Ein Trick gegen Drive-By-Viren

Nun also auch ich ein beklagenswertes Virusopfer! Man hatte zwar davon gehört, aber ich hatte noch niemals, niemals einen Virus auf meinem Rechner, seit den Anfangszeiten, da ich ja niemals, niemals ausführbare Dateien starte vor einem Check.

Aber ein neuer Infektionskanal nimmt immer mehr Überhand: das Ausnutzen von Programmierfehlern in Webbrowsern und deren Plugins, durch das ausführbarer Schadcode ohne jede bewusste Aktion des Surfers aus dem  Gehege des virologischen Gartens in die bewohnten Zonen der privaten Computerortschaft gelangt und dort die schutzlosen Bewohner angreift.

In diesem speziellen Fall war das Virus, der Wurm, Trojaner, Backdoor oder wie das Viehzeugs auch immer korrekt heißen müsste so neu, dass mein Avira ihn noch nicht kannte.

virustotal.com ist die Website, wenn man eine fragwürdige Datei testen möchte. Man lädt sie hoch und erhält das Prüfergebnis sehr vieler Schutzprogramme – mehr Information kann man nicht bekommen.

In meinem Fall konnte ich beobachten, wie sich die Information auf die verschiedenen Programme ausbreitete: Anfangs kannten ihn von ca. 40 Antivirenprogrammen nur zwei, eines davon Microsoft Security Essentials. Einen Tag später waren es dann vielleicht die Hälfte.

Immerhin eines hatte ich richtig gemacht: Auf meinem XP Pro, auch wenn das bei der Installation und dem Update von Programmen einige Mehrarbeit macht, nicht mit Administratorrechten zu arbeiten. Heutzutage ein absolutes NoNo! Dadurch konnte sich das kleine Monster nicht in die Tiefen des Systems einfressen und ich hatte mit dem Administratoraccount eine bequeme Möglichkeit, die Desinfizierung zu bewerkstelligen.

Firefox und Skype sind hier übrigens beispielhaft mies, denn sie lassen einen die Updatedateien runterladen und entpacken um einem dann mitzuteilen: Ätsch, du musst Adminstratorrechte haben. FileZilla macht es richtig: Es verlangt einfach am Anfang das Administratorpasswort und alles flutscht.

Ich bin noch einmal mit dem blauen Auge davongekommen: Meine Dateien sind noch alle da, bis auf den kompletten Desktop mit Bildschirmhintergrund und vielen Links im Startmenü und der Schnellstartleiste. Fast alle Verzeichnisse, über die ich als normaler Benutzer Rechte habe, sind mit dem “versteckt”-Attribut versehen worden, was mir keinen geringen Schrecken eingejagt hat. Hätten auch gelöscht werden können!!! Zwei über-Nacht-Komplettvirenscans und ein paar Stunden Reparaturarbeiten, das wars.

Es stellte sich die Frage: Wie weiter? Kurz entschlossen kaufte ich die Bezahlversion von Avira, weil die einen Drive-By-Schutz verspricht, nur um nach einiger Recherche bei av-test.org zu lesen, dass Bitdefender und F-Secure noch bessere Erkennungs- und im ersten Fall auch Reparatur-Fähigkeiten hat. Nun gut.

Dann fiel mir ein hübscher Trick ein, um den bösen Drive-By-Viren ein Schnippchen zu schlagen. Und der geht so: Du startest den Browser nicht als der Benutzer, der du bist, sondern als ein anderer! Bei XP: rechte Maustaste aufs Browsersymbol, “ausführen als”, “folgender Benutzer” checken, ins Feld “Gast” eintragen. Man kann aber auch einen anderen Benutzernamen nehmen, den man vorher eingerichtet hat. Dann muss man nur noch per Rechtevergabe dafür sorgen, dass “Gast” keine Schreibrechte auf Daten hat, wo er nicht hinsoll, und der normale Benutzer Rechte auf dem Datenbereich von “Gast” bekommt. Und fertig. Soll sie doch kommen die Infektion. Dann lösche ich einfach das ganze Konto und mache ein neues. Punkt.

Noch komfortabler ist, den Link in der Schnellstartleiste zu modifizieren, so dass der Browser mit den Rechten des anderen Kontos startet. Hierzu geht man mit der rechten Maustaste auf die Verknüpfung, klickt “Eigenschaften” und geht dann in das Textfeld “Ziel”. Hier fügt man ein:

C:\WINDOWS\system32\runas.exe /user:Gast "C:\Programme\Mozilla Firefox\firefox.exe"

– das muss natürlich bei einem anderen Browser oder einem anderen gewünschten Benutzerkonto entsprechend verändert werden. Wenn man dann darauf klickt, öffnet sich ein schwarzes Kommandozeilenfenster und verlangt das Passwort für den anderen Benutzer – in meinem Fall einfach “Return” – und Schwupps hat man den Browser mit eingeschränkten Rechten laufen.

Es ist auch möglich, den zusätzlichen Tastendruck zur Passworteingabe zu sparen und den Browser direkt im andern Benutzerkonto zu starten. Hierzu kann man das kleine Kommandozeilenprogramm “runasspc.exe” verwenden, das man hier runterladen kann. Man entpackt es in ein Verzeichnis der Wahl und benutzt es in obigem Kommando analog zu folgender Zeile:

C:\Programme\RunasSpc\runasspc.exe /user:"Gast" /password:"Gast" /program:"C:\Programme\Mozilla Firefox\firefox.exe" /quiet

Man beachte, dass man hier das Passwort nicht leer lassen darf, sondern dem Benutzer “Gast” (oder wem auch immer) ein Passwort zuweisen muss, das dann in der Zeile auftaucht.

Durch dieses Manöver hat sich das Symbol für den Link in ein hässliches Kästchen geändert. Um es wieder hübsch aussehen zu lassen, muss man in folgendes Verzeichnis gehen:

C:\Dokumente und Einstellungen\BENUTZERNAMEN\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch

Dort rechte Maustaste auf den Listeneintrag für den Browser, “Anderes Symbol”, dann ins Browserverzeichnis gehen, z.B. c:\Programme\Mozilla Firefox\ und dort Firefox.exe anklicken. Dann übernimmt er den roten Fuchs.

P.S.: Der Vollständigkeit halber möchte ich erwähnen, dass es nicht völlig unmöglich ist, dass ein Virus die Benutzerrechtegrenze überwindet – soll aber selten sein. Also wir reden hier über Wahrscheinlichkeiten.

Ein Gedanke zu “Ein Trick gegen Drive-By-Viren

  1. Hi, ein guter Artikel zum Thema „Ein Trick gegen Drive-By-Viren“ Auch ich hätte nie gedacht einmal ein Opfer von einem Virus zu werden. Aber dann hatte ich das Vergnügen. Dank deinen Trick konnte ich mir selber helfen. Danke

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s