Safe Hex - Sicher am Computer

- Eine Tip-Sammlung für mehr Computer-Sicherheit -

Verfügbare Übersetzungen: English, Français

Aus zahlreichen Postings der Newsgroup alt.comp.virus gesammelt.


Main Menu

---

Dies ist eine Sammlung von Tips, die Ihnen helfen soll, sich vor Viren, Würmern, Trojanern und anderem schädlichen Code aus dem Internet zu schützen.

(Einige der folgenden Vorschläge wurden geändert. Benutzung oder Unterlassung auf eigene Gefahr.)

Sechs Schritte zu "Safe Hex"

1. Erkennen Sie die Angriffspunkte Ihres Computers
2. Halten Sie unerwünschte Dateien von Ihrem Computer fern oder löschen Sie sie ungeöffnet
3. Prüfen Sie alles genau, das auf Ihrem Computer ankommt
4. Halten Sie Ihr Antivirus-Programm auf dem neuesten Stand
5. Machen Sie (regelmäßig) Backups
6. Bei Virenverdacht: Bloß keine Panik

1.   Erkennen Sie die Angriffspunkte Ihres Computers

• Sicherheitslücken in Ihren Programmen
• Die verschiedenen Malware-Typen, die Sie betreffen könnten
• Wie Malware in Ihren Computer eindringen kann

1.1   Sicherheitslücken

• Werfen Sie dann und wann einen Blick auf das Security Bulletin (engl.) von Microsoft http://www.microsoft.com/security/
  
  
• Wenn Sie Microsoft Outlook/Outlook Express benutzen, ändern Sie die Sicherheitseinstellungen, um eingebettete Scripts zu deaktivieren. Details (engl.) finden Sie hier. Wenn Sie gerade dabei sind, machen Sie sich auch gleich mit den Outlook E-mail Security Updates vertraut.
  
  
• Sollten Sie zudem den Sicherheits-Patch "scriptlet.typelib/Eyedog" noch nicht installiert haben, dann tun Sie's. Wenn Sie nicht wissen, wovon hier die Rede ist, dann haben Sie den Patch möglicherweise noch nicht. Sie bekommen ihn bei:
  
  http://www.microsoft.com/technet/security/bulletin/ms99-032.asp
  
  Dies schließt eine Lücke in Internet Explorer 4.x & 5.00, welche es Viren wie Bubbleboy oder KAK erlaubt, einen Computer nur durch die Vorschau einer Mail zu infizieren und sich von dort weiter zu verbreiten. Der Patch wurde im Internet Explorer 5.01 schon integriert.
  
  
• Wenn Sie den Windows Scripting Host (WSH) nicht brauchen (sofern überhaupt installiert), schalten Sie ihn aus.
  
  Dieser fügt eine "Funktionalität" hinzu, welche die meisten Leute gar nicht brauchen. Vielmehr kann diese "Funktionalität" sogar beträchtlichen Schaden anrichten, indem sie sich von Malware missbrauchen lässt, die eine VBS-Unterstützung (Visual Basic Script) braucht, um sich über E-Mail-Beilagen weiter zu verbreiten.
  
  Beachten Sie: Microsoft "Windows Update" benötigt den WHS und könnte ihn ungewollt wieder installieren oder aktivieren.
  
  Um den Windows Scripting Host nur dann zu benutzen, wenn Sie ihn brauchen, holen Sie sich noscript.exe von Symantec und benutzen Sie es, um den WSH nach Belieben aus- bzw. einzuschalten. Vergessen Sie nicht, den WSH wieder auszuschalten, wenn Sie mit Ihrem Windows Update fertig sind. Zusätzlich könnten Sie auch von einem kleinen Script profitieren, das Sie mahnt, wenn der WSH eingeschaltet ist. Das ist ganz einfach ...

  
  Starten Sie Notepad und tippen Sie folgende zwei Zeilen:
  
  call wscript.echo ("VORSICHT! Der Windows Scripting Host ist eingeschaltet!")
  wscript.quit
  
  Speichern Sie die Datei als wsh-test.vbs
  
  Benutzen Sie den Windows Task Planer (Geplante Vorgänge) um wsh-test.vbs beim Starten auszuführen. Sollte der WSH aktiv sein, werden Sie beim Starten Ihres Systems eine entsprechende Mitteilung mit einer OK-Schaltfläche sehen. Ist WSH nicht aktiv wird nichts passieren, außer einem Vermerk im Taskplaner, der Ihnen sagt, dass die Datei "nicht starten konnte".

  Sollten Sie sich stattdessen dafür entscheiden, den Windows Scripting Host ganz zu deinstallieren, finden Sie hier die Anleitungen (engl.) für Win95,  Win98,  Win2000 und WinNT.
  
  
• Benutzen Sie - wenn möglich - keine DOC-Files. Stattdessen verwenden Sie pures Rich Text Format für Ihre Dokumente, weil dieses keine Makro-Sprache unterstützt. Leider gibt's dabei noch einen Haken. Einige Makro-Viren fangen den Befehl Datei/Speichern unter/RTF ab und speichern die Datei zwar mit einer RTF-Endung, die dann allerdings ein DOC-Format enthält! Achten Sie darauf, dass Sie unter einem echten RTF speichern. Sagen Sie Ihren Bekannten, dass Sie von ihnen in Zukunft lieber Dateien im RTF oder CSV-Format (Comma-Separated Variable) erhalten möchten, statt im DOC oder XLS-Format.
  
  Achtung - Microsoft RTF Security Bulletin - 22. Mai 2001
  

1.2   Malware-Typen   (Malware ist ein allgemeiner Begriff für potentiell schädliche Programme/Codes.)

• Schreiben Sie sich bei einem Anti-Virus Newsletter ein, der Sie vor neuen Viren warnt, beispielsweise bei http://www.sophos.com/virusinfo/notifications/ (kostenlos).

1.3   Wie Malware in Ihren Computer eindringen kann

Hierzu gibt es zwei wichtige Punkte:

• Erkennen Sie, was von außen auf Ihren Computer gelangt
• Kennen Sie die möglichen Folgen, wenn Sie etwas ausführen, das Sie erhalten haben.

Es ist Ihre Aufgabe zu wissen, was über verschiedene Wege eintreffen kann: E-Mails, Webseiten, die Sie anschauen, Disketten und CDs, Zugriffe via Netzwerk- oder Internet und sonstiges, das vielleicht durch eine automatisch aktualisierte Software eintrifft. Dies ist nicht so einfach, denn was früher galt, gilt heute teilweise nicht mehr.

Darum ...

• ... trifft es nicht mehr zu, daß "nur Programm-Code schädlich ist"
• ... trifft es nicht mehr zu, daß es "völlig sicher sei, eine E-Mail zu lesen"
• ... trifft es nicht mehr zu, daß "Sie allem trauen können, was von Bekannten stammt"

Es wäre klug, auch diese möglichen "Probleme" im Auge zu behalten:

• dumme Programme, die automatisch Scripts ausführen
• "Aktive Inhalte" in Webseiten und E-Mails
• Standard-Einstellungen, welche Datei-Endungen verheimlichen
• bestimmte Datei-Endungen, die "niemals" angezeigt werden

2.   Halten Sie potentiell schädliche Dateien von Ihrem Computer fern

• Installieren Sie eine gute Desktop-Firewall! Lesen Sie dazu auch "Firewalls/Filters".
  Warum? Surfen Sie hier vorbei: Shields UP!
  
  
• Ändern Sie die Startreihenfolge Ihrer Laufwerke in den CMOS-Einstellungen (BIOS) zu C: / A: -- oder nur C: -- dies verhindert, daß Sie nicht irrtümlich von Laufwerk A: starten, falls Sie einmal eine Diskette im Laufwerk vergessen. Diese Maßnahme sollte alle echten Bootsektor-Viren daran hindern, Ihren PC zu infizieren. Sollten Sie einmal ab einer Diskette starten müssen, ist diese CMOS-Einstellung schnell wieder geändert.
  

2.1   Löschen Sie unerwünschte Dateien

• Öffnen Sie keine ausführbaren Programme, Dokumente usw., die Sie erhalten. Seien Sie ruhig etwas übervorsichtig, denn solange sich etwas nicht als garantiert virenfrei herausstellt, müssen Sie das Gegenteil annehmen. (Führen Sie in Ihrer Firma oder Organisation eine Regelung ein, welche ein Herunterladen von ausführbaren Dateien oder Dokumenten aus dem Internet untersagt. Ferner muß alles, was in Ihrer Firma läuft, einem eingehenden Virenscan unterzogen und bewilligt werden.)

Beachten Sie: Einige Dateien prüfen Sie am besten, indem Sie zuerst deren Programm starten und darin anschließend die Option "Öffnen" wählen. So können zum Beispiel Bilder wie JPG oder GIF getestet werden, indem Sie den Bildbetrachter Ihrer Wahl starten. Erhalten Sie solche Dateien als E-Mail-Beilagen oder durch einen Download, sichern Sie sie zuerst in einen Test- oder Download-Ordner, den Sie an einem beliebigen Platz erstellen. Dann benutzen Sie Ihren Bildbetrachter, um die Datei sicher zu öffnen. Sollte an der Datei etwas faul sein, wird Ihr Bildbetrachter eine Fehlermeldung ausgeben und Sie können die betreffende Datei löschen.

Ganz ähnlich läuft es auch mit Sound-Dateien wie MP3 oder WAV. Starten Sie zuerst Ihren Player und öffnen darin die fragliche Datei. Auch Text-Dateien (TXT) öffnen Sie, indem Sie zuerst den Editor (Notepad) starten. Doppelklicken Sie solche Dateien niemals direkt im Explorer (oder gar in Ihrem Mail-Programm) bevor Sie sie nicht auf diese Art geprüft haben. Sie könnten es nämlich auch mit einer versteckten Datei-Endung zu tun haben.

Da wir gerade bei diesem Thema sind, möchten wir kurz darauf eingehen, wie einige Newsreader Bilddateien und andere Formate anzeigen. Der Free Agent (ein kostenloser Newsreader von Forté) hat unter dem Menü File eine gefährliche Option namens "Launch binary attachment". Dies erlaubt das Ausführen solcher JPEGs und GIFs, auch wenn diese eine versteckte Endung "EXE" haben (was sehr schlecht, d.h. riskant ist). Stattdessen raten wir eher, auf "Decode binary attachment" zu klicken. Die Datei wird damit aus dem UUencoded Format in den entsprechenden Ordner von Agent extrahiert, was Ihnen erlaubt, zuerst Ihren Viewer (Bildbetrachter) und damit die Datei zu öffnen.

  Vermeiden Sie folgendes unbedingt:

• Dateien oder E-Mail-Beilagen öffnen, von jemandem, den Sie nicht kennen.
  
• Dateien oder E-Mail-Beilagen öffnen, die Ihnen weitergeleitet wurden, auch wenn Sie den Absender kennen.
  
• Unverlangte oder unerwartete Mail-Beilagen öffnen, bis Ihnen bestätigt wurde, daß der Absender Ihnen diese wirklich senden wollte.
  
• Ein Dokument mit aktivierten Makros öffnen.
  
• Von einer Diskette starten, außer Sie haben sie selber erstellt und schreibgeschützt und diese ständig an einem sicheren Platz aufbewahrt.

3.   Prüfen Sie absolut alles, was auf Ihrem Computer eintrifft.

• Benutzen Sie Antiviren-Software um Ihr System zu scannen oder zu überwachen.
• Scannen Sie alle Mail-Beilagen oder Downloads, bevor Sie sie starten oder öffnen.
• Scannen Sie vor dem Gebrauch alle Disketten (auch ZIP-Disks).
• Scannen Sie auch alle CDs.
• Scannen Sie einfach alles. (Vorsicht: Auch Antiviren-Software kann und wird nicht jeden schädlichen Code finden!)

4.   Halten Sie Ihre Antiviren-Software auf dem neuesten Stand.
      (und zwar sowohl die Viren-Definitionen als auch die Scan-Engine)

"Wie? Antiviren-Software?"

Surfen Sie hier vorbei für eine Auswahl empfehlenswerter Antiviren-Programme

5.   Machen Sie Backups

• Legen Sie regelmäßig Backups Ihres Computers an. Für Ihre Daten wird heutzutage ein CD-RW-Brenner am besten geeignet sein, und für unbeaufsichtigte komplette Backups Ihres Systems gibt es auch entsprechende Bandlaufwerke.
• Bitte testen Sie Ihr Backup, um sicher zu stellen, daß ein Zurückspielen der Daten auch funktioniert, und prüfen Sie auch den "Gesundheitszustand" (Integrität) der gesicherten Daten!

6.   Ein Virenverdacht? Keine Panik

Sollte das Übel doch einmal zuschlagen ...

Keine Panik. Oft wird durch panikartiges Verhalten - im verzweifelten Versuch, dem Problem beizukommen - mehr Schaden verursacht, als durch den Virus oder Trojaner selber.

Sollte Ihr PC durch einen Virus infiziert worden sein, ist die Usenet Newsgroup alt.comp.virus eine gute Anlaufstelle für Hilfe oder weitere Informationen. Sie können dort Experten und erfahrene Benutzer nach Rat fragen oder bereits gelöste Probleme nachlesen (vielleicht ist Ihres auch dabei).

Bitte beachten Sie folgende Tips, wenn Sie die Newsgroup alt.comp.virus besuchen:

• Veröffentlichen Sie dort keine Viren-Exemplare oder sonstige Datei-Beilagen.
• Wenn Sie um Hilfe bitten, schildern Sie Ihr Problem möglichst genau (inkl. Details).
• Schalten Sie in Ihrem Newsreader allenfalls HTML aus oder zumindest dessen Fähigkeit, in HTML eingebettete Scripts auszuführen.
• Löschen Sie in der Group alle Messages, welche Beilagen enthalten.
• Lassen Sie sich von den vielen (teilweise unfreundlichen) "Nebengeräuschen" in der Group nicht irritieren.
• Lesen Sie die bestehenden Messages (besonders die Betreff-Zeilen) zuerst. Sie könnten auf diese Art bereits die Lösung zu Ihrem Problem finden.
• Auch wenn Sie selber gern helfen möchten: Geben Sie dort keine Ratschläge, wenn Sie nicht sicher sind, daß es wirklich gute Ratschläge sind.

alt.comp.virus mit Google
alt.comp.anti-virus mit Google
maus.computer.sicherheit.virus mit Google

---

Administrator Tip

Sie könnten in Ihrer Firma Hoax-Regeln aufstellen und im Kreise Ihrer Mitarbeitenden etablieren. Vielleicht ungefähr so: "Es ist untersagt, Virenwarnungen an irgend jemanden weiterzuleiten; außer an <fügen Sie den Namen der Person ein, die sich in Ihrer Firma um Virenbelange kümmert>. Es spielt keine Rolle, ob die Virenwarnungen von einem Antivirus-Hersteller, einer großen Firma oder von Tante Frieda stammen. Alle erhaltenen Virenwarnungen sollen ausschließlich an <Name einsetzen>, und <Name einsetzen> weitergegeben werden. Es ist der Job von <Name einsetzen>, dafür zu sorgen, daß die Warnungen an die Leute gehen, die es betrifft. Wer Warnungen aus einer anderen Quelle erhält, hat diese zu ignorieren."

---

Stopp! Bevor Sie jetzt weitersurfen ...

• Bitten Sie Ihre Freunde und Ihre Familie darum, Safe Hex zu betreiben.
• Und nicht vergessen: Wenn Sie eines Tages einem Virus begegnen sollten, dann keine Panik!
• Schauen Sie auch beim A.C.V Reference Desk vorbei.
• Einige zusätzliche Links zum Thema Sicherheit finden Sie hier.

Kommen Sie wieder ... die Site wird laufend ausgebaut ...