Es ist passiert was irgendwann passiert. Überall befinden sich Hacker und co. Und jeder ist oder war mal unbewusst ein Teil davon. Meist verläuft das ganz unbewusst. Ohne zu merken kommt etwas an der Festplatte an, was erst mal nur abgespeichert wird. Es direkt auszuführen währe zu offensichtlich, da sofort der Virenscanner Alarm gibt. Idealerweise wird es dann beim nächsten Start direkt mitgestartet bevor überhaupt der Virenscanner vom System das Recht bekommt zu starten.
Genau so etwas ist passiert. Und “es” war im vollen Gange. Unser Internetanbieter (ich nenne bewusst keinen beim Namen) schrieb uns an, dass etwas mit unserem Router nicht stimmt. Da dies gegen die Richtlinien verstoße würde man im Falle der Untätigkeit uns “die Kommunikation” einschränken. Für den Techie gesagt bedeutet dies, dass wir eine Port-Sperre auf den Hals gehetzt bekommen hätten. Wir sollten einfach überprüfen wie alt unsere Virenscanner seien und einmal durchchecken ob noch alles nach dem Rechten läuft.
Gesagt getan, G Data lädt Virensignaturen stündlich, Avira (und fast alle anderen kostenlosen) einmal jeden Tag nach dem Hochfahren des Rechners. Unter Avira kündigt sich das mit einem fast Bildschirmfüllenden “HIER gibt’s die Pro-Version für 4000€ und 88% Rabatt”-Werbefenster an, alle anderen machen es etwas diskreter und weisen kurz darauf hin, dass es jetzt nun nicht mehr von gestern ist…
Also einmal die Einstellungen des Scanners geändert, damit dieser Archive und den Windows-Systemordner nicht mehr auslässt und das ganze einmal laufen lassen auf allem, was irgendwie mit dem Router verbunden war. Ein Paar Sachen gefunden, meist eben Dateien die man kennt und weiß, dass sie nur eben funktionieren, wenn man sie explizit ausführt (Beispiel: Die Tools von Nir Sofer die mir schon häufiig geholfen haben) – einige andere waren Passwortgeschützte Foto-Archive die man irgendwann mal Familien-Intern versendet hat.
Gesagt, getan, aber noch nicht gefunden, das bedeutet, dass die schärferen Geschütze aufgefahren werden müssen. In diesem Fall die Boot-CDs der verschiedenen Hersteller. Diese werden auf CD gebrannt, oder auf einem USB-Stick installiert und können davon unabhängig vom eigentlichen Betriebssystem starten und können nun eben auch alles auslesen, was Windows sonst dafür braucht um ausnahmsweise mal keinen Bluescreen zu produzieren.
Kaspersky brachte eine “Kernel Panic” hervor, G Data wollte die Lizenz für die Updates nicht akzeptieren (Klar, die Desktop-Version hat die Lizenz, nur eben diese hat für diesen Sonderfall mal nichts zu sagen), also raus und rein zu Panda. Fehlanzeige, falsches Linux für das Programm, man wollte nicht booten. AVG lässt einen gnädigerweise in die ASCII-Oberfläche und sogar auch die Virenerkennungs-Daten updaten.
Der Scan brachte wieder ein paar Treffer, und siehe da, die Quarantäne-Daten von Avira (natürlich, diese enthalten ja Name, MD5-Summe und Speicherort der eigentlichen Viren) und eben einige der Viren direkt.
Einmal Tabula Rasa und alles erkannte irgendwie löschen, natürlich wird vorher einmal drüber geschaut, ob nicht irgendwas System-Relevantes dabei ist, damit Windows immer noch starten kann.
Hier war es nicht der Fall, und alle anderen erkannten Sachen wurden auch nicht unbedingt gebraucht oder waren in irgendwelchen temporären Speicherorten von Java, Flash und co. Also Löschen, falls etwas nicht funktioniert kann es ja meistens neu installiert werden.
Trotzdem ist das nicht genug. Schließlich erkannte AVG andere Sachen als Avira oder G Data, also noch einmal per BitDefender. Dieses ist auch einige der wenigen, die einfach so problemlos ohne jede Nachfrage updaten können, was auch direkt nach dem Starten passiert. Nach dem Scan wurden dann einige weitere Dateien gefunden. Da der Scanner aber relativ scharf eingestellt war, waren dies nur Textdateien, in denen Avira den Verlauf der gelöschten Viren speichert, der G Data Scan-Report war dabei, der informierte, dass einige Viren entfernt wurden und eben noch eine der temporären Daten der Browser, welche eben als nicht mehr so temporär verwendet werden. – Einmal durchgeschaut und das nötige gelöscht.
