Malware Gefahr durch externe Datenträger?

Hallo zusammen,

ich habe einige externe Datenträger auf denen hauptsächlich Multimedia-Daten und einige Excel und Word Dateien gespeichert werden.

Da ich einige Probleme mit Malware hatte und habe, interessiert es mich, wie ich weiter vorgehen soll. Die Kaspersky Live-CD und ein Scan der Datenträger mit CT Desinfect lieferte keine Infektionsmeldung.

Wie muss ich nun vorgehen um eine Neuinfektion zu verhindern?

Danke für alle Ideen!

Du könntest sie z.B. in einer virtuellen Maschine öffnen.

1 „Gefällt mir“

@Schatten

Eine virtuelle Maschine, zum Beispiel mit Virtual Box erstellt, würde die Virtuelle Maschine gefährden, nicht den Host Computer.
Allerdings würde es auch die Verwendbarkeit der Daten einschränken. Das kann also nur der erste Schritt sein. Wie geht es dann weiter??

Danke für die Ideen!

Ich würde das System von einer Live-CD booten (z.B. Knoppix) und auf die virtuelle Maschine verzichten. Wenn der Verdacht besteht, dass der Stick alleine ein Problem darstellen könnte (z.B. die Firmware oder der Controller), müsste man auch sicherstellen, dass der Stick nur in der virtuellen Maschine verwendet wird. Der Stick wird aber erst vom Hostsystem erkannt und dann in die virtuelle Maschine gemountet. Wenn du nur die Daten verdächtig findest, kannst du sie auch ohne virtuelle Maschine z.B. bei Virustotal überprüfen (wenn keine sensiblen Daten drauf sind). Man darf sie dann nur nicht öffnen. Ein besseres Gefühl hätte ich mit einer Live-CD, da kannst du die Datenträger auch formatieren, nachdem du die Daten temporär in das Live-System kopiert hast. Wenn der Schaden überschaubar ist oder tatsächlich die Datenträger im Verdacht stehen (also nicht nur die Daten darauf), würde ich neue besorgen.

HTH CD

1 „Gefällt mir“

@Cyberduck

Vielen Dank.

Gibt es ein Live System das von Haus aus mit NTFS und dem Mac Dateisystem klarkommt?

Was bedeutet HTH CD ???

Mit NTFS kann wahrscheinlich fast jedes Live-System umgehen, auch Knoppix. Bei HFS+ muss man es ausprobieren oder suchen. In einigen Forenbeiträgen wird beschrieben, wie man die HFS+ Unterstützung in Knoppix nachlädt, aber diese Beiträge sind alle schon recht alt. Es kann sein, dass es inzwischen ohne Probleme funktioniert oder gar nicht mehr oder nur mit Gefrickel. Ich würde es ausprobieren, Anleitungen gibt es genug.

Mit APFS wird es wahrscheinlich schwieriger. Da hat Fuse einen Treiber für Linux entwickelt, der kann aber nur lesen. Oder Paragon, die können zwar lesen und schreiben, aber das kostet. Dazu kann ich dir auch keine allgemeingültige Anleitung schreiben, das müsste ich selbst ausprobieren. Mit APFS Volumes habe ich noch keine forensischen Erfahrungen gemacht. Aber das ist in der Regel auch kein Dateisystem, das auf externen Datenträgern zum Einsatz kommt und ein internes Laufwerk bekommt man mittlerweile auch nicht mehr so einfach aus einem Mac heraus. Das wäre ungewöhnlich.

Hope That Helps Cyberduck :wink:

Besten Dank, ich werde es ausprobieren.

Müsste man nicht auch darauf achten, dass vorhandene Datenträger wie die interne Festplatte nicht gemountet werden können? Falls auf dem Stick ein Verschlüsselungstrojaner drauf ist, könnte er sonst die interne Festplatte verschlüsseln.

Ja, der Einwand ist berechtigt. Man kann die internen Festplatten aushängen, bevor man den Stick einsteckt. Knoppix mountet afair die internen Festplatten automatisch, wenn das möglich ist. Je nach Paranoia-Level wäre das eine sinnvolle Maßnahme. Danke für die Ergänzung…

Bye CD

1 „Gefällt mir“

Scans via Live-Systeme mit mehreren up-to-date Virenscannern. Wenn dir Datenschutz nicht so wichtig ist auch mit Cloudunterstützung. Wenn du nur wenige Dateien im Verdacht hast und die keine sensitiven Daten enthalten, zusätzlich bei Virustotal hochladen. Bevor du die überprüften Dateien dann wieder auf dem neuen OS öffnest, solltest du das zuvor OS möglichst sicher gemacht haben. Von welchem deiner OSe reden wir hier?

@Chief1945

Vielen Dank für die Erklärungen.

Könntest Du etwas konkreter beschreiben wie und womit ich weiter vorgehen sollte?
Beispielsweise, welches Live-System eignet sich besonders für Windows oder Mac?
Welcher Virenscanner? Erkennen Windows Virenscanner auch macOS Malware/Viren und umgekehrt?
Ich kenne Virustotal, gibt es Cloud Alternativen?
Schicken die Cloud Scanner die gesamte Datei in die Cloud oder nur eine „Prüfsumme“?

Wie mache ich Windows 11 und macOS möglichst sicher?

VG

Ist schon ein Weilchen her, dass ich das brauchte. Viele bekannte AV-Hersteller bieten das kostenlos zum Download an. Selbst Microsoft hat ein eigenes Tool. Kannst ja einfach ein paar verwenden. Avast würde ich aufgrund diverser Datenschutzskandale vermeiden.

Fast jede AV-Lösung bietet das heute an. Aus Datenschutzsicht natürlich nicht so toll, aber das musst du wissen, ob es dir das Wert ist.

Kommt ganz drauf an. Die begnügen sich normalerweise zunächst mit Metadaten. Wenn die Datei nicht bekannt ist, hängt es von den Einstellungen ab, ob die Datei hochgeladen wird. Bei Microsofts Defender kann man die Option „Sample Submission“ entsprechend konfigurieren. Bei Virustotal wird man gefragt, ob man die Datei hochladen will.

Bei Windows 11 sind die wichtigsten Schritte:

  1. Win 11 Pro oder höher verwenden
  2. Application Control. Mindestens Applocker, am Besten via WDAC. Das ist aber mit ein wenig Einlesen und Arbeit verbunden, halte es aber für einen der wichtigsten und effektivsten Schritte unter Windows.
  3. Bitlocker mit PIN/Passwort verwenden
  4. Security Baselines installieren und anpassen, auch für MS Office.

Bei MacOS kenne ich mich nicht so aus, aber vielleicht hilfst dir das weiter: https://github.com/beerisgood/macOS_Hardening

Desinfec’t hat, soweit ich weiß, mehrere Virenscanner integriert.

1 „Gefällt mir“

@Chief1945

Gibt es besonders gute AV Programme und sind diese sowohl für Windows 11 und macOS geeignet. Erkennen AV Scanner Malware entweder für Windows oder macOS oder unabhängig vom verwendeten OS?

@Schatten
Bei macOS ist es etwas komplizierter, da Desinfect zwar mit Bitlocker klarkommt aber nicht mit der Festplattenverschlüsselung von macOS.

Welche Sicherheits-Tools gibt es, die sich besonders für macOS oder macOS und Windows eignen?

Vielen Dank und Grüße

Immer wieder erstaunlich, wie viele Menschen eine Kur wissen, ohne die Krankheit zu kennen.

Die erste Frage, die mir kommt, ist: War der Rechner denn zwischenzeitlich sauber? Es gibt Schädlinge, die sich im MBR (GPT) oder sogar im UEFI verankern. Da hilft nicht einmal die Neuinstallation des Betriebssystems, schon gar nicht aus der Recovery (die wird meist mit infiziert). Wenn ein infizierter Rechner neu installiert wird (und das sollte er!), dann von einem frisch heruntergeladenen Abbild direkt von der Quelle. https://learn.microsoft.com/de-de/previous-versions/dn151182(v=technet.10)?redirectedfrom=MSDN

Zu den externen Datenträgern: Wo kann ein Schädling überhaupt stecken?
a) auf dem Datenträger,
b) in ADS im NTFS,
c) in den Dateien selbst.

a) Conficker/Downadup konnte sich durch die unsäglich unsinnigen und gefährlichen „Komfort“ Einstellungen Autorun und Autoplay von Windows verbreiten. Hatte selber eine Kundin hier, der das passiert ist. Beides ausschalten! Im Netz gibt es Anleitungen dazu. Ob macOS ähnlichen Sch… hat, weiß ich nicht.

b) Das höchst „intelligente“ NTFS bietet in den ADS hervorragende Verstecke für Schädlinge. Mir selber passiert: Infizierter Rechner; Daten gesichert; alles platt gemacht und neu installiert; Prüfungen ergeben sauberen Rechner; Nutzerdaten zurück gespielt; Infektion ist wieder da! Hä? Weitere Analyse ergab, dass im Eintrag für einen vom Benutzer selbst angelegten Ordner eine Saat des Schädlings steckte, die dann beim Betreten des Ordners (öffnen) aktiv wurde. Seitdem empfehle ich, was ich auch selber mache: Datenkopien von verdächtigen Rechnern nur über ein „dummes“ Dateisystem wie FAT32, dass alle bösen Spezialitäten abstreift. Wie das bei exFAT ist, weiß ich nicht; damit habe ich mich nicht mehr beschäftigt.
Wenn man für FAT32 zu große Dateien hat (z.B. große Videos), dann eben per DVD (RW) oder DVD-RAM. Falls du mehrere Kopien in NTFS hast: Datenträger FAT32 formatieren, Kopien dorthin neu anlegen.

c) Gegen Schädlinge in den Dateien selbst hilft es, diese mit einem sicheren Programm zu öffnen. Also VLC statt M$ Mediaplayer; Libreoffice statt M$ Office. Achtung: bei M$ Office sind Makros nicht die einzige Gefahr. Dagegen kann man sich ja schützen, indem man Makros eben nicht erlaubt. Aber es gibt gerade in Word immer wieder auch Sicherheitslücken, die bereits beim Öffnen des Dokuments ohne weitere Benutzerinteraktion getriggert werden. Setzt natürlich voraus, dass dir $Jemand mit Absicht ein entsprechend präpariertes Dokument untergeschoben hat.

hth

Hallo @Universalgelehrt

Vielen Dank für Ihre ausführliche Erläuterung.
Sie sprachen von Erfahrungen mit Ihren Kunden.
Ich selbst traue mir nicht zu ohne Hilfe von Fachleuten die Problematik mit Malware auf meinen Systemen zu lösen.

Ist Ihnen bekannt, wo ich entsprechende Fachleute finde. Der Computerladen um die Ecke ist vielleicht nicht geeignet (?).

Wie verhält es sich mit Schädlingen unter macOS? Gibt es dort auch MBR, GPT, UEFI Schädlinge?
Das macOS habe ich vorsichtshalber bereits gelöscht und neu aus der Apple Cloud geladen.

Ich danke allen für Hinweise/ Ideen!

Apple hat mit der Umstellung auf Intel-CPUs auch UEFI und GPT eingeführt.
Ob APFS oder HFS+ ähnliche Verstecke enthalten wie NTFS mit den ADS, entzieht sich meiner Kenntnis.
Ja, es gibt Sicherheitslücken in und Schädlinge für macOS. Von denen weiß ich allerdings nur aus Berichten darüber; ich selber fasse Apple nicht mal mit der Kneifzange an.
Wer mit wenig Computer-Kenntnis sicher arbeiten möchte, ohne ständig jemand zum Händchen halten zu benötigen, hat nur eine Wahl: Linux.
Unter Linux gibt es alles! Die üblichen Büro-Anwendungen (Surfen, E-Mail, Office) sowieso, aber auch professionelle Bild- oder Videobearbeitung oder Tonstudio etc.
Wer lesen und schreiben kann, kann auch Linux benutzen. Linux ist auch Schwiegermutter-tauglich. :wink: Wer sich zum Installieren von Programmen an die offiziellen Paketquellen hält und evtl. zusätzliche Programme nur aus seriösen Quellen holt, hat ein Infektionsrisiko von genau NULL.

Eine Anekdote aus meiner Historie: Älteres Ehepaar; er nicht die hellste Kerze auf der Torte, sie Zugewanderte mit sehr schlechten Deutschkenntnissen. Die hatten ständig neue Infektionen auf Windows, trotz des besten Antivirus (GData). Klar, wenn man auf alles klickt, was nicht bei drei auf den Bäumen ist, und dann auch noch die Warnung des Virenwächters weg klickt, dann passiert das eben. Ich konnte da immer nur nachsorgen, was aber bei unverändertem Verhalten natürlich nicht dauerhaft half. Nach dem dritten Befall innerhalb ungefähr eines Jahres habe ich ihnen dann als grundsätzliche Kur empfohlen, auf Linux umzusteigen. Beide machten lange Zähne und waren sehr zögerlich. Aber der Leidensdruck durch die ständigen Neu-Infektionen war so groß, dass sie dann doch bereit waren, das Wagnis einzugehen. Und, was soll ich sagen? Happy ever since. Sie konnten leicht damit klar kommen und hatten trotz ihres weiterhin sträflich leichtsinnigen Umgangs nie wieder eine Infektion. Da habe ich mich glatt arbeitslos gemacht.

@Universalgelehrt
Ui, da fühlen wir uns nicht angesprochen :sweat_smile: und nutzen auch als Zugewanderte weiter macOS…

Für mich ist Linux keine Alternative. Ich brauche einfach MS Office, Wiso Steuer und noch ein paar andere Apps. Auch wenn man bei Apple wie ein Vögelchen im goldenen Käfig sitzt, ist es mir doch lieber. Ich finds einfach komfortabler und vielleicht sogar sicherer als ein zusammengeschustertes Linux System (vielleicht ohne Sicherheitsupdates).

Ich habe jetzt ein paar Infos gesammelt und werde daraus ein paar Vorschläge beherzigen. FAT32 statt NTFS zu nutzen halte ich beispielsweise für praktikabel. Ansonsten hängt es von der individuellen (vermeintlichen) „Paranoia“ ab, ob man damit glücklich wird. Letztlich verlässt man sich auch als IT-Fachmann auf eine Technik die man nicht vollständig durchblickt.

VG
atlantic

Ich will ein Auto, aber ich brauche einfach den Engel auf dem Kühler (oder wenigstens den Stern). Auf deutsch: Ich will mich nicht umgewöhnen; ich will nicht mein Gehirn anstrengen. Ist dir ja unbenommen; du musst mit den Konsequenzen leben.

Einer meiner Kunden ist ein Journalist, der Audio- und Videobeiträge anfertigt. Für Video nutzt er ein sehr komplexes Bearbeitungsprogramm unter Windows, das lange Zeit für die Einarbeitung benötigte. Außerdem bringt es zur Steigerung der Performance einen eigenen Grafiktreiber mit, der direkt auf die GraKa zugreift. Das ist mit Linux nicht darstellbar, und ein Wechsel zu einer Linux-fähigen Alternative hätte durch die neue Einarbeitung mindestens ein halbes Jahr Produktivitätsverlust bedeutet - nicht realisierbar. Der hat also von mir speziell für die Video-Bearbeitung mit seinem gewohnten Werkzeug eine eigene sehr leistungsfähige Maschine mit Windows bekommen. Alles andere macht er auf einem normalen Rechner unter Linux.

Die Polemik „zusammengeschustert“ kannst du dir schenken. Linux kommt schon lange in sorgfältig zusammengestellten und gepflegten so genannten Distributionen. Von der Klarheit der Software-Verwaltung unter L kann Windows nicht einmal träumen; bei macOS weiß ich es nicht.
Und weshalb sollte L ohne Sicherheitsupdates bleiben? L aktualisiert sämtliche Systemkomponenten und Programme (Apps) auf Wunsch vollautomatisch, und zwar sofort, sobald ein Update bereit steht (nicht nur einmal im Monat).

Auch wenn du versuchst, FUD zu verbreiten, bleibt Linux um Größenordnungen sicherer auch als macOS, als Windows sowieso.
Betrachten wir es mal rein phänomenologisch. Welche Rechner sind am stärksten Angriffen von außen ausgesetzt? Die, deren Job es gerade ist, Anfragen von außen zu beantworten, nämlich Webserver (egal ob Internetseite, Webshop, Datenbank, Cloud, wasweißich). Weshalb, glaubst du, läuft weltweit der Löwenanteil dieser Server unter Linux oder einem anderen Unix-Derivat (xBSD)?
In diesem Bereich, in dem Sicherheit die oberste Priorität hat, würden die Mehrkosten für Apple keine Rolle spielen - wenn es denn sicherer wäre als Linux. Ist es aber nicht.
Hinzu kommen bei einem proprietären Produkt aus den USA Bedenken, dass Hintertüren für staatliche Dienste enthalten sein könnten. Dass solche Bedenken nicht aus der Luft gegriffen sind, hat zuletzt das Beispiel der Zero-Day „Sicherheitslücke“ in iMessage gezeigt, die Pegasus als Eintritt in die Zielgeräte diente.

Über all’ das ist an anderen Orten schon kompetent berichtet und diskutiert worden, deshalb höre ich hier auf. EOD.

@Universalgelehrt

  1. Ich verbreite kein FUD
  2. Den Vorwurf der Polemik gebe ich zurück!!!

:vulcan_salute:t3: