Impressum / Kontakt / Datenschutz

Autarkes Leben / Selbstversorgung


Forums-Ausgangsseite


Heuernte 2013 (Biolandwirt) Kleindreschmaschine Hof_Rumänien Dörren

log in | registrieren





Computer dicht machen (sonstiges / off topic)

verfasst von X(R), 20.07.2018, 00:14

Werde darauf bei Bedarf später eingehen.

Hier ein Text aus einem gelöschten Forum. Passt nicht ganz, aber lesenswert:
-------------------->
714667 WannaCry Virus, mal ein paar Infos fürs Forum hier - Zitrone 16. Mai 2017 07:39:56

Der WannaCry Virus, oder besser Wurm hat ja in den letzten Tagen einiges an Windows Rechner lahmgelegt.

Vorab etwas zur Verbreitung (grundsätzliches):
Diese Viren, oder besser Würmer verbreiten sich durch email Anhang. In der Regel eine .exe Datei, manchmal als zip Datei gepackt und in der mail eine nette Aufforderung anzuklicken.
GRUNDSÄTZLICH: und merkt euch das, schreibt es euch hinter die Ohren. Öffnet NIE, wirklich nie, einen email Anhang von email-Absendern die ihr nicht kennt - persönlich kennt!!!!!!!!
Schaut auf den Absender der email, BEVOR ihr einen email Anhang öffnet, speichert. Kennt ihr den Absender nicht, nicht den email Anhang öffnen (auch wenn es "nur" ein Bild, eine .pdf oder eine .doc Datei ist - es gibt einige Möglichkeiten da eine exe unbemerkt drin zu verstecken die automatisch mitgeöffnet wird).

Nun zum WannaCry.
Die Herkunft ist interessant. Die Hackergruppe shadowbroker ist vor einigen Monaten durch einen Hack bei der NSA an Dateien gekommen, ua. Software zum eindringen in fremde Systeme. Die Hackergruppe shadowbroker wollte das zu Geld machen und bot das Softwarepaket zum verkauf ein - es wollte aber niemand (hätten deutsche Geheimdienste mal mitgedacht hätten sie kaufen sollen - gruß von hier an euch Trottelbande! Für Steuer-CDs gebt ihr Geld aus, für neuste Technologie nicht - schön blöd!!!). In diesem Paket waren unbekannte Sicherheitslöcher für Microsoft-Windows Betriebssysteme die noch nicht bekannt und auch nicht öffentlich waren!!!!
Nun, es kaufte keiner das Softwarepaket der Hackergruppe und so entschloss sie sich (um der NSA eines auszuwischen) das kostenlos und frei zum download ins Internet zu stellen). Sind rund 200MB an gepackten Dateien. Vieles und das finde ich ganz interessant ist in Python programmiert. Das Sahnehäubchen in dem Softwarepaket ist ein Sicherheitsloch durch das es ermöglicht wird auf jeden Windows Rechner nur durch seine IP Adresse zuzugreifen. Der absolute Traum jeden Geheimdienstes.
Bsp zur Anwendung: Der Tom ist hier Admin und sieht welche IP hier schreibt und dieses Forum besucht. Tom startet Sahnehäubchen und gibt einfach die IP eines Besuchers ein und schwupp hat er vollen Zugriff auf den fremden PC :-)

Mir hat sich bei der durchsicht des Softwarepaketes eine Frage beschäftigt:
Hat der NSA wirklich solche Top-Programmierer die Windows so tief analysiert haben um diese Schachstelle im großen Heuhaufen zu finden? Möglich, aber sehr sehr unwahrscheinlich. Ich vermute eher das jemand Zugriff auf den Quellcode von Windows Zugriff hatte und der dann analysiert wurde und dann dieser Fehler gefunden wurde. Das würde aber bedeutet das der NSA den Quellcode von Windows hat und den kann er nur von Microsoft selber bekommen haben!!!! Microsoft liefert also, vielleicht aus Zwang den Quellcode an das NSA. Die NSA setzt Spezialisten an um den riesigen Code nach Schwachstellen zu untersuchen. Daraus wurden dann diese Tolls entwickelt - vermutlich ist es so gelaufen...

