Verseuchte Windowsrechner wieder nutzbar machen.

[uname]

Imagemagic war lange Zeit (vor allem mangels alternativen) das Haupteinfallstor in Linux-Server. ....

Bilder mögen ja manipuliert oder auch "verseucht" sein. Aber was will das Bildbearbeitungsprogramm damit anfangen? Selbst bei z. B. verseuchten docx-Daokumenten mit schadhaften Scriptcode ist die Frage, was z. B. LibreOffice damit wirklich macht.

Schaut man sich zudem z. B. eine der größten Bedrohungen des vergangenen Jahrzehnts also Emotet an, dann hört man schnell auf zu lesen, da ohne Windows damit praktisch gar nichts geht. Daher war ein Wechsel des Betriebssystems weitaus besser als ein Virenscanner, der Emotet teilweise nicht erkannt hat

https://de.securelist.com/banker-emotet ... ung/59222/
https://de.wikipedia.org/wiki/Emotet

Ich denke eine verseuchte Datei für Windows macht auf einer alternativen Plattform wie z. B. Linux keinen Schaden, selbst wenn dort Programme wie Bildbearbeitungsprogramme potentielle andere Sicherheitsrisiken haben.

[willy4711]

Die Frau ist ihrer eigenen Meinung nach "gehäckt" worden. Obwohl die Rechner nicht mehr genutzt wurden.
Das äußerte sich anfangs nur durch ständige dubiose Anrufe. Die Anrufer hatten komplett alle Daten ihres Mannes. Name, Anschrift, Telefon, Alter, Beruf, einfach alles. Das schlimmste aber war ein PaYPal-Konto, das ihr Mann hatte, von dem sie aber gar nichts wusste. Das ist leergeräumt worden bzw. wurden davon jede Menge Einkäufe getätigt. Die Polizei ermittelt nun und die Frau ist "fix und fertig". Sie sind der Meinung, dass auch die Fritzbox gehäckt wäre usw. usf.

Irgendwie passt das nicht zusammen. Ihr Mann ist 5-6 Jahre tot, wie du sagtest.

PayPal Konten sind ja in der Regel keine Guthaben-Konten, es sei denn man erzielt Verkaufserlöse.
Belastungen dort werden in der Regel sofort von einem Referenz Konto oder einer Kreditkarte abgebucht.

"Leerräumen" ist dort in der Regel nicht möglich. Selbst wenn dort ein Guthaben wäre, muss es ja von irgendwo
aus aufgefüllt worden sein. Also gibt es Kontoauszüge. Bareinzahlungen sind wohl nicht möglich.

Irgendwann gibt es dann aber auf jeden Fall einen Kontoauszug oder eine Mahnung, ausstehende Beträge auszugleichen.
Dies passiert in der Regel zeitnah. Aber sicherlich nicht in einen so langem Zeitraum.
Das hätte doch deiner Bekannten auffallen müssen ?

Der Rechner muss ja auch nicht unbedingt gehackt worden sein.

Jeder wird wohl diese netten Mails kennen, wo man aufgefordert wird, ganz schnell und unbedingt seine Kontodaten zu erneuern,
weil sonst ganz schlimmes passiert.

Kundendatenbanken werden auch jeden Tag irgendwo gehackt. Ist meist wesentlich effektiver.

Dass der Rechner oder gar die Fritzbox gehackt wurde, ist zwar möglich, aber die anderen genannten Gründe halte ich für wahrscheinlicher.
Bevor ich da aus "Nettigkeit" irgend etwas machen würde, würde ich der aus meiner Sicht ziemlich dubiosen (Zeit) Sache
noch mal genau auf den Grund gehen.

[MSfree]

Bilder mögen ja manipuliert oder auch "verseucht" sein. Aber was will das Bildbearbeitungsprogramm damit anfangen?

