Larian Studios Forums General Chat (German) Light-brain-center of technical knockout

Ich sehs eher wie Tut, da ohne irgendeine Absicherung ein Windows PC so offen ist wie ein Scheunentor und man sehr viel in kurzer Zeit über einen Benutzer erfahren kann. Trojaner sind da ein sehr hilfreiches Mittel.

Wenn du dir ganz unsicher bist, Dem, dann sichere dir deine wichtigsten Daten, formatiere den PC, installiere Windows inklusive aller Servicepacks und Patches, schieb ne Firewall nach (oder aktiviere wenigstens die von Windows) und noch ein Antiviren-Programm und dann sollte erstmal Ruhe sein. Aber eins musst du in regelmäßigen Abständen machen, sonst helfen dir keine Firewalls und Antiviren-Programme: Spiele regelmäßig Updates für deine verwendeten Programme ein. Besonders für den Virenscanner, die Firewall und Windows.

@Treue:
Die IP-Adresse bekommt man sehr leicht heraus. Schliesslich gibst du die auf jeder webseite an die du besuchst... sonst kann die dir ja die inhalte nicht schicken. (Oder wenn man chattet oder Online spielt, etc...) Aber wenn man nur die IP-Adresse hat kann man normalerweise nicht viel machen... ausser der PC ist nicht geschützt oder bereits durch Trojaner verseucht.

Und wenn ich Dem richtig verstanden habe, dann wusste der mehr als nur die IP-Adresse.

(Ich hoffe mal das es nicht nur ein Scherz von einem Bekannten war und Dem jetzt deswegen die Festplatte formatiert. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" />)

[edit]
Wenn die Daten aus ICQ oder ähnlichen Chat Programmen stammen... dann kann das natürlich eine einfache erklärung sein. Sofern man sie da eingetragen hat.
[/edit]

Die IP von jemadem herauszufinden ist realtiv einfach. Schliesslich müssen die IP-Pakete ja auch irgendwohin reisen.
Allerdings kann man ja nicht einfach sagen: Gib mir die IP von Demetaris. Das geht natürlich nicht.

Entweder musst Du also bei einer Seite/einem Forum etwas gemacht haben (lesen reicht schon), wo er/sie zugriff auf das Log hat oder aber ein Trojaner ist auf Deinem Rechner, der munter Deine IP ins Netz schreit.

Aber das mit den Trojanern wurde ja schon ausreichend erklärt.

Normalerweise werden die Chancen sehr viel kleiner, wenn Du statt einem Modem einen Router benutzst, da dann die IP-Adresse lediglich auf den Router zeigt und nichta uf den Rechner (es sei denn, das Programm verwendet einen Port, der per SUA oder NAT auf Deinen PC umgeleitet wird).

Bei den meisten Providern müsste sich Deine IP bei jedem einloggen ins grosse Netz verändern, da Du vermutlich ja keine fixe IP-Adresse hast.

Persönliche Daten werden allerdings (ausser bei Spyware) nicht über das IP-Protokoll versendet - ja noch nicht einmal Deinen Login-Namen.
Da musst Du also keine Angst haben.

Feststellen, wie viele PCs bei Deinem Netz dranhängen, kann man alleridngs nur bei Birdges oder bei "Paketrücksendungen" - soll heissen, wenn ein IP-Paket von Deinem Router bestellt wurde, muss dieser natürlich auch wieder wissen, an welche interne Adresse es dann weitergesendet werden muss. Da wird dann ein zusätzlicher Eintrag mitgesendet, der allerdings nur bei "Quasi-Antowrten" funktioniert - es ista lso unmöglich, ein IP-Paket über einen Router direkt zu einem PC eines internen Netzwes zu schicken, wenn auf dem Router nicht SUA oder NAT eingestellt ist.

Oh je... ich quasle hier und bin noch nicht mal Ragon.
Bruhige Dich, Demetaris. Lass einen guten Scanner laufen - zum Beispiel online über housecall.antivirus.com - und installiere Dir eine Software-Firewall oder kauf Dir (wie ich) einen ADSL-Router mit integrierter Firewall.

Aber auch für einen Router gelten "Spielregeln":

Man muss seine SSID verstecken, wenn man "kabellos" unterwegs ist (wireless-LAN), die drahtlose Netzwerkverbindung sollte einen neuen Namen bekommen (nicht den standardmäßig eingetragenen), die Verschlüsselung sollte aktiviert sein und die Firewall richtig konfiguriert. Antivirenprogramm (immer aktuell halten) und Softwarefirewall komplettieren das "Sicherheitspaket" - man kann im Internet bei den großen Antiviren- und Firewallfirmen online-Tests machen, bei denen sie dir sagen, ob sie in deinen PC reinkommen. Das halte ich für relativ gefahrlos - im Vergleich zu anderen, von denen du es nicht weißt.

Demetaris, es geht kein Weg daran vorbei - du braucht da schon jemanden, der sich ein bisschen auskennt. <img src="/ubbthreads/images/graemlins/disagree.gif" alt="" />

Endlich gibt es von Microsoft einen Patch für die WMF Lücke.

http://www.heise.de/newsticker/meldung/68033

Danke erstmal für Eure Tipps und Hilfe! @Tut, nein, ich habe nix formatiert, schon aus dem Grund, weil ich gar nicht weiß, wie man das macht! <img src="/ubbthreads/images/graemlins/think.gif" alt="" />

Ihr seht also, ich habe seit der Erstellung dieses Threads nur wenig dazu gelernt, technisch zumindest. Aber ich habe mit Viren-Programmen etc. alles überprüft und keine Trojaner oder andere Gemeinheiten gefunden. Wer weiß, vielleicht nur einfach Panik und Missverständnis!