Nun zu dem Sahnehäubchen dieser Schachstelle selber:
Es ist eine Schachstelle im SMB. Davon gibt es 3 Versionen: SMBv1, SMBv2, SMBv3.
Das ist ein interner Prozess der bei Windows abläuft Netzwerkanforderung, Nachrichtensignierung, Freigaben und geöffneten Dateien pro Server, Verschlüsselung zwischen Client und Server. All das und noch einiges mehr macht SMB bei Windows Rechnern.

Was macht nun dieser WannaCry Wurm?
Sobald er einmal (durch email Anhang auf einem Windows Rechner ausgeführt wurde, verbreitet er sich noch weiter (deßhalb Wurm) und fängt dann an die Festplatte mit all den daten zu verschlüsseln. Eine Bildschirmmeldung wird ausgegeben, Bitte doofer User, sei lieb und zahl einige hundert Dollar auf ein illegales Bitcoin Konto und du kriegst ein laaaanges Passwort das deine Festplatte wieder entschlüsselt.

Der WannaCry Wurm ist also durch die Schachstelle im SMB reingekommen. Nutzt diese Schachstelle aber nicht für unbemerketes Durchsuchen (gruss nochmal an den Geheimdienst, hier hättet ihr wirklich einen echten Staatstrojaner kaufen können der den namen Trojaner auch wirklich verdient!!!!) - sondern er fängt an die Festplatte zu verschlüsseln und dann diesen Bildschirm für den Benutzer anzuzeigen das er zahlen soll.
Das sagt uns zumindest bis hier schon mal etwas:
Das Ding hat jemand programmiert er wußte was er tat. Die NSA Software also "erweitert" mit Verschlüsseln. Der Kreis der Leute die sowas können wird hier eng! Diese Verschlüsselungsroutine stammt vermutlich von einem anderen Wurm, der Code wurde also in die NSA Software eingefügt. Da muß jemand, der wirklich gut ist, ein paar Wochen Schwerstarbeit geleistet haben!

Etwas aber, da wurde ein Fehler gemacht. Das warum ist mir nicht ganz klar, vielleicht hat einer von euch hier im kalei eine Idee dazu:
Innerhalb des WannaCry Wurms wuurde etwas einprogrammiert und zwar ein Aus-Schalter. Der funktioniert so, sollte die Webseite:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
online sein, dann verschlüssel die Festplatte nicht und tue auch nichts.
(Diese Webseite wurde von einem jungen Analytiker der den Code des Wurmes untersuchte einfach registriert und eine Webseite dort hochgeladen, das sollte den Wurm erstmal stoppen).
Warum sollte jemand diesen Aus-Schalter da reinprogrammieren? Wenn man mit diesem Geld und verschlüsselten Festplatten als Krimineller Geld verdienen will baut man sowas doch nicht mit ein. Warum also wurde der Aus-Schalter mit einprogrammeirt. Wer Ideen hat, laßt hören.

Microsoft hat schnell reagiert, nachdem weltweit Rechner Opfer dieser Verschlüsselung wurden hat Microsft ein Patch angeboten - und nun kommt es: sogar für Rechner die von Microsoft gar nicht mehr unterstützt werden!!!!!!! Windows XP und Windows 7. Regulär hat Microsoft jede Updates für diese Systeme eingestellt - es ist das erste mal das Microsoft nach einem Virus/Wurm-Angriff (und das ist ja nicht der einzige in den letzten Jahren) ein Sicherheits-Update-patch bereit stellt. Vielleicht hat Bill Gates ein schlechtes Gewissen weil er den Quellcode an die NSA liefern mußte...

Nun wirds aber richtig interessant:
Microsoft hat nur ein Update rausgegeben für Windows 10,8,7, Vista, XP. Und bei XP nur für die SP3 Version. Zur Erklärung, die SP, sind Servive packs, also Updates die oben drauf auf das installierte Betriebssystem kommen. Alle paar Jahre gibts die gesammelten updates von Microsoft als neues ServicePack. XP hab es also in 3 Versionen:
XP, Standart
XP mit SP1
XP mit SP2
XP mit SP3

Das SP3 wollte damals keiner so gerne haben, weil es das XP langsamer machte. Einige Spiele kamen damals damit nicht klar. So verzichteten viele auf das SP3 und blieben bei SP2. (ich übrigens auch!)

ich fragte mich bei den Updates von Microsoft zu dem WannaCry Wurm, warum gibts kein Update für XP SP2 ???
Der patch für XP SP3 zu dem WannaCry Wurm funktioniert nicht bei XP SP2!!!

Die Lösung:
XP SP2 hat noch gar kein SMB, die erst Version von SMB, also SMBv1 gibts erst bei XP SP3. Somit kann dieser WannaCry Wurm nicht auf XP SP2 zugreifen, das Sicherheitsloch gibts da nicht!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Wir haben also einen Aus-Ausschalter im Quellcode des Virus und es läuft nur bei neueren Windows, ab WinXP SP3. Bis hier hin dachte ich noch das war ein sehr cleveres kerlchen, vielleicht ein Geheimdienst, China, Russland oder so etwas um die westliche Welt lahm zu legen durch eine digitale Vernichtungsaktion aller Computer. Aber diese 2 Fehler zu machen??????????

Übrigens, Windows XP gab es auch in einer 64bit Version, hier ist dummerweise schon ab SP2 dieses SMBv1 eingefügt worden.

Falls ihr WinXP hat schaut welches SP ihr habt:

Start-Einstellungen-Systemsteuerung-System
steht da XP Service Pack 2 habt ihr Glück - euch kann der Wurm nichts ;)

- und ich sagte ja immer XP Service Pack 2, da beste, stabilste was Microsoft je rausgebracht hat - und alles an Software läuft, von uralten Dos Spielen bis zu neuster Software...



714693 Re: WannaCry Virus, mal ein paar Infos fürs Forum hier - Brombeere 16. Mai 2017 14:48:08

Herzliche Dank für Deine sehr lesenswerten Ausführungen!

Gestatte mir einige Anmerkungen:

>Diese Viren, oder besser Würmer verbreiten sich durch email Anhang. In der Regel eine .exe Datei, manchmal als zip Datei gepackt und in der mail eine nette Aufforderung anzuklicken.

Grundsätzlich sollte KEIN Windoofuser mit rootrechten ins Internet gehen!
Dafür legt man sich einen eigenen neuen User an, der nichts installieren und insbesondere keine eigenen Programme starten kann.

>GRUNDSÄTZLICH: und merkt euch das, schreibt es euch hinter die Ohren. Öffnet NIE, wirklich nie, einen email Anhang von email-Absendern die ihr nicht kennt - persönlich kennt!!!!!!!!

Richtig, aber ich kann Dir eine Email unter jedem beliebigen Absender zukommen lassen und schon greift diese Regel nicht mehr.

> Kennt ihr den Absender nicht, nicht den email Anhang öffnen (auch wenn es "nur" ein Bild, eine .pdf oder eine .doc Datei ist - es gibt einige Möglichkeiten da eine exe unbemerkt drin zu verstecken die automatisch mitgeöffnet wird).

Wenn sich aber zB. Outlook kapern lässt, wirst Du die Schadprogramme eben von einer "bekannten Person" erhalten.

Zum "Verstecken":
Im Auslieferungszustand werden bekannte Dateierweiterungen unterdrückt.!
Ich sende also die Datei " Wurm.pdf.exe " an Dich und Du siehst als doofer Windoofuser nur "Wurm.pdf" und klickst drauf.

Damit wärest Du erledigt.

Als Abhilfe unter:
Abeitsplatz>Ordneroptionen>Ansicht>Erweiterte Einstellungen>Dateinamen bekannter Typen ausblenden
Da darf kein Häckchen sein. Also disabeln.
Dann steht da zB. Wurm.pdf.exe und die Gefahr da drauf zu klicken hat sich, so Du kein Vollidiot bist, damit erledigt.

>Bsp zur Anwendung: Der Tom ist hier Admin und sieht welche IP hier schreibt und dieses Forum besucht. Tom startet Sahnehäubchen und gibt einfach die IP eines Besuchers ein und schwupp hat er vollen Zugriff auf den fremden PC :-)

Als Linuxuser konnte ich die bekannte IP eines Windoofrechners schon immer angehen. Wichtig dabei nur, ja keinen Port nutzen, der die Firewall weckt.

Übrigens gibt es da noch eine Falle:

Setze ich zB hier im Forum einen Link zB. :

Der Link zeigt auf http......wurm.exe und die Linkbeschreibung zeigt http.....sex.htm wird der Schädling auch geladen und so ich es dem Browser nicht explizit verboten habe, auch gestartet!

Beispielsweise in:
http://216.194.92.108/forum/messages/714084.htm
Findet sich so ein Link wo Text und Ziel nicht übereinstimmen.

Damit wären wir bei den Browsereinstellungen und da sollte jeder vernüftige User dem Compi so einiges verbieten.

Dazu auch noch was zu schreiben, bin ich zu faul.


714699 Re: WannaCry Virus, mal ein paar Infos fürs Forum hier - ZDF-WISO-Zuschauer 16. Mai 2017 16:49:23


In den Lügen und Lückenmedien wurde da genau erkklärt, wie man sich optimal schützen kann.

Besonderer Wert wurd da auf Virenscanner gelegt, die bei den hier erklärten Vorgängen ja gar nicht ansrechen können!!!!

Weil es eben gar kein Virus ist!

Ist das, was da in der Glotze kommt nun fahrlässiger Blödsinn oder systematsch geplante Volksverdummung?

Jedenfalls sollten sich die bornierten Vollidioten in der Redaktion mal Eure Beiträge reinziehen und dann sehr heftig schämen.

Also herzlichen Dank an das Obst hier. :-)

Nun bin ich wieder etwas schlauer geworden.



714686 Re: WannaCry Virus, Update patches von Microsoft - Zitrone 16. Mai 2017 12:15:34

die Update patches von Microsoft die man braucht um diese Lücke zu schließen heißt: KB4012598

Wer von euch "automatisches Update" aktiviert hat, dürfte das Sicherheitsupdate (und reichlich anderen Müll) automatisch von Microsoft runterladen.
Als Tip rate ich euch grundsätzlich "automatische Updates" auszuschalten!! und solche wichtigen Patches einzeln einzuspielen.

(eine sehr gute Strategie ist übrigens auf seinem PC/Laptop NUR das reine Betriebssystem zu installeiren und ALLES andere an Software auf eine externe 2,5" Festplatte die per USB angeschlossen ist. 2 Terrabyte liegen bei etwa 100 Euro. So sind eure Daten sicher. Wenn euer Betriebssystem hinüber geht, egal einfach neu installieren und fertig. Noch besser man benutzt dazu eine backup Software wie Acronis True Image. Bei ebay eine ältere Version (die ausreicht) gibts für einige Euro.)


Nun zu den Updates für KB4012598:

Gibt es für unterschiedliche Betriebssysteme bei Microsoft

Windows XP Service Pack 3 (32bit Version)
File Name: WindowsXP-KB4012598-x86-Custom-DEU.exe
https://www.microsoft.com/de-DE/download/details.aspx?id=55245

Security Update for Windows XP SP2 for x64-based Systems (KB4012598)
File Name: WindowsServer2003-KB4012598-x64-custom-ENU.exe
https://www.microsoft.com/en-us/download/details.aspx?id=55250

Sicherheitsupdate für Windows 8 (KB4012598) (32bit Version)
File Name: Windows8-RT-KB4012598-x86-custom.msu
https://www.microsoft.com/de-DE/download/details.aspx?id=55246

Sicherheitsupdate für Windows 8 für x64-basierte Systeme (KB4012598)
File Name: Windows8-RT-KB4012598-x64-custom.msu
https://www.microsoft.com/en-us/download/details.aspx?id=55249

wer hier Windows 7 benutzt - gute Frage nach einem Update.
Microsoft hat kein spezielles KB4012598 für Windows 7. Entweder funktioniert das KB4012598 oben für XP auch bei Windows 7 (müßte ihr ausprobieren, wenns nicht paßt zeigt es euch an das das Update nicht zum Betriebssystem paßt) oder ihr müßte notfalls (und wirklich nur notfalls) das Roll-Update für Windows 7 installieren. Ein Rollupdate sind ne Masse Updates aus der letzten Zeit zusammen in einem Paket.
Das letzte Rollupdate für Windows 7 ist KB4012212. Ob da aber wirklich KB4012598 drin steckt, keine Ahnung, vermutlich aber ja. Macht vor diesem Rollupdate auf jeden Fall ein Backup mit Acronis oder ähnlichem!!!

KB4012212 für Windows 7 (64-Bit)
https://files.giga-downloads.de/security-tools-w/windows6.1-kb4012212-x64.msu

KB4012212 für Windows 7 (32-Bit)
https://files.giga-downloads.de/security-tools-w/windows6.1-kb4012212-x86.msu

um zu überprüfen ob ihr KB4012598 schon installiert habt, benutzt die Eingabeaufforderung:
entweder Start-ausführen-cmd eingeben
oder
Start-Programme-Zubehör-MSDOS Eingabeaufforderung

dort eingeben:
wmic qfe list | findstr KB4012598
( das zeichen hinter list ist der senkrechte Strich, zu finden links neben der y Taste und zusammen mit AltGr (rechts neben der Leertaste) drücken.

wer übrigens Windows XP SP2 (32bit) hat oder sogar noch ein älteres System kann nachschauen was ich schrieb. SMB gibt es nicht.
(bitte nur machen wer schon mal mit Regedit gearbeitet hat! - deßhalb keine genaue Anleitung)
Regedit starten und sucht nach:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
dort gibt bei es XP SP2 keinen Parameter SMB

Die Update patches KB4012598 für die anderen Windows Systeme schalteten genau dort SMB ab, also auf false




714671 Re: WannaCry Virus, mal ein paar Infos fürs Forum hier - FS 16. Mai 2017 10:31:27

Hab den Virus vor einigen Jahren gehabt, konnte mich nicht dran erinnern,
einen Anhang geöffnet zu haben. Datensicherung über einen Zweitrechner
war kein Problem.


es kaufte keiner das Softwarepaket der Hackergruppe und so entschloss sie sich
(um der NSA eines auszuwischen) das kostenlos und frei zum download ins Internet zu stellen).

das kann der Vater selber gewesen sein


Nutzt diese Schachstelle aber nicht für unbemerketes Durchsuchen (gruss nochmal an den Geheimdienst,
hier hättet ihr wirklich einen echten Staatstrojaner kaufen können der den namen Trojaner auch wirklich verdient!!!!)
- sondern er fängt an die Festplatte zu verschlüsseln und
dann diesen Bildschirm für den Benutzer anzuzeigen das er zahlen soll.

Vielleicht haben sie es schon bei jedem installiert. Dann finden sie Bilder,
die unsere Arbeiten am Weltuntergang zeigen. Wenn die Bilder in den Zirkel vordringen,
wär es doch toll. Ausser acht gelassen, dass dann Verfolgung droht.
Zur Durchsicht bräuchte jemand zig Tage ohne den Inhalt zu verarbeiten, oder nur
ein Bildchen.


Innerhalb des WannaCry Wurms wurde etwas einprogrammiert und zwar ein Aus-Schalter.
Der funktioniert so, sollte die Webseite online sein,
dann verschlüssel die Festplatte nicht und tue auch nichts.

Kontrolle nicht verlieren. Wenn Juden vom Wurm befallen werden, stop.
Oder wenn die Arbeiten am Weltuntergang zu stark beeinträchtigt werden
würden, könnte der Meister helfend eingreifen.


So verzichteten viele auf das SP3 und blieben bei SP2.

Neue Spiele laufen da nicht drauf oder 3D Operationen.


Aber diese 2 Fehler zu machen??????????

Hab den 2. nicht wirklich verstanden. Es wäre nicht ausgeschlossen,
dass 2 Gruppen je einen Fehler gemacht haben, was ich nicht glaube.




714672 Re: WannaCry Virus, mal ein paar Infos fürs Forum hier - Steve 16. Mai 2017 10:57:52

Das war der FBI Trojaner und den konnte man über Fremdbooten finden und killen. War nicht schwer zu machen.


gesamter Thread:

19445 Postings in 3114 Threads, 341 registrierte User, 60 User online (0 reg., 60 Gäste)
Autarkes Leben / Selbstversorgung | Kontakt




RSS Feed
powered by my little forum