Der Trick ist, durch Fehler im Programm beim Einlesen der Datei einen Pufferüberlauf zu provozieren und damit z.B. eine Rücksprungadresse im Programm zu manipulieren und dann auf die Bilddaten zu springen. Wenn nun "zufällig" in den Bilddaten gar kein Bildinhalt sondern von der CPU ausführbarer Code steckt, hat der Angreifer gewonnen, dann läuft nämlich sein Code statt dem des Bildbearbeitungsprogramm.

Das gilt natürlich in gleichem Maße für Musik und Filmdateien.

[ottonormal]

Irgendwie passt das nicht zusammen. Ihr Mann ist 5-6 Jahre tot, wie du sagtest.

Das verstehe ich ja auch nicht. Von Paypal habe ich sowieso nicht die Spur einer Ahnung. Dass das jetzt, solange nach dem Tod des Mannes auf einmal kommt, verstehe ich auch nicht. Tatsache ist aber, dass die Täter von dem Paypalkonto lustig eingekauft haben. Immer nur kleine Summen, hier mal 10 Euro und da auch mal 30 Euro. Die Menge der Einkäufe war es aber, was den Schaden verursacht hatte.

Ich gebe hier auch nur das wieder, was mir von der Frau berichtet wurde. Das Bankkonto des Mannes wurde von Paypal immer weiter belastet. Die Frau hat das Bankkonto ihres Mannes nach dessen Tod nicht aufgelöst, weil da einige Daueraufträge und auch regelmäßige Einzahlungen (Mieteinnahmen) mit verbunden waren.

Viel mehr weiß ich auch nicht. Immerhin hat die Bank alle Abbuchungen von Paypal rückgängig machen können, die Frau hat also keinen großen Schaden dadurch. Nun kommt Paypal aber und will Nachweise für das Ableben des Mannes haben. Die Frau hat das Konto damals gekündigt, Paypal verlangt aber alle Daten und Bescheinigungen von der Frau, die das natürlich ablehnt. Warum auch sollte sie ihre persönlichen Daten an Paypal aushändigen?

Ist schon alles ziemlich verwirrend das alles. Ich selbst habe glücklicherweise NUR mit den Rechnern zu tun, das reicht mir aber auch schon.

[OrangeJuice]

Es könnte durchaus sein, dass die FritzBox gehackt wurde, z.B. wenn diese keine aktuelle Firmware hatte, das Passwort 123 war,...
Die Hardware selber kann eine Fernwartungsfunktion haben(z.B. vom Hersteller aktiviert), es gibt auch Bootkits, die die Geräte bei Neuinstallation immer wieder infizieren können.

Klingt aber alles etwas eigenartig. Die Rechner waren nicht(mal "nur zum testen") am Netz, nicht am Router per LAN oder Wlan angeschlossen?

Vielleicht sind die Daten einfach in einem Leak aufgetaucht und werden jetzt verwertet, ggf. mal die Mailadressen überprüfen: haveibeenpwned.com

[Tintom]

Warum auch sollte sie ihre persönlichen Daten an Paypal aushändigen?

Weil Tote keine Vertragspartner sein können und das Unternehmen einen offiziellen Nachweis über den Todeszeitpunkt benötigt. Ohne jetzt die AGB von Paypal zu kennen: Viele Unternehmen regeln in den AGB, dass mit dem Tod der Vertrag endet. Alles Guthaben, was nach dem Todeszeitpunkt abgeflossen ist, ist somit nichtig. Damit sichert sich Paypal gegen Ansprüche der Erben ab und wahrt auch noch seine eigenen Ansprüche, weil für alle Abflüsse ab dem Todeszeitpunkt nun Paypal aufkommen muss. Soweit die Theorie. Da der Todeszeitpunkt schon so lange zurück liegt und nichts veranlasst wurde, dürften die meisten Ansprüche aber schon verfallen sein.

