Windows Script Host Super-Deaktivator!

Falls Sie das noch nicht getan haben, deaktivieren Sie noch heute den Windows Script Host auf Ihrem PC. Sie brauchen dieses Teil höchstwahrscheinlich nicht, und es wartet nur darauf, Ihnen ins Bein beissen zu können.


Sie wissen es vielleicht schon: Die meisten Trojaner kommen heutzutage nicht mehr direkt als Anhang einer Mail zu Ihnen; als Anhänge würden sie wahrscheinlich zu oft als Malware erkannt, und die Mails würden auch auffällig gross. Was Sie meistens bekommen, sind kleine Programme, sogenannte Skripte, geschrieben entweder in JavaScript oder in VBScript, die vom Windows Script Host (abgekürzt WSH) ausgeführt werden, wenn Sie sie doppelklicken, und es sind dann diese Skripte, welche erst den Trojaner aus dem Internet nachladen.

Könnte man nicht diese Gefahr eliminieren, indem man diesen WSH deaktiviert? Doch, könnte man. Hätte das Nebenwirkungen oder Nachteile? Nun ja, es könnte sein, dass danach gewisse Programme nicht mehr laufen, weil sie den WSH verwenden. Ist das wahrscheinlich? Wohl eher nicht: Ich z.B. habe als Programmierer auf meinem PC (mit WSH deaktiviert) jede Menge Software am Laufen, und keine davon hat sich je beschwert.

Es ist für mich eines der vielen Geheimnisse von Microsoft, wieso selbst bei Windows 10 der WSH immer noch standardmässig aktiviert ist.

Also die gute Tat für heute: Deaktivieren Sie den WSH auf Ihrem PC, falls Sie das noch nicht gemacht haben.

Es gibt schon eine Menge Anleitungen im Netz, wie man das macht, z.B. hier, hier und hier, aber irgendwie lustig: Während es sonst für jeden Unsinn eine kleine App gibt, schicken Sie diese Anleitungen los und lassen Sie mit RegEdit hantieren, was nicht ganz ungefährlich ist.

Ich habe mir gedacht, hier kann ich etwas beitragen. Sie finden in diesem ZIP hier meinen Windows Script Host Super-Deaktivator!, eigentlich nur ein sogenanntes .reg-File, mit dem man das Setzen der beiden Werte in der Registry für das Lahmlegen des WSH automatisieren kann: Einfach dieses .reg-File doppelklicken und die Sicherheitsabfragen beantworten, ob man wirklich einer Änderung der Registry zustimmt.

Windows Registry Editor Version 5.00

; Windows Script Host deaktivieren
; Megos AG, BR, 25.04.2017
; Siehe https://megosec.wordpress.com/2017/04/25/windows-script-host-super-deaktivator

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
„Enabled“=“0“

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
„Enabled“=“0“

Wenn Sie damit nicht durchkommen, weil irgendein Antiviren-Programm zwar mit Schwung die viel gefährlicheren .js und .vbs durchwinkt, aber bei .reg bockt, oder wenn Sie diesem Brunner da nicht einfach so trauen wollen, gibt es ein Tool namens NoScript von Symantec (direkter Download-Link), welches ebenso dafür sorgt, dass bei einem Klick auf ein Skript-File dieses nicht startet. Zudem kann man damit bei Bedarf WSH auch wieder aktivieren.

Aber Vorsicht: Das Tool, das bereits viele Jahre auf dem Buckel hat, läuft auf einem modernen Windows nur mit Elevation, d.h. wenn Sie es als Administrator ausführen. Alternativ können Sie es als kleinen Trick auch unter einem Filenamen wie NoScriptSetup.exe statt NoScript.exe abspeichern, denn dann wird es Windows als Installationsprogramm taxieren und selbst nach erweiterten Rechten fragen beim Start (ist Windows nicht herrlich?).

Zu guter Letzt als Bonus noch eine kurze Anleitung, wie Sie überprüfen können, ob das Deaktivieren geklappt hat: Speichern Sie folgende Zeile z.B. mit Hilfe von Notepad als Textfile mit der Endung .vbs ab, also z.B als WSH_Testen.vbs, und versuchen Sie, das File auszuführen: Wenn das wider Erwarten klappt und eine Dialogbox mit der entsprechenden Meldung erscheint, ist noch nicht gut:

WScript.Echo "Windows Script Host ist momentan aktiv"

Advertisements

Android-Sicherheitslücken: Der Himmel stürzt nicht ein

Kaum ein Tag vergeht, ohne dass ganz aufgeregt von irgendwelchen neuen Sicherheitslücken in Hunderten Millionen von Android-Smartphones berichtet wird. Bleiben Sie cool – die meisten Kriminellen haben offenbar anderes zu tun, als solche Lücken auszunutzen – und kümmern Sie sich mehr um dringende IT-Sicherheits-Probleme.


Android weist mittlerweile eine lange Geschichte von Sicherheitslücken auf, die zum Teil sogar lustige Namen wie Stagefright (Lampenfieber) oder QuadRooter (Vier-Wurzler?) haben. Eine Gesamt-Liste mit über 800 Einträgen findet man hier.

Selbst wenn man aus den Berichten über diese Lücken die Übertreibungen von Leuten „herausrechnet“, die etwas davon haben, Leuten Angst zu machen, bleibt Beunruhigendes übrig: Die Lücken sind real, die Android-Smartphones tatsächlich verwundbar, und zum Teil buchstäblich Hunderte von Millionen von Geräten betroffen.

Kommt noch dazu, dass viele davon bis an ihr „Lebensende“ verwundbar bleiben, weil die Hersteller längst nicht immer Updates liefern, welche die Lücken schliessen.

Wenn das bei PCs so wäre, hätten wir wohl längst chaotische Zustände, wo man gehackt würde, kaum hätte man sich mit dem Internet verbunden, Zustände schlimmer noch als damals mit der ersten Version von Windows XP (Infected in 20 Minutes).

Was passiert bei Android? Nun, ich verfolge News zu diesem Thema schon eine ganze Weile ziemlich aufmerksam, und ich kann mich nur an ganz wenige Fälle erinnern, wo Kriminelle in the wild tatsächlich versucht haben, solche Sicherheits-Lücken auszunutzen. Dinge wie das hier sind die absolute Ausnahme (technische Details dazu hier).

Sie müssen mir das nicht mal glauben. Nehmen Sie Ihre eigenen Erfahrungen: Sie kennen, das ist gar nicht zu vermeiden, eine Reihe von Leuten mit Android-Smartphones; Sie haben vielleicht selbst eines. Wurde irgendjemand davon je Opfer einer Hacker-Attacke? Eben.

Ich weiss nicht, wie es Ihnen geht, aber mich fasziniert es immer, wenn Dinge derart krass nicht zusammen zu passen scheinen. Da hat hierzulande wahrscheinlich mehr als jeder zweite ständig ein Gerät dabei, das man „hacken“ könnte, und es passiert … fast gar nichts?

Ich will diese Sicherheitslücken nicht verharmlosen: In dieser Zahl sind sie ein Skandal, und ich denke, für Spione und andere „Staats-Akteure“ sind sie ein gefundenes Fressen, wenn schon die normalen Kriminellen kaum etwas damit anfangen.

Und ja, ich finde, dass endlich etwas geschehen müsste, damit die Hersteller von Android-Geräten zeitnah Updates liefern, um Sicherheitslücken zu schliessen; Monthly Android Patchday oder so, und zwar für alle Geräte, unabhängig von Marke oder Alter.

Aber man sollte meiner Meinung nach auch aufhören, diesen Dingen soviel Aufmerksamkeit zu schenken. Android-Sicherheitslücken sind für Otto Normalverbraucher kein akutes Problem (auch wenn gar nicht so klar ist, warum eigentlich nicht). Kümmern wir uns um die vielen echten und dringenden Probleme auf dem Gebiet der IT-Sicherheit!

Aber haben Sie schon gehört: In Kürze wird man Hunderte Millionen Smartphones kapern können, in dem man ihnen einfach ein paar präparierte Datenpakete über WLAN zuschickt? Na, zittern Sie schon? Dieses Mal wird der Android-Himmel einstürzen. Ganz sicher.

Betrugs-Psychologie

Haben Sie sich auch schon gefragt, warum seit Jahren immer und immer wieder Gaddafis Witwe Ihre Hilfe beim Transfer eines Millionen-Vermögens braucht? Die Betrüger hinter diesen Mails haben gute Gründe, stets dieselben dummen Geschichten aufzutischen – zum Glück für uns.


Ich betreibe für mich privat einen eigenen Mail-Server, für eine ziemlich alte Mail-Adresse, die weit in der Welt herumgekommen ist, und auf der deshalb jede Menge Spam hereinkommt. Darunter sind natürlich auch viele Nigeria-Spams – Sie kennen das sicher, Millionenvermögen, Mithilfe beim Retten bzw. Überweisen gesucht, grosszügiger Anteil als Lohn, und so weiter.

Mit der Zeit fiel mir auf, dass die Betrüger hinter diesen Mail stets dieselbe kleine Handvoll Geschichten verwendeten, über Jahre hinweg, mit nur wenig Abwandlungen. Häufig hiess sogar die betreffende Person wie etwa der Rechtsanwalt oder der Bankmitarbeiter, der mir da schrieb, immer wieder exakt gleich.

Etwas Kreatives wie der im All zurückgebliebene nigerianische Astronaut ist die absolute Ausnahme; meistens ist es doch nur zum x-ten Mal Gaddafis Witwe, die noch irgendwo ein paar Milliönchen rumliegen hat.

Für mich war das ein grosses Rätsel: Mit immer wieder denselben ollen Geschichten legt man doch am Schluss niemanden mehr herein! Noch dazu mit solch haarsträubend unwahrscheinlichen und darum leicht zu durchschauenden Geschichten. Diese Betrüger können doch unmöglich so dumm sein und das nicht wissen! Warum nur geben sie sich beim Verfassen der Mails nicht mehr Mühe und tischen mit der Zeit raffiniertere Märchen auf, um den Nachschub an Opfern sicherzustellen?

Auf die eigentlich naheliegende Antwort bin ich selbst nicht gekommen, aber als ich sie vor einiger Zeit irgendwo im Internet las, fiel es mir wie Schuppen von den Augen: Ist ja klar!

Die Betrüger haben nichts gewonnen, wenn sie es schaffen, Sie mit einer kreativ und perfekt gestalteten ersten Mail so neugierig bzw. so unsicher zu machen, dass Sie antworten und genauer nachfragen, was denn zu tun sei. Erfolg ist erst, wenn Sie ganz am Schluss tatsächlich ohne jegliche Leistung der Betrüger denen einen brauchbar grossen Geld-Betrag rüberschieben.

So „blöd“ sind nur wenige Leute. Und die sind eben auch so blöd, dass sie praktisch jeden Quatsch glauben, den man ihnen per Mail auftischt.

Oder anders herum: Ist die Geschichte zu gut, fallen zwar eine Menge Leute zunächst darauf rein, aber wenn es dann am Schluss hart auf hart kommt und man einfach mal so 1000 Euro nach Afrika überweisen soll, klappt es nicht mehr. Was ist das Resultat für die Betrüger? Nichts ausser einer Menge Arbeit, mit zahlreichen Leuten hin und her zu mailen, die man am Schluss doch nicht dazu bringt, etwas lockerzumachen. Ökonomisch gesehen also völliger Unsinn!

Ich finde das ausgesprochen befriedigend. Zugegeben, sie sind lästig, diese Nigeria-Spammer, und ja, es kommen Leute zu Schaden, aber nur wenige, und die Sache hat quasi die Bremse gleicht mit eingebaut, die ziemlich zuverlässig verhindert, dass es allzu sehr ausartet.

Was sagt mir das in Bezug auf IT-Sicherheit? Dass manches Horrorszenario, das technisch gesehen durchaus möglich ist, eben genau das bleibt – nur ein Szenario – weil niemand da ist, der genügend davon profitieren würde, es zu realisieren.

Übrigens, betreffend nigerianischem Astronaut: Vielleicht glauben Sie mir nicht, aber Nigeria hat tatsächlich eine eigene Weltraum-Agentur