt machen als unkundiger?
Danke!!! Ich dachte schon ich sei der Einzige :D

Danke!!! Ich dachte schon ich sei der Einzige :D
Ich cheks irgendwie auch nicht

ich versteh nur bahnhof:( was soll ich jetzt machen als unkundiger?

1. Keine Panik ;) (es muss erstmal jemand Dir eine schadhafte WMF-Datei vorsetzen, wobei das auch schnell gehen kann. Hier handelt es sich doch um eine Möglichkeit, es steht nirgends, dass schon Würmer, Trojaner ... damit unterwegs sind, oder?)

2. Wenn Du englisch kannst, lies Dir die FAQ unter dem angegebenen Link durch (http://handlers.dshield.org/jullrich/wmffaq.html) dort steht eigentlich alles ganz gut drin. Wenn Du ein betroffenes Betriebssystem benutzt:

3. Warte auf den offiziellen Patch von Microsoft oder installiere das http://handlers.sans.org/tliston/wmffix_hexblog14.exe.

4. Update und benutze einen neuen Virusscanner (kann muss aber nichts bringen).

VMs würde ich keinem Laien zumuten. Benutzen hier manche tatsächlich eine VM nur zum surfen?

ALTLinux, Slackware-Linux, Mandrake-Linux, ... Solarix, Minix. Windows-nix.


Warum soviel unterschiedliche "Linuxes"?



Ausserdem immer root ohne password benutzen: # passwd -d root. Da findet selbst john-the-ripper nix ! :D :D

Gut zu wissen... ;)

Auf heise.de kann man sich techdemos zum exploit anschauen, also obs auf dem eigenen System funktioniert. Mein McAfee Virenscanner hat beim Ausführen des "exploit" sofort geblockt, also macht ein Update eurer Virendefs bevor ihr eure dlls deregistriert ;)

[...]
VMs würde ich keinem Laien zumuten. Benutzen hier manche tatsächlich eine VM nur zum surfen?
Die Handhabung von Player und der Appliance ist trivial.
Für mich stellt sich die Frage nicht, da ich zum einen seit ein paar Jahren als Primär-OS Linux verwende und aus beruflichen Gründen ohnehin immer eine handvoll VMs parat haben muss (Cross Plattform Tests).
Das mit den Virenscannern ist m.E. eigentlich nur rumdoktorn an den Symptomen. So in der Art "bessere Zäune bauen um die wiederstandschwache Kiefern-Monokultur vor dem Borkenkäfer zu schützen".

Gruss

Da ich dem Standard-DAU weder eine VM anvertrauen würde ("Warum fehlen in meinem Startmenü alle Programme") noch ihn mit dem regsvr rumdoktoren lasse schien mir der Zaun-Virenscanner-Weg der am Besten Geeignete ihn bis zu einer "offiziellen" Lösung ruhigzustellen

sincerely yours,
Bastard-el-from-Hell http://coolsmiley.de/coolsmiley.php?id=1309

"WMF-Patch: Update und ein Testprogramm
Für den inoffiziellen WMF-Patch gibt es ein Update und ein Programm zum Test auf WMF-Anfälligkeit.



Während in Sicherheitsforen eine rege und kontroverse Diskussion über das Für und Wider eines nicht von Microsoft abgesegneten Mittels gegen die WMF-Sicherheitslücke entbrannt ist, hat der Programmierer des Tools eine verbesserte Version bereit gestellt. Ferner bietet Ilfak Guilfanov auch ein Testprogramm an, mit dem die erfolgreiche Installation des Patch überprüft werden kann.Die neue Version 1.4 des WMF-Fix bringt für Benutzer von Einzelplatzrechnern keine Änderungen, niemand muss deshalb den Patch nochmals anwenden. Die Verbesserungen betreffen vielmehr die Handhabung in IT-Umgebungen, in denen Programme zentral gesteuert über ein Netzwerk auf vielen PCs installiert werden. Dazu wird auch eine MSI-Version (Microsoft Installer) des WMF-Fix angeboten, ferner ein Beispiel einer Batch-Datei zur automatischen Ausführung eines Testprogramms, etwa beim Login.


Das Testprogramm "wmf_checker_hexblog.exe" soll eine Aussage darüber liefern, ob ein System anfällig für die WMF-Exploits ist oder nicht. Vor der Installation des WMF-Fix von Ilfak Guilfanov sollte es im Grunde auf jedem Windows-PC melden, dass dieser anfällig ist. Nach Installation des WMF-Fix und einem Neustart von Windows sollte das Programm hingegen melden, dass der Rechner nicht anfällig ist. Der Neustart ist wichtig, weil das Testprogramm auch ohne diesen keine Anfälligkeit meldet, obwohl dann noch einige anfällige Prozesse aktiv sein können.


Bei Castle Cops gibt es auch ein Diskussionsforum , in dem sich Anwender über ihre Erfahrungen mit dem WMF-Fix austauschen können. Ebenfalls bei Castle Cops zu Hause ist eine FAQ-Seite zum WMF-Fix sowie weitere Informationsseiten zu diesem Thema. Diese und mehrere alternative Download-Seiten für Ilfak Guilfanovs WMF-Fix sind über dessen Website "Hexblog" erreichbar, die wegen des großen Ansturms vom Provider vorübergehend geschlossen worden war. Sie ist in einer Minimalversion inzwischen wieder erreichbar."

Grüsse

Für gewindowsmeierte: UM SCHNELL WAS ZU MACHEN: das beste Anti-Virus ist wohl immer noch f-prot (mit Yahoo suchen), mit fast täglich upgedateter Virus-etc-Library, auch schon an ggw. Problem angepasst. Es läuft auch mit W98, W95, MS-DOS, also Systemen wo die meisten neuen Virus selbst nicht mehr funktionieren, weder das anti-virus korrumpieren können. Also f-prot downloaden, auf Diskette oder CD kopieren, Rechner mit MS-DOS (incl. CD-Driver falls mit CD verwendet) starten, CD oder Floppy mit f-prot einlegen, alle Files scannen. Andere Möglichkeit, noch besser und sicherer: es gibt f-prot auch für Linux, also: Linux live-CD einlegen (des beste und sehr gut !! wohl Kurumin), in Internet gehen, f-prot für Linux irgendwohin downladen, starten, sucht alle infektierten Dateien in Windows-partitions. Ich repariere hier in Guyana Computer von Nachbarn usw (die Sozialhilfe ist ja sehr wenig) und mache das immer so, was am meisten vorkommt ist dass Windows nicht mehr startet, im Mittel finden sich so 10-30 Virus, auch in Computern die sich scheinbar noch ganz normal verhalten. Genereller Hinweis: nie ntfs sondern fat32 für Windows benutzen. Noch was: alle mailbox von bigmailbox.com sind voll mit Würmern und mailbox-zombies (dh von jenem server aus verschicken Andere mails mit phishing usw), diesen Server nicht benutzen ! Wie kriegt ihr am einfachsten benevolente eigene Virus in Rechner anderer, ohne dass anti-virus auch nur die geringste chance hat sie zu finden ? Sowohl source-code des Virus als den Interpreter - z.Bsp. a60, jff oder RHA-Algol - in prog anfügen, Aufrufzeile des Interpreters + prog-name mit x rechts oben zum Fensterschliessen oder mit exit im Fenster-Menü links verlinken / ersetzen (ein weiterer link auf andere, sicher betätigte Knöpfe / Fensterschliesser die die Leute insb. bei Virus-Suche mit Sicherheit drücken - wie von Windows-Task/Process Manager, IEE usw - auch gut); solche Virus sind zwar etwas lang, aber ganz sicher gegen Entdeckung. Mensch, diese Virus sind eine Plage !! :D

Brauchen wir hier jetzt noch Tipps, wie man Viren versteckt? Da sind Rootkits besser...

Grüsse

Heute im KKB: "Wie verstecke ich einen Virus"

Morgen: "Rootkits runterladen+Bedienungsgrundlagen. Außerdem Würmer basteln für Fortgeschrittene"

Am Wochenende: "Gemeinsame Wochenendrundreise mit anschließendem Besuch der Norton AV Labs"

Schalten sie auch morgen wieder ein wenn WMF weiter für Angst und Schrecken sorgt und die Welt erzittern lässt. Live und nur bei uns

. Genereller Hinweis: nie ntfs sondern fat32 für Windows benutzen.

Jo.. super Tipp..:mad: NTFS hat ja überhaupt keinen Sinn :rolleyes:

Kazuko

Heute im KKB: "Wie verstecke ich einen Virus"

Morgen: "Rootkits runterladen+Bedienungsgrundlagen. Außerdem Würmer basteln für Fortgeschrittene"

Am Wochenende: "Gemeinsame Wochenendrundreise mit anschließendem Besuch der Norton AV Labs"

Schalten sie auch morgen wieder ein wenn WMF weiter für Angst und Schrecken sorgt und die Welt erzittern lässt. Live und nur bei uns

:rofl:

Jo.. super Tipp..:mad: NTFS hat ja überhaupt keinen Sinn :rolleyes:

Kazuko

Da hat er schon recht, mit FAT32 läuft alles viel besser&sicherer *ROTFL* Musste mich eben mal kurz an meine Tastatur klammern um nicht vom Stuhl zu fallen. http://coolsmiley.de/coolsmiley.php?id=445

@blob
Mach dich mal schlau warum ein journaling filesystems besser ist als keins und warum die meisten Sicherheitsattribute nur mit NTFS möglich sind. Von Unicode im Dateinamen, Active Directory hosting usw. fang ich gar nicht erst an :D

Da hat er schon recht, mit FAT32 läuft alles viel besser&sicherer *ROTFL* Musste mich eben mal kurz an meine Tastatur klammern um nicht vom Stuhl zu fallen. http://coolsmiley.de/coolsmiley.php?id=445 @blob Mach dich mal schlau warum ein journaling filesystems besser ist als keins und warum die meisten Sicherheitsattribute nur mit NTFS möglich sind. Von Unicode imDateinamen, Active Directory hosting usw. fang ich gar nicht erst an :D So sicher, dass du bei Defekten (wozu schon kleine reichen) deine eigenen Daten meist nicht mehr retten kannst !! Wenn nicht grade woanders abgespeichert, ist meist auch das jornal futsch (wenn du vom jornal abhängen willst, braucht der Virus es nur zu löschen) ! Bei reiserfs kann man selbst versehentlich gelöschte Dateien (selbst wenn noch nicht überschrieben) nicht mehr mit vertretbarem Aufwandt regenerieren (deswegen, bei Linux am besten ext3 benutzen). Umgekehrt, wenn das NTFS-File-System nicht völlig kaputt ist, kann die gesamte 'Sicherheit' absolut nicht verhindern, dass jemand den Rechner entweder unter einem installierten Linux oder mit einem Live-CD (oder auch nur mit gewissen Disketten) startet, und er kann bereits im Text-Modus (oder #mc ) auf jedes beliebige, noch so 'geschützte' NTFS-File zugreifen und es woanders hin kopieren (oder bei geladenem ntfs-schreib-kernelmodul auch direkt ändern) . Passwords, Sicherheitsattribute usw. sieht man dabei nicht, sie stören nicht einmal; es ist nur von Belang inwieweit (technisch) Dateisystem zerstört, jornal verschwunden, FAT gelöscht/korrumpiert usw ist; hier ist das Retten aller oder wichtiger einzelner Files oder Teile davon (im ungünstigsten Fall, sektorweise per #disked) viel einfacher und aussichtsreicher bei vfat als bei ntfs. Oft genug habe ich von kaputten oder virus-korrumpierten Festplatten soweit noch möglich private Files der Leute runterzupopeln oder zu reparieren. Noch schlimmer sind ein- oder mehrfach indexierte File-Systeme. Zusammenfassend: NTFS 'Sicherheit' (iS jornal und techn. Sicherheit) - abgesehen von einfachen Fällen wo Reparieren durch Wiederausführen des Jornals noch möglich - nur schädlich für Benutzer (Reparierbarkeit, Rettbarkeit) selbst; 'Sicherheit' i.S. gegen unberechtigten Zugriff / unber. Prozesse+Virus dagegen ein Witz. Daher ja auch so viele Sicherheitsprobleme bei Windows.

@blob
Deine Sichtweise von Journaling File Systemen ist sehr einseitig (auch wenn ich kein wirklicher Fan von NTFS bin, aber das ist ein anderes Thema).
Der Sinn von JFS ist im Betrieb Konsistenz des Dateisystems zu garantieren , was diese auch mit hoher Zuverlässigkeit tun. Ich habe noch nie ein JFS erlebt das durch Stromausfälle, einfache Plattenfehler etc etc so korrumpiert war, das es sich nicht selbst recovern konnte.
Datenwiederherstellung bei "versehentlich gelöscht" etc ist eben genau _nicht_ das Thema. Im Gegenteil, wenn jemand oder etwas eine Datei löscht dann hat die nach Möglichkeit definitiv weg zu sein!
(Dusseligkeit muss bestraft werden. :D )
Das diese Systeme angreifbar sind wenn mit anderen Systemen gebootet wird hat damit nichts zu tun, da sie auch nicht versprechen das es anders wäre. Zur Definition des entsprechenden Sicherheitsnivaus gibt es z.B. die verschiedenen Cn-Standards wo auch NTFS eigentlich nur C1 ist. (Oder war die Nummerierung anders rum? Dann C4, halt der niedrigste Standard der da vom Pentagon definiert ist.)
Wobei heutzutage das über Crypo-Erweiterungen des Filesystems lösbar ist.
Das Viren da überhaupt sich spreaden können liegt wieder an der Unsitte das die Windows-User i.d.R. mit Administrator-Rechten angemeldet sind. Ansonsten würde der Befall sich auf die Dateien des entsprechenden Benutzerprofils beschränken. (Die immer mal wieder gefunden Lücken wo man sich unter NT Root-Rechte "erobern" kann mal aussen vor, ist schon wieder ein anderes Thema.)

Ciao

Hilfää,

also ich verstehe nix, außer dass ich das update brauche, was ich dann auch ziehen werde, wenns da ist.

Kurz mal für plöde: Was soll ich nicht öffnen? Abgesehen von dem, was ich eh nicht öffnen soll :rolleyes:
und: Woher weiß ich, dass was auch immer passiert ist?

Versteht mich einer? ^^

Reicht Antivir?? Der macht meine Echtzeitüberwachung... ich will nicht schon wieder einen fiesen Wurm oder Virus haben :cry: der letzte hat mich so übel gekillt.

