Close

Not a member yet? Register now and get started.

lock and key

Sign in to your account.

Account Login

Forgot your password?

Was sind VicSocks?

Was sind VicSocks?
 

Immer öfter ist von dem Begriff VicSocks die Rede, doch was genau hat es damit auf sich? Der Begriff ist in der Underground-Economy entstanden und setzt sich aus den Wörtern victim und socket zusammen, wobei victim den Geschädigten bezeichnet und socket die Technik, die dabei zum Einsatz kommt.

Victim und Sockets

Um eine Verbindung zu einem entfernten Rechner im Netzwerk aufzubauen, ist ein Socket erforderlich. Ein Socket ist eine Schnittstelle, die bei Anforderung eines Programmes vom Betriebssystem zur Verfügung gestellt wird. Über diese Schnittstelle können Daten zwischen mehreren Computern ausgetauscht werden. Sockets sind die Grundelemente für die Kommunikation in internen Netzwerken und dem Internet. Besonders Malware ist darauf ausgelegt Sockets zu öffnen, um unerlaubten Zugriff zu dem System zu ermöglichen. Nach diesem Prinzip funktionieren VicSocks. Ein kleines Programm öffnen ein Socket, so dass sich eine fremde Person mit dem victim verbinden kann. Die eingehenden Socket-Verbindungen werden dann über den Gateway des Opfers weitergeleitet. Die Person kann nun mit der IP des Opfers im Internet surfen. Eine solche Anonymisierung wird dann häufig für kriminelle Zwecke ausgenutzt.

Wozu habe ich eine Firewall?

vicsocksEine Firewall dient dem Zweck, unerlaubte eingehende Verbindungen zu blockieren. Wie schafft es also ein anderer auf mein System zuzugreifen und dieses dann als Gateway zu nutzen? Eine Firewall erschwert es den Kriminellen eine direkte Verbindung zu dem Opfer aufzubauen. Handelsübliche Router haben bereits eine Firewall integriert und schützen das lokale Netzwerk. Das Opfer muss also zuerst eine Verbindung ins Internet aufbauen. Diese Aufgabe erledigt die Malware. Sie meldet sich an einem Command and Control Server (C&C Server) an, und signalisiert damit die Betriebsbereitschaft. Der Kriminelle greift sich diese Verbindung auf dem C&C Server ab und nutzt diese bestehende Verbindung, um durch den gleichen Port mit dem infizierten Rechner zu kommunizieren (blaue Pfeile). Somit wird nicht nur das Problem mit der Firewall, sondern auch mit dem NAT-Dienst des Routers gelöst. Um den Netzwerkverkehr nicht weiterhin über den C&C-Server abwickeln zu müssen, kann nun eine direkte Verbindung über den bereits offenen Port hergestellt werden (rote Pfeile).

Wie kommt die Software auf mein Rechner?

Damit eine Socket-Verbindung aufgebaut werden kann, muss ein Programm dem Betriebssystem dies mitteilen. Wer sein System stets aktualisiert, kann sich das Schadprogramm nur durch aktives Einwirken einfangen (per Download). Sehr oft werden E-Mails mit Links zu der Schadsoftware versendet. Läd der Benutzer die Software herunter und führt diese anschließend aus, ist es meist schon zu spät. Die Malware nistet sich so tief in das System ein, dass ein späteres Aufspüren und Entfernen fast unmöglich oder mit einem sehr großen Zeitaufwand verbunden ist.

Wie schütze ich mich gegen VicSocks?

Der Basisschutz gegen Malware im Allgemeinen und VicSocks im Speziellen ist ein aktuelles Betriebssystem, eine aktuelle Antivirensoftware, eine aktuelle Firewall und zu guter letzt gesunder Menschenverstand! Darüber hinaus sollten Sie unbedingt auf die folgenden Punkte achten:

  • Öffnen Sie keine Bilder, Videos oder Musik mit der Endung .exe. Dateien mit dieser Endung sind ausführbare Programme! Wenn Sie die Dateiendung nicht sehen, dann schalten Sie diese in den Systemeinstellungen ein!
  • Wenn Ihr Virenprogramm eine Warnung über eine Datei ausgibt, die Sie gerade heruntergerladen haben, dann löschen Sie diese sofort oder lassen Sie dies vom Antivirenprogramm erledigen. Gute Antivirenprogramme isolieren spätestens beim Ausführen die Schadsoftware um eine Infizierung des Systems zu verhindern.
  • Schauen Sie ab und zu mal in die Einstellungen Ihrer Firewall. Socket-Verbindungen müssen Ports öffnen, die durch Firewalls geblockt werden können. Deaktivieren Sie Ports, die Sie nicht benötigen. Googlen Sie zuvor nach den Portnummern, um nicht unbeabsichtigt wichtige Ports zu schließen, die vom System benötigt werden
  • Behalten Sie Ihren Netzwerkverkehr im Auge. Eine ständig ausgelastete Internetverbindung könnte ein Anzeichen dafür sein, dass ein ungebetener Gast Ihre Internetverbindung mitbenutzt.
  • Antworten Sie nicht auf unseriöse E-Mails und klicken Sie auf gar keinen Fall auf Links in diesen Mails

 Wenn (fast) alles zu spät ist

Ihre Internetverbindung ist extrem langsam, unbekannte Ports sind geöffnet und Antimalwaretools zeigen eine Schadsoftware an? Ziehen Sie in diesem Fall am Besten den Netzwerkstecker oder besser noch das DSL-Kabel aus Ihrem Router. Dies verhindert, dass der Eindringling weiterhin über Ihre IP surfen kann. Lassen Sie am Besten einen Fachmann den Fund der Schadsoftware bestätigen. Ist dies der Fall, so sollten Sie bei der Polizei Anzeige erstellen, denn Ihr Internetanschluss könnte bereits zu misbräuchlichen Zwecken benutzt worden sein. Somit könnten Sie nach der Störerhaftung belangt werden. (Vergleichendes Beispiel: Ihr Nachbar surft über ihren W-LAN-Router im Internet)
Um Ihren PC wieder einsetzen zu können, sollte Sie eine komplette Neuinstallation anstreben. Nur so können Sie sicher sein, dass die Malware komplett aus Ihrem System verschwindet. Sie können ihre eigenen Dokumente auf separaten Datenträger sichern aber schließen Sie diese an Ihrem neuen System erst wieder an, wenn Sie alle Updates installiert haben und Ihre Antivirenprogramme auf dem neuesten Stand sind.

 

  1. Tom02-03-14

    Danke für den superinteressanten Beitrag. Man findet ansonsten nicht so viel zu dem Thema.

    Aber eine Frage hab ich noch, wie verbindet sich der „Nutzer/Käufer“ eines VicSocks mit dem Opfer? Die meisten haben ja heute NAT-Router.

    Thx, Tom

    • admin02-03-14

      Hallo Tom,
      du hast recht, dieses Thema wurde in dem Artikel nicht behandelt.
      Der Beitrag wurde deshalb um den Punkt „Wozu habe ich eine Firewall?“ ergänzt.
      Das Schaubild sollte außerdem die Funktionsweise eines VicSocks verdeutlichen.
      Grüße

Leave a Reply

You must be logged in to post a comment.