Vorsicht beim Online Banking - MBR Wurm

Symantec gab nun eine Warnung vor einer neuen Art von Wurm heraus, die besonders für Online Banking Kunden gefährlich ist. Der noch unbenannte Wurm verbreitet sich über von ihm infizierte und vom User angesurfte Webseiten per Drive-by und nistet sich mittels überschreiben in den Master Boot Record (MBR) des Systems ein.

Da er somit beim Starten des Systems Informationen lädt kann er durch Antivirenprogramme während des laufenden Systems auch nur sehr schwer entdeckt werden - auch weil er sich intelligenterweise in einen verborgenen Teil der MBRs schreibt.

Sollte er dennoch aufgespürt werden, wird er beim nächsten Start einfach erneut geladen – jedoch kann man ihm mit dem Befehl fixmbr in der Konsole beikommen oder indem man im BIOS präventiv den Schreibzugriff auf den MBR sperrt. Gefährdet sind alle Windows XP, Windows Vista, Windows Server 2003 und ungepatchte Windows 2000 Systeme.

Von dem Wurm an sich geht übrigens keine Gefahr aus, jedoch von der Malware die er nachlädt und die einen User beim Online Banking ausspät.

Ist da schon ein Programm bekannt mit dem man sein System auf den Wurm bzw. den Müll den er nachlädt testen kann?
Nutze selbst Onlinebanking und keinen Bock das die das Sperren (mein Bruder sein Konto wurde wegen eines Trojaners o.ä. auf seinem Rechner automatisch fürs Onlinebanking gesperrt teilweise).
Zum Glück könnte so einer mit meinen Kontodaten aber wahrscheinlich sowieso nicht viel anfangen da er ja nicht an TANs kommt. Und bei der Commerzbank gibts da sowieso noch ein paar kleiner Sicherheitsebenen über die man sowas zu verhindern weiß.

Sollte er dennoch aufgespürt werden, wird er beim nächsten Start einfach erneut geladen – jedoch kann man ihm mit dem Befehl fixmbr in der Konsole beikommen oder indem man im BIOS präventiv den Schreibzugriff auf den MBR sperrt. Gefährdet sind alle Windows XP, Windows Vista, Windows Server 2003 und ungepatchte Windows 2000 Systeme.

Und für die nicht so versierten Online Banking User kannst du das mal beschreiben wie man das macht und wo man das im Bios findet.

Liebe Grüße
Sorae

Also beim Eingeben des Befehls fixmbr kann ich euch helfen, beim anderen leider nicht, da mein BIOs eine solche Funktion überhaupt nicht besitzt.

Erstmal gixmbr ist dazu gedacht um den Master Boot Record neu zu schreiben, meistens keine große Sache, kann aber unter Umständen zu Problemen führen (mir hat es einmal den kompletten Master Boot Record zerschossen und ich konnte gar nicht mehr booten)

Zu diesem Befehl kommt man am besten über die Reperaturkonsole von der Windows XP CD. Diese legt man vor dem starten des PC's ins Laufwerk, damit davon gebootet werden kann. Ich gehe mal davon aus, dass das CD Laufwerk als erstes Boot Medium eingestellt ist.

Nach dem booten der CD wählt man das reparieren einer vorhandenen Windows Installation (meistens ausgelöst durch die Taste R)

Dann öffnet sich die Reperaturkonsole auch schon. Dort werden einem die vorhandenen Windowsinstallationen angezeigt, und man wählt durch Drücken einer Zahlentaste und einem Bestätigen mit Enter die richtige aus.
Sollte ein Passwort vergebn sein wird nun danach gefragt.

Danach gibt man fixmbr an und bestätigt die Meldung die erscheint. Es dauert einen kurzen Moment und der Master Boot Record wurde neu geschrieben. Dann beendet man die Konsole mit exit und fertig ist das Ganze.

Wie gesagt die ganze Operation ist nicht ganz unbedenklich, darum sollte man es eigentlich nur beim akuten Verdacht durchführen.

MFG Murgi

fixmbr lässt sich wie gesagt noch leichter ausführen indem man nur die Konsole aufruft, heißt:

Start \ Ausführen \ "command"

und dann fixmbr eingeben.

Im BIOS gibt es eine Option, die MBR Protect, Write Protect oder ähnlich heißt und die man entweder auf Enabled oder Disabled setzen kann. Trotzdem sollte man wenn man nicht weiß was damit gemeint ist, erst einmal nachfragen, da es hier nicht immer eindeutig ist, was gemeint ist.

Oh Entschuldigung, dass man fixmbr auch aus der ganz normalen Konsole aufrufen kann war mir nicht klar, ich habe das bis jetzt immer von der Windows CD ausgemacht oder von einer meiner Linux Distributionen.

fixmbr lässt sich wie gesagt noch leichter ausführen indem man nur die Konsole aufruft, heißt:

Start \ Ausführen \ "command"

und dann fixmbr eingeben.

Also das mit dem command ist mir auch noch klar gewesen, aber das fixmbr geht bei mir nicht. Kommt immer nur "falsch geschrieben oder konnte nicht gefunden werden". Scheint sich also schon mal zu unterscheiden ...

Ob ich das inzwischen hab oder nicht kann ich nicht sagen, deswegen benutze ich mein Online Banking aktuell nicht.

Liebe Grüße
Sorae

Wenn es so nicht geht, nutze die Wiederherstellungskonsole und den von Murgi beschrieben Weg - nicht jeder hat so ein zusammengemoddetes System wie Subbotnik, was sowas obsolet macht .

fixmbr lässt sich wie gesagt noch leichter ausführen indem man nur die Konsole aufruft, heißt:

Start \ Ausführen \ "command"

und dann fixmbr eingeben.

Im BIOS gibt es eine Option, die MBR Protect, Write Protect oder ähnlich heißt und die man entweder auf Enabled oder Disabled setzen kann. Trotzdem sollte man wenn man nicht weiß was damit gemeint ist, erst einmal nachfragen, da es hier nicht immer eindeutig ist, was gemeint ist.

Schönen Tag zusammen!

Du solltest jedoch beachten, dass die meisten User sich fertige Rechner kaufen, wo deren BIOS beschnitten ist. Mit Beschnitten meine ich, dass die wichtigsten Funktionen GESPERRT sind, somit auch keinen Zugang haben.

Ich habe letztens einen Bericht darüber gelesen, dass in letzter Zeit die gängigen Tricks die gesperrten Funktionen / Menüpunkte freizuschalten nicht mehr funktionieren, da das natürlich nicht im Interesse des Unternehmens ist. Dazu müsste man die BIOS-Version flashen, würde auch wieder Kenntnisse voraussetzen. Allerdings verbirgt sich da auch weder ein Problem, dass die BIOS Speichergröße genau auf die zurzeit lagernde geschnitten ist, sodass man nichts großartiges machen kann.

Habe ich letztens bei einem Freund gesehen, hat sich unwissend einen Medion-Rechner zugelegt, im BIOS ist absolut alles gesperrt, nur zu wenigen Dingen hat man Zugriff, freischalten funzt auch nicht, genauso wenig wie das Flashen, weil einfach zuwenig Speicher vorhanden ist.

Mit freundlichen Grüßen,
ofliii