Wenn mir jetzt noch jemand erklären könnte, was eine WMF-Lücke ist.... <img src="/ubbthreads/images/graemlins/puppyeyes.gif" alt="" />

Und danke an das neue Mitglied im Forum! Willkommen TREUE.SEELE!

Na hoffentlich macht er seinem Namen alle Ehre und bleibt diesem Forumt treu

Hallo,

@ Demetaris: die WMF-Lücke erlaubt es Hackern, ihren eigenen Code mittels einer JPG-Grafikdatei in das System zu schleusen. Anbei ein Link der etwas "wissenschaftlicher" die WMF-Lücke beschreibt.

http://www.heise.de/security/news/meldung/67866

Liebe Grüße

TREUE_SEELE

Um es ein bißchen exakter auszudrücken :

JPG und JPEG sind Bilder.
WMF auch.
Haben nichts miteinander zu tun, sind sozusagen verschiedene Arten von Bildern.

Die WMF-Lücke benutzt WMF-Bilder, keine JPG-Bilder. Für JPG/JPEG-Bilder gibt es eine andere Lücke, die sollte hoffentlich inzwischen geschlossen sein.

fieserweise muss die Endung der Datei die der Nutzer sieht .jpg nichts mit dem tatsächlichen Bildformat zu tun haben. So das sich hinter einer vermeindlichen JPG Datei ein wmf Bild versteckt.

Ja, das stimmt allerdings.

Ich zumindest habe eine Mail bekommen an der ein jpg Bild dranhing... das eher nach wmf aussah... oder besser gesagt wo die Binärdaten nicht nach einem Bild aussahen. Angeschaut habe ich es mir natürlich nicht. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" />

Wie hast du das festgestellt, Tut? <img src="/ubbthreads/images/graemlins/disagree.gif" alt="" />

Vielleicht Datei speichern und in den Datei-Header gucken ? Mit Notepad öffnen anstatt mit etwas anderem ?

Einige Mail-Programme können dies von Haus aus. Beim Thunderbird kann man sich die Mail im Rohformat via STRG+U bzw. Ansicht (View) -> Nachrichten-Quellcode (Message Source) anschauen. In einigen anderen Mail-Programmen ist dies auch möglich.

Man sollte aber nicht die HTML-Anzeige aktivieren bzw. das Grafiken automatisch dargestellt werden - sonst könnte man sich schon infizieren.

Und wie erkenne ich das dann am Quellcode, ob es eine "echte" jpg ist oder nicht?

Außerdem habe ich keine Möglichkeit gefunden, im Thunderbird diese blöde HTML-Ansicht der Mail zu verhindern. Das geht nur beim Antworten. <img src="/ubbthreads/images/graemlins/think.gif" alt="" />

Und noch eine Frage zum Thunderbird:
ich habe hier noch keine Möglichkeit gefunden, eine Mail VOR dem Öffnen mit Antivir zu durchsuchen. Bei Outlook ging das mit Rechtsklick auf die Mail. Ich bin jetzt am Überlegen, ob das an antivir liegt (kann das Mails überhaupt scannen) oder am TB???
Hat jemand einen Tipp?

Ohne, dass du die verdächtige Datei auf deiner Festplatte speicherst und dann mit nem Editor anschaust, der auch eine hexadezimale Darstellung kann (womit das Standard-Notepad schon mal rausfliegt). Die JPEG-Dateien haben einen entsprechenden Header - den ich aber jetzt nicht aus dem Kopf kenn. Aber ich glaube mich zu erinnern, dass am Anfang irgendwo ein "JPEG" oder "JPG" auftaucht. WMF-Dateien sehen unter Garantie anders aus.

Wie man die HTML-Ansicht im TB abschaltet, müsste ich erst nachschauen, da ich zur Zeit keinen Zugriff auf einen TB hab.

Was die Antiviren-Suche betrifft: Von Haus aus kann das der TB nicht, ein PlugIn/Erweiterung/Extension hab ich jetzt nicht auf die schnelle gefunden. Die Classic-Version von Antivir kann eh nicht Mails auf Viren prüfen, dass geht erst mit der bezahlpflichtigen Version. Was aber mit Antivir funktioniert, ist der Online/OnDemand-Scan, der erkennt sehr zuverlässig, ob ne Grafik-Datei eine verteckte WMF-Datei ist.

Danke erstmal.



Was bedeutet das? Meinst du den Antivir-Guard?

@Morgain:
Ansicht -> Fensterlayout -> Nachrichtenvorschau ausschalten.
Ansicht -> Anhänge angebunden anzeigen ausschalten.

Den Nachrichtentext kann man sich anzeigen lassen wie Xanlosch geschrieben hat oder die jpg Datei speichern und mit einem Hex Editor anschauen. (Dann sollten aber auch die Vorschau im Windows Explorer ausgeschaltet sein!)

Auf jedenfall habe ich z.B. gegen Ende der jpg Datei (und auch mitten drinn) ein sich wiederholendes Muster gesehen... Das sollte bei komprimierten Daten nicht auftreten, da es dann nicht richtig komprimiert ist. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" /> Auf jedenfall stimmt da mit der Datei etwas nicht. Ob es sich wirklich um den WMF Exploit handelt wollte ich nicht ausprobieren.

Bestimmt kann man mit anderen Tools auch tiefer in die Bilder reinschauen...

Das sieht für mich nicht nach einem jpg Bild aus:
----------------------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----------------------

ps. der Header der Datei sah jpg konform aus...

Ja, genau der. Bei dem Test von Heise ist der Guard / OnDemand-Scanner jedenfalls angesprungen.