Der Computer meiner Mutter wurde kürzlich mit einer Art Rootkit infiziert. Es begann, als sie eine E-Mail von einer engen Freundin erhielt, die sie aufforderte, eine Webseite zu lesen. Ich habe es nie gesehen, aber meine Mutter sagte, es sei nur ein Blog, nichts Interessantes.
Einige Tage später meldete sich meine Mutter auf der PayPal-Homepage an. PayPal gab eine Art Sicherheitshinweis heraus, in dem darauf hingewiesen wurde, dass zur Verhinderung von Betrug einige zusätzliche personenbezogene Daten erforderlich sind. Unter einigen der normaleren Informationen (Name, Adresse usw.) wurde nach ihrer SSN und Bank-PIN gefragt! Sie weigerte sich, diese Informationen zu übermitteln und beschwerte sich bei PayPal, dass sie nicht danach fragen sollten.
PayPal sagte, sie würden niemals nach solchen Informationen fragen und es sei nicht ihre Webseite. Es gab keinen solchen "Sicherheitshinweis", als sie sich von einem anderen Computer aus anmeldete, nur von ihrem. Es war kein Phishing-Versuch oder eine Art Umleitung. Der Internet Explorer zeigte eindeutig eine SSL-Verbindung zu https://www.paypal.com/ an.
Sie erinnerte sich an diese seltsame E-Mail und fragte ihre Freundin danach - die Freundin hat sie nie gesendet!
Offensichtlich hat etwas auf ihrem Computer die PayPal-Homepage abgefangen, und diese E-Mail war das einzige andere seltsame Ereignis, das in letzter Zeit aufgetreten ist. Sie hat mich beauftragt, alles zu reparieren. Ich habe den Computer aus dem Orbit entfernt, da dies der einzige Weg war, um sicherzugehen (dh, sie hat ihre Festplatte neu formatiert und eine Neuinstallation durchgeführt). Das schien gut zu funktionieren.
Aber das hat mich gewundert ... meine Mutter hat nichts heruntergeladen und ausgeführt. Es wurden keine seltsamen ActiveX-Steuerelemente ausgeführt (sie ist kein Analphabet auf dem Computer und kann sie nicht installieren), und sie verwendet nur Webmail (dh keine Outlook-Sicherheitsanfälligkeit). Wenn ich an Webseiten denke, denke ich an die Präsentation von Inhalten - JavaScript, HTML und vielleicht etwas Flash.
Wie könnte das möglicherweise beliebige Software auf Ihrem Computer installieren und ausführen? Es scheint ein bisschen komisch / dumm zu sein, dass solche Schwachstellen existieren.
Antworten:
Wenn sie eine veraltete Version von IE (oder Firefox) verwendet, weist der Browser selbst bekannte Sicherheitslücken auf. Ja, es ist ein bisschen komisch / dumm, aber das Schreiben perfekter Software ist sehr, sehr, sehr schwer.
Es gibt wahrscheinlich unbekannte / nicht bekannte Sicherheitslücken in den aktuellen Versionen von Webbrowsern (sowie in jeder anderen Software).
quelle
Ich bin ziemlich davon überzeugt, dass Flash einige Schwachstellen aufweist. Ich wurde von Websites infiziert, die ich mit Firefox besucht habe, und ich bin mir sicher, dass ich nichts installiert habe.
quelle
Schauen Sie sich die Cross-Site Scripting (XSS) Attacks an - Wikipedia Ref .
Es könnte sich auch um eine ausführbare Malware in einem E-Mail-Anhang handeln, der gestartet wurde.
Da Sie jedoch das Aufrufen einer Website beschreiben, ist wahrscheinlich ein Browser-Exploit von der verwiesenen Website schuld.
Wenn sie bei bestehender Internetverbindung auf Links in ihrer Mailbox klickt, sind
alle ihre Browser-Schwachstellen den Sites ausgesetzt, die sie erreicht. Sie sollten zumindest ihren Computer auf dem neuesten Stand halten (sofern das Betriebssystem noch unterstützt wird) und ein Antivirenprogramm installieren (ja, das löst hier eine große Konversation aus).
Aber im Großen und Ganzen würde es lernen, nicht auf einen unbekannten Link zu klicken oder unerwartete Anhänge zu öffnen, die ihr System sicherer machen .
Sollte diese Frage nicht auf SuperUser migriert werden ?
Die Windows-Hostdatei kann so geändert werden, dass das System immer umgeleitet wird (auch nach einem Neustart).
Hier ist ein weiter entwickelter Angriff mit diesen Dingen - Wie Malware ein Phishing-Netzwerk erweitert .
Wenn Sie Dinge wie Spybot Search & Destroy verwenden . Die Hosts-Datei wird weiterhin auf Beschädigungen überprüft.
quelle
Diese Art von Exploit ist nur gefährlich, wenn Sie Ihren Browser mit Administratorrechten ausführen.
quelle
IE ist keineswegs ein sicherer Browser, aber eine Webseite sollte keinen Computer infizieren können, es sei denn, sie nutzt einige ziemlich große Sicherheitslücken in Plugins und / oder Zusatzfunktionen des Browsers aus.
Um so sicher wie möglich zu sein, verwenden Sie einen Webbrowser (wie Google Chrome), der Webseiten in einer Sandbox anzeigt, einer virtuellen Umgebung, die verhindert, dass schädlicher Code auf Ihren Computer gelangt. Außerdem kontaktiert Chrome eine Datenbank mit schädlichen Websites und zeigt vor dem Laden eine Warnung an, um sicherzugehen.
Das Schreiben von Plugins und Add-Ons für Browser bedeutet immer ein Gleichgewicht zwischen Leistung und Sicherheit. Jemand hat dem Plugin einfach etwas zu viel Leistung gegeben. (Ich wette, es ist Java)
quelle
Ich neige dazu zu glauben, dass das, was sie erlebte, das Ergebnis eines veralteten Plugins wie Flash oder Java war. Entfernen Sie Java, es sei denn, Sie benötigen Java auf dem System. Und immer versuchen, mit den Installateuren auf dem Laufenden zu bleiben. Wirklich, wenn Sicherheit ein solches Problem ist, würde ich ihnen empfehlen, Linux zu verwenden. Das hat einen viel besseren Updater. Alternativ kann es sein, dass sich im Browser selbst ein Exploit befindet. IE8 ist ein alter Browser, der mit Sicherheitslücken gefüllt ist. Verwenden Sie Chrome, Opera oder Firefox, sie sind alle Meilen moderner und sicherer. Die Tatsache, dass sie XP verwendet, bedeutet auch, dass das System absolut keine Berechtigungskonzepte hat. Es gibt kein sudo & root und keine Benutzerkontensteuerung. Moderne Windows-Betriebssysteme wie 7 und 8 verfügen über eine Benutzerkontensteuerung, die zwar nicht mit sudo + apparmor / SELinux unter Linux mithalten kann, aber immer noch viel besser als gar nichts ist.
Nur um Verwirrung zu beseitigen, kann eine Site Ihren Computer ohne Plugins infizieren. Nämlich JavaScript. Obwohl moderne Browser JavaScript sandboxen, sodass nur Dateivorgänge in / tmp möglich sind, kann JavaScript die tatsächlichen Schwachstellen im Browser selbst ausnutzen. In einigen Fällen kann dies sogar in gepatchten Browsern (allgemein als 0-Tage-Exploit bezeichnet) zu Exploits führen, obwohl solche Vorfälle selten vorkommen.
quelle