100 % Sicherheit vor Viren, Trojanern, usw.

H

Hanskarl

New member
Themenstarter
Registriert
12 Juli 2007
Beiträge
96
Hallo,

ein Vorschlag für eine !00 % Sicherheit vor jeglicher Schadsoftware, vor jeglichen Angriffen aus dem Netz - auch der Bundestrojaner ist hilflos.

Auf der Partition C: der Festplatte MS-DOS 6.22 installieren.
Auf der Partition D: der Festplatte WINDOWS ( XP, VISTA, WIN 7 ... ) installierten.

Geht nicht, gibts nicht! ;)

MS-DOS auf C: ist aus mehreren Gründen unangreifbar und außerdem nicht von Netz aus erreichbar.
Mit WINDOWS auf der Partition D: kommt keiner der abertausend Viren, Trojaner, Keylogger, Spyware, RootKits ... zurecht.

Was meint ihr?

Gruß Hanskarl
 
Die ganzen Windowsjünger schreiben doch schon, daß Windows dadurch nicht sicherer wird, wozu braucht ihr uns noch :D
 
[quote='phil83',index.php?page=Thread&postID=548707#post548707]Wo sind denn die Linux- und Mac-Jünger?[/quote]
Wollte mich schon melden, Dummerweise habe ich hier aber selbst unter Linux ein Laufwerk C: (/home/.../.wine/drive_c). Muß ich gleich mal in D: ändern! :thumbsup:
 
[quote='phil83',index.php?page=Thread&postID=548707#post548707]Wo sind denn die Linux- und Mac-Jünger?
[/quote]
Schon lange da. :)

Ich will das jetzt mal ausprobieren. Dazu habe ich ein Test-XP installiert, Updates ausgeschaltet, das System ans DSL-Modem geklemmt, Firewall abgeschaltet und auf Porn-Seiten herumgestoebert. Mir fehlt aber die Erfahrung beim infizieren von Windows. Frueher hatte ich immer genug Schadsoftware im Briefkasten, die Leute sind aber leider geizig geworden und ich bekomme seit zwei Jahren nichts mehr rein. Hat jemand etwas aktuelle Schadsoftware fuer mich herumliegen?
 
[quote='EuleR60',index.php?page=Thread&postID=548720#post548720]Mir fehlt aber die Erfahrung beim infizieren von Windows.[/quote]
Da braucht man nicht viel wissen.
Ohne Firewall - Router am besten auch DMZ auf dem Rechner - (auch die von XP ausschalten) einfach mal ein bischen Surfen, das teil
ist normalerweise binnen minuten/stunden schon verseucht...
 
[quote='EuleR60',index.php?page=Thread&postID=548720#post548720]Hat jemand etwas aktuelle Schadsoftware fuer mich herumliegen? [/quote]Frag doch mal Wolfgang... :whistling:
 
[quote='phil83',index.php?page=Thread&postID=548707#post548707]Wo sind denn die Linux- und Mac-Jünger?
[/quote]

Du hast die OS/2 - Jünger vergessen, im Vergleich zu OS/2 gibt es bei Linux und Mac-OS massenhaft Schadsoftware :D

.
 
[quote='EuleR60',index.php?page=Thread&postID=548720#post548720]Hat jemand etwas aktuelle Schadsoftware fuer mich herumliegen?[/quote]
Ich habe das Sammeln aufgehört, könnte Dir aber ein paar "Rechnung.zip", "Mahnung.zip", "ticket.zip", "5838156.exe" etc. von Herbst 2008 zukommen lassen. Du kannst auch selbst mal nach "Antivirus 2009" googeln (echt schwer zu finden, die meisten Treffer beziehen sich darauf, ihn wieder los zu werden). Oder Du suchst nach Keys für die Programme, die Du schon immer wolltest, und folgst den Links, bei denen Google warnt: "Diese Seite kann ihrem Computer schaden zufügen". Oder Du besuchst gezielt die Adressen, die "Spybot Search and Destroy" per Hosts-Datei blockiert.

Ich würde eher abraten, nicht weil großer Schaden droht, sondern im Gegenteil: Alles der Rede nicht wert, nur ein Geschäft mit der Angst, Norton und Kaspersky danken!
 
Bei entsprechenden Ressourcen Linux System mit XP als VM laufen lassen und nur damit ins Netz?
 
