[chrisx]

Hallo,

mich hatte es gestern auch mal erwischt und ich hab mitbekommen, das ich mir irgendeine Malware einfing. Hatte schon Tagelang den Verdacht, weil es ab und an kleine Probleme, z.B. mit DNS gab, die ich noch nie hatte und wo mir die Ursache nicht auffiel. Hab auch die TCP und UDP Verbindungen überprüft, alle Autostarts durchgeschaut aber das war alles i.O. Auch Tools wie Blacklight, RkDetector und co fanden nichts auffälliges. Hab zum Schluss dann noch mit G-Data seiner neuen Boot-CD aus AVK 2007 Kantonix gebootet und AVK über die Linux Oberfläche nach Viren und Rootkits scannen lassen (7 Stunden Dauer), fand ebenfalls nichts. Das war alles vor 3 Tagen. Gestern dann fiel mir auf, dass AVK unten rechts im Tray anzeigte, dass E-Mails gerade geprüft und versendet werden und sowohl die TCP Verbindungen, als auch Process Explorer zeigte keine Verbindung bzw. E-Mail Programm oder auffällige exe an. Hab daraufhin sofort den Router ausgeschalten und mir mit Acronis ein Image der Systemplatte gemacht (12 GB). Die Nacht dann neuinstalliert und bis eben soweit die Dienste geconfigt und auch via Router erstmal temporär alles außer Port 80 gesperrt.

Nun, ich surfe schon vorsichtig (Firefox & Noscript, AVK 07, Windows sicher geconfigt, keine Pseudo Desktop.Firewall) und muss nun natürlich rausfinden, wie ich mir das Teil eingefangen habe und was genau es ist. Ich würde mir später am Laptop auf ner Extra Partition das Image zurückspielen, aber wie finde ich dann die Malware dort? Gibt es da überhaupt ne Möglichkeit, evtl. irgendwie den Traffic extern über den Router o.ä. mitzuschneiden, um zu sehen was für Mails von wem versandt werden? Vielleicht wars nen Trojaner und er hat zu seinem Besitzer meine Passes etc. verschickt? (Hab natürlich schon alle wichtigen Passes geändert) Wenn ich die gefunden hab, kann man sie ja insoweit analyisieren, dass man rausbekommt was sie macht und evtl. wie man sie sich eingefangen hat.

Hoffe, dass jemand ne idee hat

Dieser Beitrag wurde von chrisx bearbeitet: 10. Oktober 2006 - 19:35

[Systemfailure]

Zitat (chrisx: 10.10.2006, 20:35)

Auch Tools wie Blacklight, RkDetector und co fanden nichts auffälliges.

Also mann bezeichnet mich ja hin und wieder als Softwarelexicon aber das ist Software die ich nicht kenne, bis auf den RkDetector.


Ich würde es evt so machen.

Wenn du die Acronis version dazu hast würde ich das Image anschauen, sprich schnell als Festplatte anzeigen lassen. Das ganze zur sicherheit aber nur im lesemodus. Dann jage evt. mal Ad-Aware oder Spybot mit aktuellen defs drüber.

[Rika]

Ein paar Möglichkeiten:

1. Du sicherst dein aktuelles System, spielst das Image zurück und schneidet mit einem Sniffer alles mit bzw treibt Forensik im System.
2. Du migrierst das Image in eine Virtuelle Maschine und analysierst es dort.
3. Man analysiere das Image passiv, indem man sämtliche Dateien mit den Originaldateien auf der Windows-CD, Patches und vergleichbaren Programminstallationen vergleicht und anschließend die Differenzen bzw. den Rest betrachtet.