Beseitigung Von Malware
#1
geschrieben 03. Januar 2006 - 15:11
versuche seit längerer Zeit Informationen über Malware zu sammeln um herauszufinden wie sie funktioniert und wie man sich da gegen am besten schützen kann.
Die meisten Informationen haben ich bisher bei Wikipedia bekommen.
Dort wird das Thema auch sehr gut beschrieben nur würde ich gerne wissen wie man im Falle einer Infektion seinen Rechner auch wirklich wieder sauber bekommt. Die meisten raten zur Neuaufsetzung des Betriebssystems was sicherlich auch bei den meisten Infektionen die beste Lösung ist, aber wie sieht es aus wenn sich die Malware im Bootsektor der Festplatte, im BIOS oder sogar so stark auf der Festplatte festgesetzt hatt, dass mit einer normalen Neuaufsetzung nichts mehr zu machen ist? Wie sehen dann die Maßnahmen aus?
Die Bootviren sind anscheinend heute nicht mehr so verbreitet, stellen aber eigentlich immernoch ein Risko da, wobei eine Infektion des MBR auch heute nicht auszuschließen währe.
Ich persönlich würde mich auf Antworten (Anmerkungen,Gegenmaßnahmen) zu diesem Thema freuen.
Bevor man verucht sich gegen einen Feind zu verteidigen muss man ja ersteinmal seine Stärken und Schwächen kennen, aus meiner Sicht kann man durch Foren und andere Informationsquellen sich am besten darüber informieren.
Gruß
Mr.Rob
Anzeige
#2
geschrieben 03. Januar 2006 - 15:28
Zitat
Den löscht man natürlich auch.
Zitat
Das ist bislang noch nicht vorgekommen.
Hier hilft aber ein Recovery-Flash.
Zitat
Die wiederum ist totaler Quatsch.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#3
geschrieben 03. Januar 2006 - 16:46
Danke für deine Antwort, finden gängige Antiviren Programme wie z.B. AntiVir Malware im MBR oder woran erkennt man dass der MBR infiziert ist?
Gibt es sonst noch Bereiche auf der Festplatte oder anderer Hardware wo infiziert werden könnte und man sie nicht so leicht entfernen kann?
Gruß
Mr. Robby
#4 _Tankred_
geschrieben 03. Januar 2006 - 16:59
Zitat (Mr.Robby: 03.01.2006, 16:46)
Danke für deine Antwort, finden gängige Antiviren Programme wie z.B. AntiVir Malware im MBR oder woran erkennt man dass der MBR infiziert ist?
...
Gängige Programme erkennen mit hoher Wahrscheinlichkeit, dass der MBR infiziert ist, zumal die entsprechenden Schädlinge nicht sonderlich clever sind.
Selbst kann man sich mit der Recovery-Konsole von XP behelfen.
-> Von CD starten
-> fdisk /mbr eingeben
-> im abgesicherten Modus starten
-> Malware auf der Festplatte entfernen
-> neu starten
Das sollte reichen.
Zitat (Mr.Robby: 03.01.2006, 16:46)
Die mir bekannte Malware tummelt sich lediglich im MBR oder in den Dateien/Einstellungen der installierten Software. Das Neuaufsetzen des Systems ist lediglich kritisch, wenn der MBR nicht bereinigt wird oder infizierte Datenträger zur Wiederherstellung des Systems verwendet werden.
#5
geschrieben 03. Januar 2006 - 17:43
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 03. Januar 2006 - 18:18
Ach ja, was mir noch einfiele: Malware kann auf den üblichen Prozessoren von AMD Microcode-Updates durchführen. Diese sollten eigentlich nicht, können aber u.U. einen Soft-Reset überleben. Mehr als einen Proof-of-Concept habe ich aber auch noch nicht gesehen.
Ansonsten sind Firmware-Updates (BIOS, GraKa, Netzwerkkarte) zu kompliziert, als das man's verwenden würde, aber theoretisch möglich.
Dieser Beitrag wurde von Rika bearbeitet: 03. Januar 2006 - 18:21
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#8 _Tankred_
geschrieben 03. Januar 2006 - 18:38
#9
geschrieben 03. Januar 2006 - 18:56
Nun sind hier aber ein paar Begriffe gefallen welche mir nichts sagen, könntet ihr mir diese bitte noch ein wenig erläutern?
Microcode-Updates
Soft-Reset
Hooken
A20-Gate
BIOS-Loaders = Boot-Loader?
#10
geschrieben 03. Januar 2006 - 19:14
Zitat
Ein Update der Software, die für die elementaren Prozessor-Operationen verantwortlich ist.
Zitat
Neustart ohne Trennen der Stromverbindung.
Zitat
In diesem Fall wohl "initialisieren".
Zitat
Eine Schaltung, die eine CPU-Adressleitung umschaltet, um das Starten von DOS zu ermöglichen.
Zitat
Nein, der BIOS-Loader lädt das BIOS, wie der Name schon sagt.
Dieser Beitrag wurde von Graumagier bearbeitet: 03. Januar 2006 - 19:15
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#12
geschrieben 06. Januar 2006 - 16:08
habe nachträglich noch eine Frage zur Malware welche sich im MBR festsetzt:
An was kann man sehen dass der MBR infiziert ist? Können gängige Antiviren-Programme wie z.B. AntiVir Alarm schlagen wenn der MBR infiziert ist oder wird der MBR von dem Virenschutz im BIOS überprüft?
Was gibt es sonst noch für Anzeichen an denen man erkennen kann dass mit dem Master Boot Record der Festplatte estwas nicht stimmt?
Würde mich freuen wenn ihr mir ein paar Antworten parat hättet.
#13
geschrieben 06. Januar 2006 - 16:54
Zitat
Daran, daß er nicht dem erwarteten Original entspricht? Im MBR steckt der Bootloader, also ein Programm, das für eine jeweilige Betriebssystemereihe bzw. für einen bestimmten Bootloader stets gleich sein dürfte. MIt 512 Byte Umfang ist das trivial zu enumerieren.
Zitat
Ja. Meist erkennen sie halt, wie oben benannt, eine simple Änderung des MBR gegenüber einem einmalig erstellten Abbild.
Sollte durch den MBR bereits beim Start bereits Malware geladen worden sein, kann diese natürlich die Erkennung umgehen.
Zitat
Eher seltener. Meist implementiert es einfach nur einen Schreibschutz auf den Bootsektor, der auch nur dann funktioniert, wenn das aktuell laufende System die BIOS-Funktionen nutzt und nicht direkt auf die Platte zugreift.
Zitat
Einfach den gewünschten MBR schreiben und vergessen, was da vorher drinstand?
Selber einen Vergleich machen? dd if=/dev/hda bs=512 count=1 | cmp erwartetermbr
Besser ist, einfach nicht mit Adminrechten zu arbeiten, dann kann auch kein Programm in den MBR schreiben.
Dieser Beitrag wurde von Rika bearbeitet: 06. Januar 2006 - 16:54
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)