Larian Studios Forums General Chat (German) Light-brain-center of technical knockout

Ich sehs eher wie Tut, da ohne irgendeine Absicherung ein Windows PC so offen ist wie ein Scheunentor und man sehr viel in kurzer Zeit �ber einen Benutzer erfahren kann. Trojaner sind da ein sehr hilfreiches Mittel.

Wenn du dir ganz unsicher bist, Dem, dann sichere dir deine wichtigsten Daten, formatiere den PC, installiere Windows inklusive aller Servicepacks und Patches, schieb ne Firewall nach (oder aktiviere wenigstens die von Windows) und noch ein Antiviren-Programm und dann sollte erstmal Ruhe sein. Aber eins musst du in regelm��igen Abst�nden machen, sonst helfen dir keine Firewalls und Antiviren-Programme: Spiele regelm��ig Updates f�r deine verwendeten Programme ein. Besonders f�r den Virenscanner, die Firewall und Windows.

@Treue:
Die IP-Adresse bekommt man sehr leicht heraus. Schliesslich gibst du die auf jeder webseite an die du besuchst... sonst kann die dir ja die inhalte nicht schicken. (Oder wenn man chattet oder Online spielt, etc...) Aber wenn man nur die IP-Adresse hat kann man normalerweise nicht viel machen... ausser der PC ist nicht gesch�tzt oder bereits durch Trojaner verseucht.

Und wenn ich Dem richtig verstanden habe, dann wusste der mehr als nur die IP-Adresse.

(Ich hoffe mal das es nicht nur ein Scherz von einem Bekannten war und Dem jetzt deswegen die Festplatte formatiert. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" />)

[edit]
Wenn die Daten aus ICQ oder �hnlichen Chat Programmen stammen... dann kann das nat�rlich eine einfache erkl�rung sein. Sofern man sie da eingetragen hat.
[/edit]

Die IP von jemadem herauszufinden ist realtiv einfach. Schliesslich m�ssen die IP-Pakete ja auch irgendwohin reisen.
Allerdings kann man ja nicht einfach sagen: Gib mir die IP von Demetaris. Das geht nat�rlich nicht.

Entweder musst Du also bei einer Seite/einem Forum etwas gemacht haben (lesen reicht schon), wo er/sie zugriff auf das Log hat oder aber ein Trojaner ist auf Deinem Rechner, der munter Deine IP ins Netz schreit.

Aber das mit den Trojanern wurde ja schon ausreichend erkl�rt.

Normalerweise werden die Chancen sehr viel kleiner, wenn Du statt einem Modem einen Router benutzst, da dann die IP-Adresse lediglich auf den Router zeigt und nichta uf den Rechner (es sei denn, das Programm verwendet einen Port, der per SUA oder NAT auf Deinen PC umgeleitet wird).

Bei den meisten Providern m�sste sich Deine IP bei jedem einloggen ins grosse Netz ver�ndern, da Du vermutlich ja keine fixe IP-Adresse hast.

Pers�nliche Daten werden allerdings (ausser bei Spyware) nicht �ber das IP-Protokoll versendet - ja noch nicht einmal Deinen Login-Namen.
Da musst Du also keine Angst haben.

Feststellen, wie viele PCs bei Deinem Netz dranh�ngen, kann man alleridngs nur bei Birdges oder bei "Paketr�cksendungen" - soll heissen, wenn ein IP-Paket von Deinem Router bestellt wurde, muss dieser nat�rlich auch wieder wissen, an welche interne Adresse es dann weitergesendet werden muss. Da wird dann ein zus�tzlicher Eintrag mitgesendet, der allerdings nur bei "Quasi-Antowrten" funktioniert - es ista lso unm�glich, ein IP-Paket �ber einen Router direkt zu einem PC eines internen Netzwes zu schicken, wenn auf dem Router nicht SUA oder NAT eingestellt ist.

Oh je... ich quasle hier und bin noch nicht mal Ragon.
Bruhige Dich, Demetaris. Lass einen guten Scanner laufen - zum Beispiel online �ber housecall.antivirus.com - und installiere Dir eine Software-Firewall oder kauf Dir (wie ich) einen ADSL-Router mit integrierter Firewall.

Aber auch f�r einen Router gelten "Spielregeln":

Man muss seine SSID verstecken, wenn man "kabellos" unterwegs ist (wireless-LAN), die drahtlose Netzwerkverbindung sollte einen neuen Namen bekommen (nicht den standardm��ig eingetragenen), die Verschl�sselung sollte aktiviert sein und die Firewall richtig konfiguriert. Antivirenprogramm (immer aktuell halten) und Softwarefirewall komplettieren das "Sicherheitspaket" - man kann im Internet bei den gro�en Antiviren- und Firewallfirmen online-Tests machen, bei denen sie dir sagen, ob sie in deinen PC reinkommen. Das halte ich f�r relativ gefahrlos - im Vergleich zu anderen, von denen du es nicht wei�t.

Demetaris, es geht kein Weg daran vorbei - du braucht da schon jemanden, der sich ein bisschen auskennt. <img src="/ubbthreads/images/graemlins/disagree.gif" alt="" />

Endlich gibt es von Microsoft einen Patch f�r die WMF L�cke.

http://www.heise.de/newsticker/meldung/68033

Danke erstmal f�r Eure Tipps und Hilfe! @Tut, nein, ich habe nix formatiert, schon aus dem Grund, weil ich gar nicht wei�, wie man das macht! <img src="/ubbthreads/images/graemlins/think.gif" alt="" />

Ihr seht also, ich habe seit der Erstellung dieses Threads nur wenig dazu gelernt, technisch zumindest. Aber ich habe mit Viren-Programmen etc. alles �berpr�ft und keine Trojaner oder andere Gemeinheiten gefunden. Wer wei�, vielleicht nur einfach Panik und Missverst�ndnis!

Wenn mir jetzt noch jemand erkl�ren k�nnte, was eine WMF-L�cke ist.... <img src="/ubbthreads/images/graemlins/puppyeyes.gif" alt="" />

Und danke an das neue Mitglied im Forum! Willkommen TREUE.SEELE!

Na hoffentlich macht er seinem Namen alle Ehre und bleibt diesem Forumt treu

Hallo,

@ Demetaris: die WMF-L�cke erlaubt es Hackern, ihren eigenen Code mittels einer JPG-Grafikdatei in das System zu schleusen. Anbei ein Link der etwas "wissenschaftlicher" die WMF-L�cke beschreibt.

http://www.heise.de/security/news/meldung/67866

Liebe Gr��e

TREUE_SEELE

Um es ein bi�chen exakter auszudr�cken :

JPG und JPEG sind Bilder.
WMF auch.
Haben nichts miteinander zu tun, sind sozusagen verschiedene Arten von Bildern.

Die WMF-L�cke benutzt WMF-Bilder, keine JPG-Bilder. F�r JPG/JPEG-Bilder gibt es eine andere L�cke, die sollte hoffentlich inzwischen geschlossen sein.

fieserweise muss die Endung der Datei die der Nutzer sieht .jpg nichts mit dem tats�chlichen Bildformat zu tun haben. So das sich hinter einer vermeindlichen JPG Datei ein wmf Bild versteckt.

Ja, das stimmt allerdings.

Ich zumindest habe eine Mail bekommen an der ein jpg Bild dranhing... das eher nach wmf aussah... oder besser gesagt wo die Bin�rdaten nicht nach einem Bild aussahen. Angeschaut habe ich es mir nat�rlich nicht. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" />

Wie hast du das festgestellt, Tut? <img src="/ubbthreads/images/graemlins/disagree.gif" alt="" />

Vielleicht Datei speichern und in den Datei-Header gucken ? Mit Notepad �ffnen anstatt mit etwas anderem ?

Einige Mail-Programme k�nnen dies von Haus aus. Beim Thunderbird kann man sich die Mail im Rohformat via STRG+U bzw. Ansicht (View) -> Nachrichten-Quellcode (Message Source) anschauen. In einigen anderen Mail-Programmen ist dies auch m�glich.

Man sollte aber nicht die HTML-Anzeige aktivieren bzw. das Grafiken automatisch dargestellt werden - sonst k�nnte man sich schon infizieren.

Und wie erkenne ich das dann am Quellcode, ob es eine "echte" jpg ist oder nicht?

Au�erdem habe ich keine M�glichkeit gefunden, im Thunderbird diese bl�de HTML-Ansicht der Mail zu verhindern. Das geht nur beim Antworten. <img src="/ubbthreads/images/graemlins/think.gif" alt="" />

Und noch eine Frage zum Thunderbird:
ich habe hier noch keine M�glichkeit gefunden, eine Mail VOR dem �ffnen mit Antivir zu durchsuchen. Bei Outlook ging das mit Rechtsklick auf die Mail. Ich bin jetzt am �berlegen, ob das an antivir liegt (kann das Mails �berhaupt scannen) oder am TB???
Hat jemand einen Tipp?

Ohne, dass du die verd�chtige Datei auf deiner Festplatte speicherst und dann mit nem Editor anschaust, der auch eine hexadezimale Darstellung kann (womit das Standard-Notepad schon mal rausfliegt). Die JPEG-Dateien haben einen entsprechenden Header - den ich aber jetzt nicht aus dem Kopf kenn. Aber ich glaube mich zu erinnern, dass am Anfang irgendwo ein "JPEG" oder "JPG" auftaucht. WMF-Dateien sehen unter Garantie anders aus.

Wie man die HTML-Ansicht im TB abschaltet, m�sste ich erst nachschauen, da ich zur Zeit keinen Zugriff auf einen TB hab.

Was die Antiviren-Suche betrifft: Von Haus aus kann das der TB nicht, ein PlugIn/Erweiterung/Extension hab ich jetzt nicht auf die schnelle gefunden. Die Classic-Version von Antivir kann eh nicht Mails auf Viren pr�fen, dass geht erst mit der bezahlpflichtigen Version. Was aber mit Antivir funktioniert, ist der Online/OnDemand-Scan, der erkennt sehr zuverl�ssig, ob ne Grafik-Datei eine verteckte WMF-Datei ist.

Danke erstmal.



Was bedeutet das? Meinst du den Antivir-Guard?

@Morgain:
Ansicht -> Fensterlayout -> Nachrichtenvorschau ausschalten.
Ansicht -> Anh�nge angebunden anzeigen ausschalten.

Den Nachrichtentext kann man sich anzeigen lassen wie Xanlosch geschrieben hat oder die jpg Datei speichern und mit einem Hex Editor anschauen. (Dann sollten aber auch die Vorschau im Windows Explorer ausgeschaltet sein!)

Auf jedenfall habe ich z.B. gegen Ende der jpg Datei (und auch mitten drinn) ein sich wiederholendes Muster gesehen... Das sollte bei komprimierten Daten nicht auftreten, da es dann nicht richtig komprimiert ist. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" /> Auf jedenfall stimmt da mit der Datei etwas nicht. Ob es sich wirklich um den WMF Exploit handelt wollte ich nicht ausprobieren.

Bestimmt kann man mit anderen Tools auch tiefer in die Bilder reinschauen...

Das sieht f�r mich nicht nach einem jpg Bild aus:
----------------------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----------------------

ps. der Header der Datei sah jpg konform aus...

Ja, genau der. Bei dem Test von Heise ist der Guard / OnDemand-Scanner jedenfalls angesprungen.