Forum: PC Hard- und Software Wie stark virenverseucht sind Spammails?

Uhu Uhuhu (uhu) schrieb:

> Ich habe heute mal meinen Spam-Topf aus Thunderbird exportiert und mit
> clamav gescannt.

> Es waren knapp 38.000 Spammails, angekommen seit Anfang 2004 auf einem
> freenet-Account,

Du hast 38.000 Spammails auf der Festplatte? Da würde ich an deiner 
Stelle schnell den Mailaccount wechseln. Aber wer weiß wo du dich email 
mäßig so  herumtreibst .. :-)

> Tja mein Lieber, du siehst daß es manchmal nicht sooo simpel ist, wie du
> denkst...

Wieso? Mein Gedanke war doch im Grunde genommen ganz zutreffend ..

Zitat Uhu Uhuhu (uhu)

" Ich benutze den Account eigentlich nur, wenn irgendwo eine
EMailadresse gefordert wird, von der ich zwar eine Antwort erwarte, mir
aber nicht sicher bin, ob der Empfänger sie auch für sich behält."

Hallo Uhu Uhuhu,

ich kann Dir von unserer EDV sagen, dass auf unseren Mailservern einige 
zehntausend Spam-Mails pro Monat aufschlagen.
Vieles läuft bei den allgemeinen Accounts auf ('info@..., webmaster@...' 
, usw.).
Also was Du in 6 Jahren angehäuft hast, macht ein Unternehmen mit 50-100 
Mitarbeitern in einem Monat.

Was die Viren angeht, sind die Versuche, die ich mir angesehen habe 
ziemlich plump (*). Sie laufen oftmals darauf hinaus, dass man ein 
Dokument betrachten soll, das beispielsweise heißt: 
'irgendeinname.pdf.exe'.
(*) Ist aber nur ein Ausschnitt: Immer wenn ein Mitarbeiter über so 
etwas berichtet, sage ich, leite bitte mal weiter an mich.

Das waren allesamt Trojaner - Mit einem Hex-Editor betrachtet:
Einbindung der gängingen Windows-Dlls, inbes. der Sockets. Alternative 
Target-Domains (als Adresse, nicht als IP!) zum Übertragen von Daten / 
Nachladen, quer über die Welt verteilt. Ich habe nur sehr sehr kurz und 
grob in ein paar dieser Dinger reingeschaut (ist ja immerhin Arbeitszeit 
und reine Neugier von mir) - Prinzip immer gleich: Einbindung diverser 
I/O-Mechanismen, Einbindung der Winsocks und Angabe von alternativen 
Domains im Klartext.

Ich hatte mal 'ne recht stattliche Sammlung, die mir ein Scanner beim 
Anlegen eines Backups ohne Rückfrage gelöscht hat.

Ich denke, dass mit den plumpen Versuch wird sich in nächster Zeit 
ändern: Durch die Lücken im Adobe Reader-Plugin sind dumme Tricks wie 
'irgendeinname.pdf.exe' flüssiger als flüssig.

Ich hoffe, ich habe jetzt nicht so sehr schwadroniert,
ist ja nur ein Ausschnitt aus dem was ich von anderen Mitarbeitern auf 
den Tisch gekriegt habe.

Übrigens Uhu, da Du Linux-Benutzer bist: Wie schätzt Du die Gefahr durch 
Adobe Reader und Adobe Flash für Linux-Systeme ein?
Das Adobe die Linux-Implementierungen dieser Plugins vonimmt, ist ja 
nicht unbedingt ein Qualitätskriterium (um es mal vorsichtig 
auszudrücken).