Fertig ist die eine Geschichte.
Wer denkt, dass er jetzt schon fertig ist hat weit verfehlt. – Man kann mit 90%er Sicherheit garantieren, dass auf den überprüften Geräten nichts mehr ist. Aber schließlich ist im modernen Haushalt auch noch ein Drucker, der sich ins lokale Netz einklinkt und bestimmt noch einige Handys die sogar unbewusst aus der Hosentasche heraus mit unseren Routern kommunizieren.
Es ist zwar unwahrscheinlich, dass sich diese auch Viren einfangen, aber gerade weil es so unwahrscheinlich ist, wird es immer attraktiver für Angreifer.
Der Drucker läuft meist mit irgendwas vom Hersteller programmiertem, hier hilft nichts, außer ihn einmal von Grund auf neu zu konfigurieren. Also einmal im Einstellungsmenü nach “Reset” gesucht und durchgezogen. Ab dann ist er wieder bei “Step 1″ der Installationsanleitung. Je nach Drucker muss er dann eben wieder eingerichtet werden. Das ist zwar umständlich, aber unter den Umständen machbar.
Eventuell muss dann auch Scan-Software und der Druckertreiber auf jedem PC, der drucken können soll neu installiert werden, da irgendwas internes den Drucker eben verifiziert hat. Es kann ja durchaus mal vorkommen, dass (z.B. in Firmen) mehrere der gleichen Drucker in einem Netzwerk sind.
Für Handys gibt es inzwischen Virenscanner-Systeme, hier hilft es aber auch meist einfach ein Backup der Daten zu machen und nach der Neuinstallation des Apple-Boliden, Androiden, des BlackBerrys oder des Symbians *hust* das ganze wieder zurückzuspielen. Bei Apple ist man auf eine Neuinstallation angewiesen, da nie so tief ins System geschaut werden kann, damit Virenscanner halbwegs sinnvoll sind… – Aber gerade da hat Apple sich richtig Mühe gemacht und hat fast alles automatisiert. iOS wiederherstellen, das Backup zurückspielen und man wird nichts weiter feststellen können.
Die Virenscan-Softwares für Android werden sinnvollerweise am PC durchgeführt. Also wird das Handy am PC angeschlossen und die Software durchleuchtet dann eben nur das Handy mit den speziellen Viren-Daten für Android.
Aber es gibt auch ein Paar Apps die auf dem Smartphone installiert werden können. Diese sind dann zwar langsamer, da hinter dem Scanner kein Desktop-Prozessor steckt, dürften aber genau so funktionieren wie die Software, die über die USB-Verbindung scannt.
Wenn ganz sicher ist, dass das Netzwerk virenfrei ist, sollte man grundlegend erst einmal das Passwort für das eigene WLAN ändern (falls man welches hat).
Außerdem sollte dringend das Zugangspasswort für den Router geändert werden, dies sollte aber definitiv nur dann passieren, wenn man weis, das man in einem Viren und Keylogger-Freien System ist, da jede Passwortänderung nach dem ändern wieder dem Hacker zur Verfügung steht.
Zu allen anderen Passwörtern zählen die, die man täglich verwendet. Windows-Nutzerpasswörter, Passwörter für den E-Mail-Account, Zugangsdaten zu Webservern oder ähnliches.
Danach kann man überlegen, was im Netzwerk eigentlich nicht gebraucht wird. Hängt noch ein WLAN-Repeater irgendwo, den man nicht mehr braucht, der allerdings angeschlossen ist und weiter sendet?
Hat man im Ethernet Anschlüsse am Router angeschlossen die nie order nur selten verwendet werden?
Eventuell werden dadurch nicht nur Netzwerkkabel frei, sondern man gewinnt auch etwas mehr Sicherheit im eigenen Netzwerk.
Außerdem sind alle Punkte, die vom Internetanbieter gegeben worden sind abgearbeitet.
Es ist heutzutage auch nur schwer möglich einen Router direkt zu kapern und diesen für den eigenen Schabernack zu verwenden. Außerdem schafft nur ein Desktop-Prozessor ein gewisses Volumen an Spam-Mails oder an Arbeit im Botnet. Bei einem Router würde sich der Aufwand nicht lohnen, da die Leistung einfach nicht ausreicht um einen deutlich merkbaren Unterschied zu produzieren.
Falls etwas dennoch nicht stimmt, wird sich der Internetanbieter erneut melden und man kommt leider um einige Formatierungen und Neuinstallationen nicht herum.