[uname]

Der Trick ist, durch Fehler im Programm beim Einlesen der Datei einen Pufferüberlauf zu provozieren und damit z.B. eine Rücksprungadresse im Programm zu manipulieren und dann auf die Bilddaten zu springen. Wenn nun "zufällig" in den Bilddaten gar kein Bildinhalt sondern von der CPU ausführbarer Code steckt, hat der Angreifer gewonnen, dann läuft nämlich sein Code statt dem des Bildbearbeitungsprogramm.

Das stimmt. Aber sehr unrealistisch wenn Windows verseuchte Dateien irgendwelche Sicherheitslücken in Linux-Anwendungen ausnutzen. Davon habe ich nun noch wirklich nie was gehört. Ich hätte kein Problem eine vollkommen verseuchte Windows-Platte an mein Produktiv-Debian anzukabeln. Aber ich verwende auch keine komplexen Passwörter, da ich auch das vollkommen unnötig finde. Ich habe mich vor einigen Jahren recht intensiv mit Emotet (s.o.) beschäftigt. Identitätsdiebstahl benötigt vor allen Windows und einen Schadcode (Download, "Microsoft"-Mitarbeiter, ...) und weder Linux noch unsichere Passwörter. Mit TLS/SSL ist das WLAN und das Netzwerk inkl. Internet auch als eine Ursache weggefallen.

[Korodny]

Imagemagic war lange Zeit (vor allem mangels alternativen) das Haupteinfallstor in Linux-Server. ....

Selbst bei z. B. verseuchten docx-Daokumenten mit schadhaften Scriptcode ist die Frage, was z. B. LibreOffice damit wirklich macht.

docx- und xlsx-Dateien können keine Macros ("Skriptcode") enthalten, dafür muss man die Formate docm und xlsm benutzen. Da MS Office das auch beim Einlesen sicherstellt, würde ich mal davon ausgehen dass niemand versucht Scriptcode in docx und xlsx unterzubringen.

Auch bei Bildern und Videos wäre ich entspannt - solche Angriffe zielen auf Schwachstellen (Bugs) in einer ganz bestimmten Version einer ganz bestimmten Anwendung. Ich kann mir kaum vorstellen, dass so aufwendige Techniken für generelle, automatisierte Phishing-Versuche eingesetzt werden. Das ist m.E. eher die Kategorie "Angriff auf Atomanlagen im Iran". Aber selbst wenn die Bilder Malware enthielten: Wenn der gute Mann seit sechs Jahren tot ist, ist auch die von der Malware angegriffene Software-Version schon lange nicht mehr aktuell.

Ich würde ebenfalls von einer Linux-Live-CD booten, alle persönlichen Daten auf einer externen Festplatte sichern und dann an einem separaten Linux-Rechner sichten: Gibt es andere Dateiformate als die genannten? Muss ich irgendwas mit einem Online-Virencheck gegenprüfen?

Auf den Problemrechnern dann das neueste Firmware-Update einspielen - wie schon von jemand angeraten ohne den Rechner ans Internet zu lassen - und Linux installieren. Mehr braucht es eigentlich nicht. Wie schon jemand gesagt hat: absolute Sicherheit wird es nie geben, aber wenn der Verstorbene nicht Ziel des israelischen Geheimdienstes war, sollte damit eigentlich Ruhe sein.

Zumindest auf dem Rechner, andere Infrastruktur gilt es ja auch noch zu beachten. Neben dem Router könnten ja auch "smarte" Geräte oder ein Smartphone ein Einfallstor gewesen sein. Gerade Handys, App-Stores und ältere Herrschaften sind meiner Erfahrung nach eine gefährliche Kombination.

Am wahrscheinlichsten dürfte sowieso sein, dass der alte Herr einfach einer Phishing-Mail zum Opfer gefallen ist und auf irgendeiner Fake-Webseite seine Login-Daten angegeben hat ("Ihr Paypal-Account wurde gehackt, bitte klicken Sie hier und verifizieren sie Ihre Identität").

[uname]

... und auf irgendeiner Fake-Webseite seine Login-Daten angegeben hat ...

