Technologie

FAQ zum Malware-Angriff auf Yahoo-Nutzer: Erste Hilfe für den (möglichen) Ernstfall

Fast genau ein Jahr ist es nun her, seit Michael bewusst provokativ zum fröhlichen Java-Abschuss aufgerufen hat. Einige von euch sind in den Kommentaren durchaus kritisch mit ihm ins Gericht gegangen, andere haben darauf verwiesen, nicht auf das Java Runtime Environment (JRE) verzichten zu können. Leider sind die damals von Michael vorgebrachten Argumente weiterhin hochaktuell.

Yahoo

Hundertausende Yahoo-Nutzer im Visier

Diejenigen unter euch, die ihre E-Mails bei Yahoo lagern, haben es wahrscheinlich bereits mitbekommen: Der Dienst und seine Nutzer wurden in den letzten Tagen zum Opfer einer Malware-Attacke. Unbekannten ist es dabei gelungen, präparierte Werbeanzeigen auf yahoo.com zu platzieren und Malware zu verteilen. Dabei genügte es schlimmstenfalls, einfach die Yahoo-Homepage im Browser aufzurufen, um sich zu infizieren – eine klassische Drive-by-Variante also.

Tragende Rollen spielten in diesen Fällen allerdings – ihr ahnt es sicher schon – eine (nicht aktuelle) Java-Version und daraus resultierende Sicherheitslücken. Selbst die neuste Ausgabe Java 7 Update 45 soll Berichten zufolge keinen vollständigen Schutz vor der Attacke geboten haben, jedoch musste der Nutzer hier offenbar zunächst auf die präparierte Werbeanzeige klicken. Das macht die Sache zwar nicht ganz so gefährlich, aber nicht wirklich besser.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Aufgedeckt hat den Angriff das niederländische Unternehmen Fox-IT. Demnach wurden vermutlich zehntausende europäische Besucher von yahoo.com automatisch auf bestimmte Subdomains geleitet, auf denen ein spezielles Exploit-Kit zum Einsatz kam. Dieses klopfte den Rechner auf Schwachstellen ab – und installierte gegebenenfalls eben Malware. Laut Fox-IT liegen sämtliche dieser Domains auf einem Server in den Niederlanden. Die ausgegebene Schadsoftware umfasst einige fiese Gesellen. Explizit genannt werden die Backdoor-Trojaner ZeuS/ZBot und Andromeda, der Wurm Dorkbot/Ngrbot sowie Tinba/Zusy und Necurs.

Deutsche Nutzer angeblich nur am Rande betroffen

Die meisten Infektionen gab es offenbar in Rumänien, Frankreich und Großbritannien; Fox-IT schätzt, dass sich jede Stunde (!) durchschnittlich 27.000 Nutzer unbemerkt Malware eingefangen haben könnten. Warum sich die Attacken in bestimmten Ländern stärker auswirkten, ist noch unklar. Deutsche Nutzer sollen zwar nur in geringem Maße betroffen sein, Vorsicht ist dennoch geboten. Denn Yahoo verwendet für einzelne Länder zwar eigene Domains, leitet diese aber auf Subdomains (etwa .de.yahoo.com) weiter. Man gelangt so auch bei Eingabe von yahoo.de stets auf die zentrale .com-Homepage.

Falls ihr also eure Mails zwischen dem 30. Dezember und 3. Januar über die Yahoo-Homepage abgerufen habt, besteht zumindest die Möglichkeit. Und nun? Woher weiß ich, ob mein System infiziert ist? Und was mache ich dann? Wie kann ich mich schützen? Das alles habe ich mich auch gefragt – Infos dazu sind aber leider noch rar. Von Yahoo ist bisher noch nicht viel zu hören. Auf Nachfrage erhielten wir lediglich das offizielle Statement übermittelt:

At Yahoo, we take the safety and privacy of our users seriously. From December 31 to January 3 on our European sites, we served some advertisements that did not meet our editorial guidelines — specifically, they spread malware. On January 3, we removed these advertisements from our European sites. Users in North America, Asia Pacific and Latin America were not served these advertisements and were not affected. Additionally, users using Macs and mobile devices were not affected.

We will continue to monitor and block any advertisements being used for this activity.

Mac- und Mobil-Nutzer sind also offenbar auf der sicheren Seite. Dazu gab uns Yahoo noch den Hinweis, dass weitere Informationen auf einer Hilfeseite zu finden seien. Bisher ist dort allerdings noch nicht viel zu sehen. Tragen wir also die Fakten einmal selbst zusammen. Die beste Übersicht bietet dabei wohl eine kleine FAQ. Falls ihr selbst noch Infos habt, freuen wir uns über hilfreiche Kommentare und Hinweise.