Gruß,
Nils

> Adobe Flash hat wohl das größte Gefahrenpotential, aber da Linux von
> Unwissenden Usern eher selten benutzt wird, geben sich die
> Malware-Schreiber wenig Mühe ...
Ja - das wäre die Hoffnung.
Ich verdiene jetzt seit mehr als zehn Jahren mit der Entwicklung mit und 
um Adobe-Produkten mein Geld, kenne also auch die Reader- und 
Flash-File-Specs. Was Du sagst ist eine Hoffnung. Da ich aber Adobe 
kenne, hoffe ich mal, dass die Virenschreiber sich auf die 
Low-Level-Komponenten der PlugIns stürzen. Dann hast Du Recht.
Wenn auf den High-Level-Komponenten von Reader und Flash (erfolgreich) 
manipuliert wird, siehst es auch für Linux übel aus.

> Die Adobe Reader, die ich unter Linux benutze, sind nicht von Adobe.
Ich nehme an 'FoxIt'. Gibt es eine Flash-Alterntive (die auch 
funktioniert)?

> Adobe Flash hat wohl das größte Gefahrenpotential
Achja: Angeblich (steht irgendwo bei heise.de) ist die Statistik der 
Angriffe (auf Unternehmen) momentan:
- Browser-Sicherheitslüchen): Prozentual nicht mehr ausdrückbar
- Flash-Plugin: 20 %
- Reader-Plugin: 80 %

> Ich setzte jedenfalls auf Artenvielfalt. Diese Windows-Inzucht ist das
> Gegenteil davon.

Dämliche übertriebene Panik. Im Gegensatz zu dir habe ich mit Windows 
erstens so gut wie keine Spam Mails, zweitens Flash und drittens 
Online-Banking seit Jahren. Achja inkl. An- und Verkauf via Bucht 
(regelmäßig seit langer Zeit).

Uhu Uhuhu (uhu) schrieb:

> Ich hoffe, du überläßt mir die Entscheidung, welche Sicherheitsmaßnahmen
> ich treffe.

Bei deiner Paranoia ist das sicher besser so.

> Deine rüpelhaften Kommentare kannst du dir sparen. Die bringen weder
> Spaß, noch Erkenntnisse.

Uhu wie man ihn kennt ...

Dass Du es nicht merkst beweist nicht, dass sie nicht hinter Dir her 
sind...

Gast

> Dass Du es nicht merkst beweist nicht, dass sie nicht hinter Dir her
> sind...

Köstlich. :) Die Standard 0815-Antwort der Paranoiker ...

> Nein, es ist der Gnome Document Viewer
Ah, danke für die Info.

> Was können die Brüder eigentlich mit Flash anstellen, um das System zu
> kompromittieren, ohne direkt auf Linux zu zielen?
Das ist eben die Frage. Wenn Du Dir Produkte wie Adobe Director (ehemals 
Macromedia Director) ansiehst, sind I/O-Zugriffe auf Plugin-Ebene 
(Shockwabe-Plugin) nicht erlaubt (bis auf 'Preferences' was den Cookies 
eines Browsers entspricht).
Das Konzept des Zugriffs ist klar definiert - Bugs sind lediglich auf 
der schwer zu beherrschenden Buffer-Overflow-Ebene bekannt.

Bei Flash und Reader ist die Situation anders:
Die Filespecs für beide Formate sind offengelegt - klar - die File-Specs 
- für die Plugins nicht.

Ein erklärtes Sicherheitskonzept konnte ich bisher nicht nachlesen 
(vielleicht bin ich auch blind ?). Aktuelle Security-Infos auf den 
Adobe-Seiten ??? Find ich nicht - ist selbst bei Microsoft üblich.

So - alle paar Monate kommen bei Flash und Reader Erweiterungen dazu, 
die I/Os betreffen: Einbindung (teilweise lokaler!) Medien xyz, 
JavaScript-Erweiterungen, 3D-Zeugs, Flash in Reader, ...

Greift das Sicherheitskonzept von Linux soweit, dass diese Eingriffe 
unterbunden werden?
Das Windows-Konzept tut es erwiesenermaßen nicht, was die hohe 
Updatedatefrequenz dieser Plugins innerhalb der letzten Wochen erkennen 
lässt.

... hätte mich in den letzten Jahren nie erlebt so etwas zu schreiben - 
nun ist auch das Real.

--

> Bei deiner Paranoia ist das sicher besser so.
Jepp, dann entwickle mal Software auf dieser Basis für große Unternehmen 
(und ich meine große Unternehmen).
Wenn Du dann die Verantwortung auch für sicherheitsrelevante Belange 
trägst, werden Dir solch süffisante Kommentare nicht so leicht von der 
Zunge gehen.

--

Was das Thema Paranoia angeht:
Vor ein paar Jahren, in meiner Bank, bei einem Gespräch mit einer 
Beraterin:
Beraterin: 'Zusätzlich haben Sie die Möglichkeit unser Online-Banking zu 
benutzen.'
Ich: 'Das möchte ich nicht.'
Beraterin: 'Warum?'
Ich: 'Aus Sicherheitsgründen.'
Beraterin: 'Oh, ich kann Ihnen versichern, dass unsere Systeme absolut 
sicher sind.'
Ich: 'Das glaube ich Ihnen. Aber woher wissen Sie eigentlich, dass mein 
Rechner sicher ist?'

Nie werde ich diesen panischen Blick bei der Beraterin vorgesessen, 
nachdem ich das sagte.
Ihre Reaktion nach einem kurzen Timeout: 'Ok, sie möchten also kein 
Online-Banking.'
Ich: 'Genau.'

--

> Jepp, dann entwickle mal Software auf dieser Basis für große Unternehmen
> (und ich meine große Unternehmen).
> Wenn Du dann die Verantwortung auch für sicherheitsrelevante Belange
> trägst, werden Dir solch süffisante Kommentare nicht so leicht von der
> Zunge gehen.

Das interessiert mich nicht. Ich habe von mir persönlich gesprochen und 
sonst nichts.


> Was das Thema Paranoia angeht: ...
> Ihre Reaktion nach einem kurzen Timeout: 'Ok, sie möchten also kein
> Online-Banking.'
> Ich: 'Genau.'

Wenn ich wie Uhu 38.000 Spam Mails hätte mitsamt der sonst üblichen 
Angst vor allem Möglichen was mit Bundesregierung etc. zu tun hat würde 
ich vielleicht auch besser die Finger davon lassen. Darum nochmal, ich 
habe so gut wie keine Spam Mails trotz vieler Mailkontakte und ich 
betreibe Online-Banking SEIT VIELEN JAHREN. Das ist die sicherste Art 
der Kontenkontrolle, da ich TÄGLICH mein Konto überprüfe. Das schafft 
man nicht durch Vorbeischauen in der Filiale (schon nicht aus 
Bequemlichkeit ;)). Das einzige was mich dann und wann ein wenig nervös 
macht sind fremde Geldautomaten, die mir die Pin per versteckter Kamera 
ausspähen könnten. Davon geht eine ungleich größere Gefahr aus als vom 
Online-Banking von zuhause. Im übrigen habe ich meinen Recher erst 
jüngst nach Wechsel zu W7 komplett neu aufgesetzt und zum 
Sicherheitscheck gibt es ausreichend Mittel.

Achso noch was, ich kenne genügend die Angst vorm Online-Banking haben 
(meist ältere Semester ;)). Sie haben alle ein gemeinsames Kennzeichen 
und das ist Berührungsangst mit der Technik. Heutzutage haben sie alle 
eigene Rechner. Vor ein paar Jahren hatten sie selbst noch alle Angst 
vor dem Internet (das "böse" anonyme Netz mit den vielen "Hackern" ;)). 
Diesen Leuten fehlt schlicht das richtige "Gefühl" für ihren Rechner zu 
entwickeln (wann ist etwas unsicher; was sollte ich besser nicht machen; 
warum sollten Dateiendungen sichtbar sein etc.). Sie geben auch nicht 
gerne Passwörter ein, sondern lassen das lieber den Browser ausführen 
usw. usw.

Übrigens die wahren Schuldenfallen beim Online-Zeugs sind viel eher 
Handy und Konsorten (Gebührendschungel; Kreditverträge) oder Abzocke an 
der Haustüre durch Drücker oder sogar Abo-Fallen auf Webseiten oder 
Töchterchen's Musikdownload bei der Tauschbörse ...

>Das interessiert mich nicht.

Das ist nun schon wieder ziemlich arrogant, besonders wenn man bedenkt:

>Ich habe von mir persönlich gesprochen und sonst nichts.

dass das ueberhaupt nicht die Frage oder das Thema des Threads war. 
Warum musstest Du gleich Deine Win$-Weisheiten hier anbringen?

Gast

Uhu Uhuhu schrieb:
> Ich habe heute mal meinen Spam-Topf aus Thunderbird exportiert und mit
> clamav gescannt.
>
> Es waren knapp 38.000 Spammails, angekommen seit Anfang 2004 auf einem
> freenet-Account,
>
> Von den 38.000 Mails wurden gut 1500 vom Scanner als verdächtig moniert.
> Viele der Meldungen beziehen sich aber nicht auf Viren, oder Trojaner,
> sondern auf Mails, die auf irgendwelche Phishing-Sites lock(t)en.

Spam und Würmer sind an sich auch zwei verschiedene Dinge.

Uhu Uhuhu schrieb:
> Nils schrieb:
>> Ich nehme an 'FoxIt'.
>
> Nein, es ist der Gnome Document Viewer (ein ziemlich minimalistisches
> Teil) und Okular aus der KDE-Ecke. Das ist sehr komfortabel.

Ich benutze eigentlich ausschließlich Okular (bzw. auf einem 
Kubuntu-8.0.4-System KPDF). Das scheint auch keinen eingebetteten 
Javascript-Code auszuführen.

> Was können die Brüder eigentlich mit Flash anstellen, um das System zu
> kompromittieren, ohne direkt auf Linux zu zielen? (Daß sie den Browser
> übernehmen können, ist klar, aber wenn man Internetbanking,
> Bucht-shoppen u.a. mit einem frisch gestarteten Browser in einer VM
> macht, die jedesmal auf einen Snapshot zurückgesetzt wird, dann müßten
> das schon hochspezialisierte Attacken sein, die da Erfolge erzielen -
> das machen sie nicht, so lange es noch genug einfache Opfer gibt.)

Ich finde es etwas schade, daß die Linux-Distros nicht schon eine 
einfache Möglichkeit bieten, den Browser automatisiert so einzurichten, 
daß er unter einem separaten Benutzer-Account ausgeführt wird, der nur 
auf das allernötigste Zugriff hat. Das würde auch schon mal viel helfen, 
da viele der Attacken doch auf die Dateien beschränkt sind, auf die der 
Benutzer zugreifen kann.

... schrieb:
> Dämliche übertriebene Panik. Im Gegensatz zu dir habe ich mit Windows
> erstens so gut wie keine Spam Mails, zweitens Flash und drittens
> Online-Banking seit Jahren. Achja inkl. An- und Verkauf via Bucht
> (regelmäßig seit langer Zeit).

Und was hat das mit Windows zu tun?

Rolf Magnus (Gast) wrote:

> Und was hat das mit Windows zu tun?

Das bezog sich auf eine Äußerung von Uhu die du hier aus dem 
Zusammenhang gerissen hast nämlich

"Ich setzte jedenfalls auf Artenvielfalt. Diese Windows-Inzucht ist das
 Gegenteil davon."

Aber im Prinzip hat Uhu dazu den passenden Kommentar selber geliefert 
mit

"Ich glaube nicht, daß das Linux-Sicherheitskonzept besser ist, als das
von Windows Vista und Nachfolger."

Uhu Uhuhu (uhu) schrieb

> Was in meinen Augen für Linux spricht ist - und was hier gewisse Motzer
> nicht kapieren -, ist die banale Erkenntnis, daß auch Malware nicht von
> alleine funktioniert, sondern noch mehr, als reguläre Programme auf das
> Zielsystem angepaßt sein müssen und daß Linux-Workstations für die
> Angreifer ziemlich uninteressant sind. Das ist, was ich mit
> "Artenvielfalt" meine.

Gegen Artenvielfalt habe ich nichts einzuwenden, ganz im Gegenteil. Gibt 
ja schließlich auch noch Apple usw. und zum "Motzer" sage ich folgendes, 
Linux ist in Bezug auf Schädlinge hauptsächlich deshalb weniger anfällig 
weil sich die ganzen Hassorgien der Labertaschen-Skriptkiddies auf MS 
konzentrieren. Warum aber ist das so? Der Grund ist banal, Windows 
kostet etwas und das passt der ich-will-alles-umsonst-Geiz-ist-Geil 
Generation nicht. Wäre Windows Freeware würde keine Sau dafür 
nennenswert Schadsoftware schreiben. Da ich dieses dumme Gehabe seit 
Jahren satt und leid bin zahle ich gerne für ein lizenziertes Windows 7 
und leiste mir dieses kleinen Luxus trotz aller finanziellen 
Einschränkungen, die jeder als Bürde so mit sich herum schleppt.

> Linux ist in Bezug auf Schädlinge hauptsächlich deshalb weniger anfällig
> weil sich die ganzen Hassorgien der Labertaschen-Skriptkiddies auf MS
> konzentrieren.

Ich glaub du verkennst wer Phishing betreibt. Das sind v.a. gut 
ausgebildete Informatiker in Ländern in denen man nur schwierig einen 
Job bekommt, und wenn dann nur einen schlecht bezahlten.
Die Skript-Kiddies die sich ein Ping-of-death-Skript besorgen und damit 
die Lehrer im Compi-Raum der Schule nerven gibt es nur noch in 
Erzählungen von der guten alten Zeit. Malware ist ein Geschäft geworden. 
Das wird nicht mehr wegen dem Nerd-Ruhm geschrieben sondern aus 
kommerziellen Erwägungen heraus. Deswegen gilt da eine genaue 
Kosten-Nutzen-Abwägung die dazu führt dass es Malware z.Z. nur für Win 
gibt. Wenn Apple mit dem Marktanteil weiter aufholt dürften die bald 
auch in das Fadenkreuz geraten. Ich glaube nicht dass das System 
sicherer ist. Und DAUs gibts bei Apple genauso wie bei Win.

> Warum aber ist das so? Der Grund ist banal, Windows
> kostet etwas und das passt der ich-will-alles-umsonst-Geiz-ist-Geil
> Generation nicht.

Das traue ich mich mal als eindeutige Fehldiagnose zu bezeichnen.

Randy

> Das traue ich mich mal als eindeutige Fehldiagnose zu bezeichnen.

Na dann trau dich halt mal. Ist aber oft genug durch entsprechende 
Forenkommentare belegt (übrigens auch hier im Forum).

> Malware ist ein Geschäft geworden.

Klar, die kommen halt noch hinzu.

> Wenn Apple mit dem Marktanteil weiter aufholt dürften die bald
> auch in das Fadenkreuz geraten. Ich glaube nicht dass das System
> sicherer ist. Und DAUs gibts bei Apple genauso wie bei Win.

Deswegen sollten die Linux Jünger doch eigentlich froh sein, dass ihr 
Marktanteil vergleichsweise gering ist und vor allem bleibt. ;)

>Offensichtlich gibt es Regionen in denen die ...einfach wegsehen.
WEGsehen glaub ich weniger.
-Manche Software kostet Geld. Ob alle das ausgeben möchten?
-Nicht jeder Virenscanner findet alle Viren, die ANDERE finden...
-Nicht jeder sucht mit der gleichen Strategie. Bei web.de z.B. waren die 
Filter mal so fleißig, daß auch richtige Mails nicht ankamen.

Die Klassifizierung klingt zwar schön,
nützt aber wenig, wenn z.B. ein Virus Adressen aus Deinem Adressbuch 
mißbraucht (gabs schon). Dann bekamen all die Freunde aus dem Adressbuch 
Post von BEKANNTEN Absendern.

Ich hatte bei meinem Linux noch nie irgendwelche Viren.