Ich denke das war für den oben beschriebenen Fall nicht ausreichend. Ich glaube eher, dass er über einen Link oder mit Hilfe eines "Microsoft"-Mitarbeiters Schadcode installiert hat, die ein vollständiges Ausspionieren des Windows-Rechners erst möglich gemacht hat. Aber hierfür müsste man den Rechner forensisch untersuchen. Auch könnte man mal über eine Image-Kopie einen Virenscanner drüberlaufen lassen und die Ergebnisse hier posten. Vielleicht kann auch jemand bei https://www.trojaner-board.de weiterhelfen.

[Korodny]

... und auf irgendeiner Fake-Webseite seine Login-Daten angegeben hat ...

Ich denke das war für den oben beschriebenen Fall nicht ausreichend.

Warum? Die einzige konkrete Info von ottonormal war "Die Anrufer hatten komplett alle Daten ihres Mannes. Name, Anschrift, Telefon, Alter, Beruf, einfach alles.". Ich habe selber kein Paypal - aber die einzige Info, wo ich mich fragen würde ob die in einem gefishten Paypal-Konto verfügbar wäre, ist "Beruf".

[uname]

Kann natürlich sein, dass der Angreifer an den PayPal- oder den E-Mail-Zugang über eine Fake-Seite gekommen ist. Vor allen E-Mail-Accounts stellen ein Risiko dar, da darüber vielleicht auch ein Zurücksetzen des PayPal-Accounts möglich war. Ich habe aber kein PayPal, so dass ich nicht weiß, ob dort damals oder heute 2FA zur Absicherung vorgesehen war oder ist. Aber dann bräuchte der Rechner auch nicht verseucht sein. Eine Angriffs-Mail hätte gereicht.

[ottonormal]

Danke für alle eure Tipps und Ratschläge.
Zwischen meinem Wohnsitz und den Rechnern liegen etwa 200km. Ich fahre erst dahin, wenn der neue Netzanschluss fertig ist. Das wird aber noch ein paar Wochen dauern. Zu meinen vielleicht etwas dürftigen Angaben in dem Fall kann ich leider nichts mehr hinzufügen, weil ich nicht mehr davon weiß.

Ich weiß nicht ob und wie das mit dem Virensuchlauf funktioniert, ich wollte das ja mit der Live-DVD von Avira "Avira-Rescue-08-System" versuchen. Etwas anderes als offline kommt ja sowieso nicht in Frage.
Oder kennt jemand etwas anderes, besseres dafür? Von Kaspersky gibt es auch eine "krd.iso" (Kaspersky-free-rescue-disk). Sind die beide gleichwertig?

[uname]

Heise bietet Desinfect an. Scheinbar gibt es eine legale Möglichkeit das Iso kostenlos downzuloaden.
https://chriszim.de/desinfect-2021-kost ... oad-36987/

Das habe ich aber nicht ausprobiert. Wer will kann ja mal berichten, ob es funktioniert hat.

Hier das zugehörige Heft zum kaufen: https://shop.heise.de/ct-12-2021/Print
Scheinbar gibt es dort einen Downloadlink und keine DVD mehr im Heft. Ich bin mir aber nicht sicher.
Vielleicht weiß jemand mehr.

Vor einigen Jahren habe ich mal Desinfect genutzt. War sehr gut gemacht.
Mittlerweile habe ich den Windows-Support augegeben und Windows-Viren sind mir (auch unter Linux) egal.

[ottonormal]

Danke für den Link.
Ich habe die ISO heruntergeladen und die 64bit Version auf DVD gebrannt. Hoffentlich komme ich damit klar!
Den Windows-Support habe ich eigentlich auch schon seit geraumer Zeit eingestellt, es kommen aber immer wieder Fälle auf mich zu, bei denen ich nicht nein sagen kann/darf. Ist ja immer aus dem engeren Familien- Bekanntschaftsumfeld.