1. Wie kann ich feststellen, ob mein Rechner infiziert wurde?

Einen ersten Anhaltspunkt hierzu bietet natürlich erst einmal die Beantwortung der Frage, ob ihr Windows verwendet und ob dort überhaupt Java installiert ist. Dazu genügt unter Windows ein Blick in die Systemsteuerung sowie in den Punkt „Programme und Funktionen“. Alternativ ist die Prüfung auch online möglich. Dabei erfährt man auch, ob die aktuellste Java-Version 7 Update 45 vorhanden ist. Stellt ihr nun fest, dass eine alte Version ihr Unwesen treibt ihren Dienst tut, steigen eure Chancen, ungebetene Gäste zu haben.

Nun solltet ihr zunächst Java updaten, am besten über das Control Panel in der Systemsteuerung, und dann auf Malware-Jagd gehen. Am besten geht das mit einer kostenlosen Live-CD. Hilfreich sind auch Gratis-Tools wie Malwarebytes, EU-Cleaner oder Spybot. Parallel dazu kann auch der Einsatz eines Online-Scanners nicht schaden. Im besten Fall wird die Malware durch diese Maßnahmen bereits entfernt.


2. Wie lässt sich mögliche Schadsoftware am besten entfernen?

Um tiefer verankerte Malware einigermaßen zuverlässig zu finden und zu löschen, sollte stets außerhalb des Betriebssystems gearbeitet werden. Eben mit der bereits erwähnten Live-CD. Innerhalb von Windows ausgeführte Tools können aber einen ersten Anhaltspunkt liefern.

Finden diese ebenfalls zahlreiche Infektionen, ist es um das System ohnehin schlecht bestellt. In diesem Fall sollte auch über eine Neuinstallation mit anschließender Absicherung etwa über eingeschränkte Nutzerkonten zum Surfen nachgedacht werden. Und natürlich ist eine aktuelle Anti-Viren-Software zu empfehlen, notfalls auch eine Gratis-Variante.


3. Wie kann man sich vor derartigen Angriffen schützen?

Der beste Schutz ist natürlich, kein Java zu nutzen. Allerdings benötigen einige Anwendungen die Laufzeitumgebung. Eine Deinstallation ist daher nicht immer eine Option – hier heißt es im Zweifel ausprobieren beziehungsweise auf Tools und Dienste umsteigen, die kein Java voraussetzen. Geht es nicht ohne, muss zumindest auf die jeweils aktuellste Version geachtet werden. Leider macht es Java-Mutterhaus Oracle ein wenig kompliziert. Während sich andere Programme im Hintergrund aktualisieren, wird das neuste Java-Update mit Standardeinstellungen zwar automatisch heruntergeladen, aber eben leider nicht installiert.

Hier ploppt lediglich ein Hinweis in der Taskleiste auf, den man leicht übersehen oder ignorieren kann. Selbst schuld? Ja, vielleicht. Dennoch darf man sich fragen, warum das nicht vollständig automatisiert geht. Jedenfalls: Nur, wenn ihr die Installation manuell bestätigt, findet das Java-Update den Weg auf den Windows-Rechner. Zu allem Übel versucht das Installationspaket dabei immer wieder auf’s Neue, die absolut unnütze Ask-Toolbar mitzuliefern. Nervig. Also Augen auf.

Generell kann darüber hinaus zumindest das Java-Plugin im Browser separat deaktiviert werden. Weiteren Schutz vor manipulierten Anzeigen bietet natürlich ein Ad-Blocker wie AdBlock oder das im letzten Jahr in die Negativschlagzeilen geratene AdBlock Plus. Beide Versionen bieten in den Optionen außerdem die Möglichkeit, Malware-Filter zu setzen. Und wie üblich sei hier als Basisausstattung noch ein aktueller Virenscanner empfohlen sowie ein spezielles Nutzerkonto mit eingeschränkten Rechten zum Surfen.


Wie gesagt, unser kleiner Überblick erhebt keinen Anspruch auf Vollständigkeit und soll eine erste Orientierung bieten. Falls wichtige Punkte fehlen, tragen wir diese gern nach.

Logo: Yahoo

Über den Autor

Christian Wolf

Christian Wolf wird am Telefon oft mit "Wulff" angesprochen, obwohl er niemals Bundespräsident war und rast gerne mit seinem Fahrrad durch Köln. Er hat von 2011 bis 2014 für BASIC thinking geschrieben.