[quote='Hanskarl',index.php?page=Thread&postID=548304#post548304]Hallo,

ein Vorschlag für eine !00 % Sicherheit vor jeglicher Schadsoftware, vor jeglichen Angriffen aus dem Netz - auch der Bundestrojaner ist hilflos.

Auf der Partition C: der Festplatte MS-DOS 6.22 installieren.
Auf der Partition D: der Festplatte WINDOWS ( XP, VISTA, WIN 7 ... ) installierten.

Geht nicht, gibts nicht! ;)

MS-DOS auf C: ist aus mehreren Gründen unangreifbar und außerdem nicht von Netz aus erreichbar.
Mit WINDOWS auf der Partition D: kommt keiner der abertausend Viren, Trojaner, Keylogger, Spyware, RootKits ... zurecht.

Was meint ihr?

Gruß Hanskarl[/quote]

Myth busted! :D
 
Um die Behauptungen von HansKarl mal zu ueberpruefen, habe ich ein XP zum testen in einer VMWare aufgesetzt.
Ich habe zwei Partitionen angelegt. WindowsXP SP3 wurde in die zweite Partition installiert.
Code: 
DISKPART> list partition
  Partition      Typ               Größe    Offset

  -------------  ----------------  -------  -------

  Partition 1    Primär              47 MB    32 KB
  Partition 2    Erweitert         8134 MB    47 MB
  Partition 3    Logisch           8134 MB    47 MB
So sehen die Partitionen und ihre Verzeichnisse aus
Code: 
E:\>dir c: /A

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2CFC-E414
 Verzeichnis von C:\

11.03.2009  13:07                 0 AUTOEXEC.BAT
11.03.2009  13:00               211 boot.ini
31.12.2002  13:00             4.952 bootfont.bin
11.03.2009  13:07                 0 CONFIG.SYS
11.03.2009  13:07                 0 IO.SYS
11.03.2009  13:07                 0 MSDOS.SYS
13.04.2008  21:13            47.564 NTDETECT.COM
13.04.2008  23:01           251.712 ntldr
11.03.2009  13:11    <DIR>          System Volume Information
               8 Datei(en)        304.439 Bytes

               1 Verzeichnis(se),     46.412.288 Bytes frei

E:\>dir /A

 Volume in Laufwerk E: hat keine Bezeichnung.

 Volumeseriennummer: 9C0E-1071
 Verzeichnis von E:\

11.03.2009  13:11    <DIR>          Dokumente und Einstellungen
11.03.2009  13:10       402.653.184 pagefile.sys
11.03.2009  13:11    <DIR>          Programme
11.03.2009  13:11    <DIR>          System Volume Information
11.03.2009  13:11    <DIR>          WINDOWS

               1 Datei(en)    402.653.184 Bytes

               4 Verzeichnis(se),  6.899.216.384 Bytes frei
Was sich daraus ergibt
Code: 
E:\>set
ALLUSERSPROFILE=E:\Dokumente und Einstellungen\All Users
APPDATA=E:\Dokumente und Einstellungen\test\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=E:\Programme\Gemeinsame Dateien
COMPUTERNAME=TESTXP
ComSpec=E:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=E:
HOMEPATH=\Dokumente und Einstellungen\test
LOGONSERVER=\\TESTXP
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=E:\WINDOWS\system32;E:\WINDOWS;E:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 8, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0f08
ProgramFiles=E:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=E:
SystemRoot=E:\WINDOWS
TEMP=E:\DOKUME~1\test\LOKALE~1\Temp
TMP=E:\DOKUME~1\test\LOKALE~1\Temp
USERDOMAIN=TESTXP
USERNAME=test
USERPROFILE=E:\Dokumente und Einstellungen\test
windir=E:\WINDOWS
Ich hoffe, das ist so, wie HansKarl sich es gedacht hat.
Dann habe ich das System mit einem DSL-Modem ans Internet angebunden, die Windowsfirewall ausgeschaltet, Windowsupdate ausgeschaltet, e:\ freigegeben (Vollzugriff fuer jeder), den IIS installiert. Da soll ja was bei reinkommen.