Hilflose Grüße, Justy

@blob Deine Sichtweise von Journaling File Systemen ist sehr einseitig (auch wenn ich kein wirklicher Fan von NTFS bin, aber das ist ein anderes Thema).
a) Der Sinn von JFS ist im Betrieb Konsistenz des Dateisystems zu garantieren , was diese auch mit hoher Zuverlässigkeit tun. Ich habe noch nie ein JFS erlebt das durch Stromausfälle, einfache Plattenfehler etc etc so korrumpiert war, das es sich nicht selbst recovern konnte.
b) Datenwiederherstellung bei "versehentlich gelöscht" etc ist eben genau _nicht_ das Thema. Im Gegenteil, wenn jemand oder etwas eine Datei löscht dann hat die nach Möglichkeit definitiv weg zu sein! (Dusseligkeit muss bestraft werden. :D )
c) Das diese Systeme angreifbar sind wenn mit anderen Systemen gebootet wird hat damit nichts zu tun, da sie auch nicht versprechen das es anders wäre. Zur Definition des entsprechenden Sicherheitsnivaus gibt es z.B. die verschiedenen Cn-Standards wo auch NTFS eigentlich nur C1 ist. (Oder war die Nummerierung anders rum? Dann C4, halt der niedrigste Standard der da vom Pentagon definiert ist.) Wobei heutzutage das über Crypo-Erweiterungen des Filesystems lösbar ist. Das Viren da überhaupt sich spreaden können liegt wieder an der Unsitte das die Windows-User i.d.R. mit Administrator-Rechten angemeldet sind. Ansonsten würde der Befall sich auf die Dateien des entsprechenden Benutzerprofils beschränken. (Die immer mal wieder gefunden Lücken wo man sich unter NT Root-Rechte "erobern" kann mal aussen vor, ist schon wieder ein anderes Thema.) Ciao
b): Noch gerechtfertigter ist es, zu sagen und die gesamte Diskusion bzgl. Virus usw, Daten-Restaurierung / Filesysteme ... dahingehend zusammenzufassen, dass hier nur leidet und zu leiden hat, wer das auch sucht; wer nicht hört, muss halt fühlen ! Es ist ja bekannt, welche Betriebs- und Filesysteme sicher sind und welche nicht ! :)

Anders als hier - wo man, ganz gezielt und idR unter Hinnahme dessen, wählt das was man wählt - können Files auch ungewollt gelöscht werden - insbesondere durch Virus. Hier muss es einfach einfache Wege zur Wiederherstellung geben.

a): Die Grundidee jornalierter FS ist nicht schlecht; die Verwirklichung jedoch nicht gut, weder bei Linux, erst recht nicht bei Windows. Bei Fehlerfreiheit oder kleinen Problemen ist es besser als unjornaliert, die letzten Transaktionen werden wiederholt; bei grösseren Problemen und nötiger Reparatur des FS ist dieses jedoch hinterher idR schlechter als vorher und bei mehrfacher Reparatur ganz kaputt - schlechter als unjornaliert. Doch, dass ein FS mit #fsck repariert werden muss, kommt vor, und geht oft schief. Bei Fehlern, die Reparaturen benötigen, daher retten was rettbar und wichtig ist (wichtige files ggf. einzeln reparieren oder retten, nicht das gesamts FS), und alles neu anlegen.

c): Das gilt für Sicherheit iS Defekte und Reparierbarkeit - für Sicherheit iS Privilegien, Virus usw. ist das jornal ganz nutzlos, eher noch ein zusätzlicher Risikofaktor. Wenn man in das jornal ein geeigneten Virus einbaut, wird der auch automatisch ausgeführt. Zu geringer Gebrauch der Sicherheitsmittel (einschliesslich, Adm-Privilegien) ist bei Linux sicherlich ein Sicherheitsrisiko (umgekehrt lasse ich meinen Rechner 24 Std. an, downloade immer irgendwas, ohne Firewall, Antivirus, root-password, und habe noch nie einen Virus gehabt, dies gerade letzte Nacht mit dem neuen f-prot wieder getestet); bei Windows kommt es aber mE darauf gar nicht mehr an, das Sistem war halt gut vor 10 Jahren für Einmann-Rechner ohne Internet, und müsste ganz neu geschrieben werden, und dann käme was raus ähnlich den UNIX-Systemen.

Zur Frage anderer Leser, was denn nun konkret tun: tja, man kann nur warten dass man demnächst einen Systempatch, Antivirus o.ä. kriegt; dann kommt eine Woche später wieder ein neuer Virus; dann wieder ein neuer, usw. Besser ist es zu begreifen, dass nicht 'dein Computer' oder gar 'du' einen Virus hast, allenfalls weil du es so willst, aber in Wirklichkeit hat 'Windows' den Virus. :rolleyes:

Zur Frage anderer Leser, was denn nun konkret tun: tja, man kann nur warten dass man demnächst einen Systempatch, Antivirus o.ä. kriegt; dann kommt eine Woche später wieder ein neuer Virus; dann wieder ein neuer, usw. Besser ist es zu begreifen, dass nicht 'dein Computer' oder gar 'du' einen Virus hast, allenfalls weil du es so willst, aber in Wirklichkeit hat 'Windows' den Virus. :rolleyes:

Erinnert mich irgendwie ans Heise Forum... Windows ist scheisse :rolleyes:

Kazuko

Windows hat wohl heute schon einen Patch veröffentlicht:

"WMF-Patch von Microsoft vorzeitig veröffentlicht
Ein Sicherheits-Update gegen als kritisch eingestufte WMF-Schwachstelle in Windows steht zum Download bereit.



Entgegen der Ankündigung, die schwerwiegende Sicherheitslücke in Windows erst am kommenden Dienstag im Rahmen des regulären Patch Day zu schließen, hat Microsoft das bereits fertig entwickelte Update schon am 5. Januar bereit gestellt.Es wird dringend empfohlen das Update umgehend zu installieren, da diese Sicherheitslücke seit mindestens einer Woche vielfältig ausgenutzt wird, um Malware aller Art in anfällige Systeme einzuschleusen. Betroffen sind im Grunde alle Windows-Versionen seit Windows 3.0, Updates gibt es allerdings nur für Windows 2000 (Service Pack 4), Windows XP (SP1, SP2) und Windows Server 2003.

Hier geht´s zum Update:

Microsoft Security Bulletin MS06-001"

http://download.microsoft.com/download/7/b/f/7bfbe5fb-0011-4efd-82e8-02fd5bfd6cf6/WindowsXP-KB912919-x86-DEU.exe

Wichtig: Bitte vorher den Alternative-Patch deinstallieren.

Grüsse

Windows hat wohl heute schon einen Patch veröffentlicht:

"WMF-Patch von Microsoft vorzeitig veröffentlicht
Ein Sicherheits-Update gegen als kritisch eingestufte WMF-Schwachstelle in Windows steht zum Download bereit.



Entgegen der Ankündigung, die schwerwiegende Sicherheitslücke in Windows erst am kommenden Dienstag im Rahmen des regulären Patch Day zu schließen, hat Microsoft das bereits fertig entwickelte Update schon am 5. Januar bereit gestellt.Es wird dringend empfohlen das Update umgehend zu installieren, da diese Sicherheitslücke seit mindestens einer Woche vielfältig ausgenutzt wird, um Malware aller Art in anfällige Systeme einzuschleusen. Betroffen sind im Grunde alle Windows-Versionen seit Windows 3.0, Updates gibt es allerdings nur für Windows 2000 (Service Pack 4), Windows XP (SP1, SP2) und Windows Server 2003.

Hier geht´s zum Update:

Microsoft Security Bulletin MS06-001"

http://download.microsoft.com/download/7/b/f/7bfbe5fb-0011-4efd-82e8-02fd5bfd6cf6/WindowsXP-KB912919-x86-DEU.exe

Wichtig: Bitte vorher den Alternative-Patch deinstallieren.

Grüsse

Der Patch lässt sich unter W2k nicht installieren.

Falsche Windows Version.

Kazuko

Jau, ist nur der Patch für die WinXP Version (Erkennt man an der Linkadresse, sorry), bei Win2K bitte das MS Security Bulletin aufrufen.

Grüsse

Danke für den Patch! :)

Wahrscheinlich stelle ich jetzt eine ziemlich dumme Frage, also bitte nicht hauen... Aber was macht denn diese Sicherheitslücke jetzt genau?:o :(