[Mr.Robby]

Hallo allerseits,

versuche seit längerer Zeit Informationen über Malware zu sammeln um herauszufinden wie sie funktioniert und wie man sich da gegen am besten schützen kann.
Die meisten Informationen haben ich bisher bei Wikipedia bekommen.
Dort wird das Thema auch sehr gut beschrieben nur würde ich gerne wissen wie man im Falle einer Infektion seinen Rechner auch wirklich wieder sauber bekommt. Die meisten raten zur Neuaufsetzung des Betriebssystems was sicherlich auch bei den meisten Infektionen die beste Lösung ist, aber wie sieht es aus wenn sich die Malware im Bootsektor der Festplatte, im BIOS oder sogar so stark auf der Festplatte festgesetzt hatt, dass mit einer normalen Neuaufsetzung nichts mehr zu machen ist? Wie sehen dann die Maßnahmen aus?
Die Bootviren sind anscheinend heute nicht mehr so verbreitet, stellen aber eigentlich immernoch ein Risko da, wobei eine Infektion des MBR auch heute nicht auszuschließen währe.
Ich persönlich würde mich auf Antworten (Anmerkungen,Gegenmaßnahmen) zu diesem Thema freuen.
Bevor man verucht sich gegen einen Feind zu verteidigen muss man ja ersteinmal seine Stärken und Schwächen kennen, aus meiner Sicht kann man durch Foren und andere Informationsquellen sich am besten darüber informieren.

Gruß
Mr.Rob

[Rika]

Zitat

aber wie sieht es aus wenn sich die Malware im Bootsektor der Festplatte,

Den löscht man natürlich auch.

Zitat

im BIOS

Das ist bislang noch nicht vorgekommen.
Hier hilft aber ein Recovery-Flash.

Zitat

oder sogar so stark auf der Festplatte festgesetzt hatt, dass mit einer normalen Neuaufsetzung nichts mehr zu machen ist?

Die wiederum ist totaler Quatsch.

[Mr.Robby]

@Rika

Danke für deine Antwort, finden gängige Antiviren Programme wie z.B. AntiVir Malware im MBR oder woran erkennt man dass der MBR infiziert ist?
Gibt es sonst noch Bereiche auf der Festplatte oder anderer Hardware wo infiziert werden könnte und man sie nicht so leicht entfernen kann?

Gruß
Mr. Robby

[Rika]

Eine weitere Möglichkeit, die auch tatsächlich genutzt wird, ist das Verbleiben im RAM bei einem Soft Reset und Hooken des BIOS-Loaders mittels A20-Gate, sodass die Malware nach dem Reset wieder aktiv werden kann. Deshalb einen harten Reset durchführen!

[Rika]

Unzählige, das gab's sogar schon zu DOS-Zeiten massiv.

Ach ja, was mir noch einfiele: Malware kann auf den üblichen Prozessoren von AMD Microcode-Updates durchführen. Diese sollten eigentlich nicht, können aber u.U. einen Soft-Reset überleben. Mehr als einen Proof-of-Concept habe ich aber auch noch nicht gesehen.

Ansonsten sind Firmware-Updates (BIOS, GraKa, Netzwerkkarte) zu kompliziert, als das man's verwenden würde, aber theoretisch möglich.

Dieser Beitrag wurde von Rika bearbeitet: 03. Januar 2006 - 18:21

[Mr.Robby]

So danke erstmal für eure Tipps

Nun sind hier aber ein paar Begriffe gefallen welche mir nichts sagen, könntet ihr mir diese bitte noch ein wenig erläutern?

Microcode-Updates
Soft-Reset
Hooken
A20-Gate
BIOS-Loaders = Boot-Loader?

[Graumagier]

Zitat

Microcode-Updates

Ein Update der Software, die für die elementaren Prozessor-Operationen verantwortlich ist.

Zitat

Soft-Reset

Neustart ohne Trennen der Stromverbindung.

Zitat

Hooken

In diesem Fall wohl "initialisieren".

Zitat

A20-Gate

Eine Schaltung, die eine CPU-Adressleitung umschaltet, um das Starten von DOS zu ermöglichen.

Zitat

BIOS-Loaders = Boot-Loader?

Nein, der BIOS-Loader lädt das BIOS, wie der Name schon sagt.

Dieser Beitrag wurde von Graumagier bearbeitet: 03. Januar 2006 - 19:15

[Mr.Robby]

@ Graumagier

Danke für deine schnelle Antwort

[Mr.Robby]

Hallo,

habe nachträglich noch eine Frage zur Malware welche sich im MBR festsetzt:

An was kann man sehen dass der MBR infiziert ist? Können gängige Antiviren-Programme wie z.B. AntiVir Alarm schlagen wenn der MBR infiziert ist oder wird der MBR von dem Virenschutz im BIOS überprüft?
Was gibt es sonst noch für Anzeichen an denen man erkennen kann dass mit dem Master Boot Record der Festplatte estwas nicht stimmt?

Würde mich freuen wenn ihr mir ein paar Antworten parat hättet.

[Rika]

Zitat

An was kann man sehen dass der MBR infiziert ist?

Daran, daß er nicht dem erwarteten Original entspricht? Im MBR steckt der Bootloader, also ein Programm, das für eine jeweilige Betriebssystemereihe bzw. für einen bestimmten Bootloader stets gleich sein dürfte. MIt 512 Byte Umfang ist das trivial zu enumerieren.

Zitat

können gängige Antiviren-Programme wie z.B. AntiVir Alarm schlagen wenn der MBR infiziert ist

Ja. Meist erkennen sie halt, wie oben benannt, eine simple Änderung des MBR gegenüber einem einmalig erstellten Abbild.
Sollte durch den MBR bereits beim Start bereits Malware geladen worden sein, kann diese natürlich die Erkennung umgehen.

Zitat

oder wird der MBR von dem Virenschutz im BIOS überprüft?

Eher seltener. Meist implementiert es einfach nur einen Schreibschutz auf den Bootsektor, der auch nur dann funktioniert, wenn das aktuell laufende System die BIOS-Funktionen nutzt und nicht direkt auf die Platte zugreift.

Zitat

Was gibt es sonst noch für Anzeichen an denen man erkennen kann dass mit dem Master Boot Record der Festplatte estwas nicht stimmt?

Einfach den gewünschten MBR schreiben und vergessen, was da vorher drinstand?

Selber einen Vergleich machen? dd if=/dev/hda bs=512 count=1 | cmp erwartetermbr

Besser ist, einfach nicht mit Adminrechten zu arbeiten, dann kann auch kein Programm in den MBR schreiben.

Dieser Beitrag wurde von Rika bearbeitet: 06. Januar 2006 - 16:54