Der Portscan mit nmap von linuxsec.net
Code: 
PORT     STATE SERVICE
25/tcp   open  smtp
80/tcp   open  http
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
1025/tcp open  NFS-or-IIS

Antivir PE wurde installiert, um Meldung zu bekommen, wenn es Besuch gibt.
Und mit dem IE etwas nach warez, serials und aehnlichem Muell gesucht. Hilfreich waren auch Adressen aus meinem Spamverzeichnis. Etwas spaeter fing Avira dann auch an zu klingeln.
Nach einiger Zeit habe ich Avira das System untersuchen lassen.
Code: 
Beginne mit der Suche in 'E:\'
E:\Dokumente und Einstellungen\test\Desktop\fff[1].cragel.world.dl\Serials.World.portable.v3.1.4.016\Serials World\SerialsWorld.exe
[FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/VB.gwb.4

E:\Dokumente und Einstellungen\test\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0BOH6JC1\search[3].htm
[FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Dldr.Iframe.G

E:\Dokumente und Einstellungen\test\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AF6PKJA3\get[1].htm
[FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Dldr.Iframe.G

E:\Dokumente und Einstellungen\test\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AF6PKJA3\keygen[1].htm
[FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Dldr.Iframe.G

E:\Dokumente und Einstellungen\test\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QHYHMHO3\jyo.greatsalestax[1].htm
[FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware

E:\Dokumente und Einstellungen\test\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W3052DIZ\rsphisher_Fh1xE578kdj76KZr[1].exe
[FUND]      Ist das Trojanische Pferd TR/Dropper.Gen

E:\Dokumente und Einstellungen\test\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W3052DIZ\top[1].htm
[FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Dldr.Iframe.G

E:\WINDOWS\system32\keygen.exe
[FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
Naja, noch nicht so toll.
Bei der weiteren Untersuchung fiel dies auf
Code: 
E:\Dokumente und Einstellungen\test>netstat
Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    testxp:1078            mail.energytransfer.com:smtp  ZULETZT_ACK
  TCP    testxp:2304            mail.plazareg.com:smtp  HERGESTELLT
  TCP    testxp:2387            mail.laitram.com:smtp  SYN_GESENDET
  TCP    testxp:2413            mta-v13.mail.vip.re4.yahoo.com:smtp  SYN_GESENDET
  TCP    testxp:2436            ouchkat.wanadoo.ma:smtp  HERGESTELLT
  TCP    testxp:2459            smtp3.ldcom.fr:smtp    SYN_GESENDET
  TCP    testxp:2484            uxchange1.itss.auckland.ac.nz:smtp  SYN_GESENDET
  TCP    testxp:2486            mailin1.rmx.de:smtp    HERGESTELLT
  TCP    testxp:2522            mta-v10.mail.vip.mud.yahoo.com:smtp  ZULETZT_ACK
  TCP    testxp:2537            corporat200-093143139.sta.etb.net.co:smtp  HERGESTELLT
  TCP    testxp:2552            mx1.syr.edu:smtp       HERGESTELLT
  TCP    testxp:2562            mhb-03-ord.mailhop.org:smtp  HERGESTELLT
  TCP    testxp:2593            mgate2.omv.com:smtp    HERGESTELLT
  TCP    testxp:2621            smtp.hws.edu:smtp      HERGESTELLT
  TCP    testxp:2638            mail02.mittalsteel.com:smtp  ZULETZT_ACK
  TCP    testxp:2641            gw-nam1.philips.com:smtp  SCHLIESSEN_WARTEN
  TCP    testxp:2651            bay0-mc4-f.bay0.hotmail.com:smtp  SCHLIESSEN_WARTEN
Da habe ich das System vom Netz genommen.
Verursacht wurden diese Verbindungen von einer "sales.exe".
Irgentwie macht das nicht den Eindruck, als ob die Schadsoftware sich von einer solchen Installation ausbremsen laesst.
 
Respekt! Sieht so aus, als ob dein System ruckzuck in eine Spam-Mail-Schleuder verwandelt wurde bzw. gefundene Passwörter und Infos nach Hause geschickt hat.
Jetzt wissen wir ja, wem wir hier potentielle Schädlinge zum testen schicken können. ;)

Es hätte mich wirklich sehr gewundert, wenn das System sauber geblieben wäre. Das hätte aller Logik widersprochen.
 
Überrascht mich nicht, hajowito wird es auch so sehen.

Was mich in diesem Zusammenhang noch interessiert:
In welchem Betriebszustand befand sich die Windows Firewall?


.
 
[quote='Mornsgrans',index.php?page=Thread&postID=548961#post548961]
In welchem Betriebszustand befand sich die Windows Firewall?
[/quote]
Ausgeschaltet natuerlich. Das ist aber auch egal, die sales.exe habe ich mir ueber den Browser angelacht.
Bei virustotal wurde die nur von zwei Scannern erkannt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben