BKA Virus hat mal wieder zugeschlagen!

Als Threadstarter freut es mich, dass das Thema hier im Windows-Ordner und nicht im WSNP-Thread gelandet ist..so sammeln sich doch eine grosse Menge Informationen und Tools an, um dem Problem beizukommen..
Danke an die Admins fürs Verschieben:thumbup:

Da ich mich für keinen Clean-Install entschieden habe sondern mit KIS2013 einen grossen Systemcheck hab durchlaufen lassen, bin ich für meine Sicherheitsansprüche ersteinmal zufriedengestellt...
Ausserdem ist der T400, von dem ich hier schreibe, nicht mein Hauptrechner -das erledigt mein T500!
Liebe Grüsse

tom
 
Zuletzt bearbeitet:
Zurück zum BKA-Thema: Hier wird geholfen (ohne PC-platt-machen): http://www.bka-trojaner.de/.
Wichtig ist nur, dass man den aktuellen BKA-Trojaner genau anschaut, damit man auf o.g. Seite richtig auswählen kann. Der BKA macht immer das gleiche; er schaltet wichtige Betriebssystemteile ab (z.B. Explorer.exe,
Taskmanager ...), sodass Windows notwendige Teile beim Start nicht mehr laden kann. :confused:

Das kann in der Registry geheilt werden; wenn man sorgfältig arbeitet (Registry-Einträge mehrfach genau lesen - jeder Buchstabe ist wichtig!), ist das problemlos möglich.
Beim Hochfahren also munter F8 drücken (==> abgesicherter Modus).
LG mccs

Ja genau die Anleitungen auf bka-trojaner.de aka botfrei.de waren doch schon vor Jahren top. Sie sind etwas filigraner als "PC neu aufsetzen". :)
 
Du solltest nicht vergessen zu erwähnen, dass ein einfaches Programm- oder Windows-Sicherheitsupdate bereits ausreicht, dass sich die Hashwerte verändern.
Übel ist dabei, dass man in den meisten Fällen erst NACH dem Update erfährt, dass eines durchgeführt wurde, wie z.B. bei Firefox, Thunderbird, Windows, Antiviren-Programme (die übrigens auch kompromittiert werden können) uvm., indem, ein Rechner- oder Programmneustart angefordert wird.

So einfach, wie oben geschrieben, stellt sich das ganze also in der Praxis nicht dar.
Da stimme ich zu, wenn man bei den Schädlingstest online ist - sonst nicht. Dann gibt es keine ungesehenen Updates oder geänderte Hashwerte. Auch sollte man überall ankreuzen, dass man über Updates informiert werden möchte, aber das Update selbst starten will.

Für solche Versuche gibt es natürlich einen speziell eingerichteten User z.B. "Trojaner" o.ä. mit eingeschränkten Rechten. Den kann man danach wieder löschen. Dass vorher ein Wiederherstellungspunkt gemacht wird, erwähne ich nur der Vollständigkeit halber.

Natürlich mache ich solche Versuche nicht auf meinem Hauptrechner... :thumbup: aber ich mache sie, weil man da sehr viel erfährt über die Internas von Windows und die Orte, wo sich die Gefahr verbirgt. Alles wissen geht sowieso nicht.

Ich besuche wöchentlich einen Computerclub. Oft sind Gäste da mit Rechnern, wo plötzlich seltsame Dinge passieren. Fazit: es gibt so gut wie keine PC's ohne irgendwelchen Befall. Virenscanner geben eine unbegründete Sicherheit. Ganz besonderes Staunen gab es mal, als ich den kompletten Internetverkehr der vergangenen 9 Monate auf den Bildschirm brachte...

Dein Persönlicher Computer (PC) - das unbekannte Wesen!
LG mccs
 
Das ist ja auch das Problem: es gibt in modernen Systemen viele Möglichkeiten, sich zu verstecken. Da installieren sich Trojaner als LSP, verstecken sich mit speziellen Dateinamen, schreiben sich in die erweiterten Streams des Dateisystems oder hängen sich schlicht an den Dateisystem-Treiber, um Zugriffe auf die Malware-Dateien zu verhindern.

Ein Vorher-Nachher-Vergleich aus dem laufenden System heraus ist da nicht hilfreich - wenn die Schadsoftware sich gut genug verbirgt. Auf manche Systembereiche hat bei Windows auch kein Administrator Zugriff, wie soll da so ein Vergleich stattfinden, wenn die Schadsoftware sich grad dort versteckt?

Genausowenig kann somit ein im selben System laufender Virenscanner 100% der einmal aktiv gewordenen Schadsoftware bereinigen. Selbst wenn er ein paar Tage später passende Signaturen hat, ist das System darunter ja schon kompromittiert und die Malware macht mit dem Virenscanner was sie will. Einzige Chance zur Diagnose sind hier wirklich die Boot-CDs. Und selbst danach ist es in den meisten Fällen sinnvoll, das System zu plätten, wenn die entsprechende Schadsoftware festgestellt wurde. Selbst die Boot-CDs können meist nur die Malware-Dateien selber löschen - wenn überhaupt.
 
Ein Vorher-Nachher-Vergleich aus dem laufenden System heraus ist da nicht hilfreich - wenn die Schadsoftware sich gut genug verbirgt. Auf manche Systembereiche hat bei Windows auch kein Administrator Zugriff, wie soll da so ein Vergleich stattfinden, wenn die Schadsoftware sich grad dort versteckt?

Wie ist sie dann in erster Linie dorthin gekommen? Was meinst du mit Systembereiche? RAM oder HDD?
 
Im RAM kann sich keine Schadsoftware dauerhaft festsetzen. Die Einfallswege von Schadsoftware sind bekannt. Zuerst der User, dann kommt lange nichts, dann veraltete Software mit Sicherheitslücken und dann zu einem kleinen Teil die 0-day-Lücken.
 
Man muss 2 Fälle unterscheiden: Ein PC, der schon unbemerkt befallen wurde und ein PC, bei dem ich das befallen selbst initiiere und beobachte. Im ersten Fall ist die Beseitigung schwierig, weil man die verschiedenen Stellen der Infektion entdecken muss. Hier gibt es eine grundsätzliche Schwierigkeit: Wer regiert den PC: das Betriebssystem oder der Schädling? Das wird entschieden beim Booten. Startet das Betriebssystem zuerst und läd dann den Schädling, dann regiert nach wie vor das Betriebssstem. Wenn aber der Schädling zuerst geladen wird und ER das Betriebssystem läd, sieht es anders aus. Dann hat man keine Chance, wenn der Schädling sauber programmiert ist und die Analysemöglichkeiten des Betriebssystems nicht reichen, um seine Spuren aufzudecken. Das Betriebssystem kann ja nur die Dinge aufspüren, für die es geeignete Routinen hat.

Früher gab es mal einen Dissassembler Softice: der startete zuerst, hat dann Windows gestartet, hatte so höhere Rechte als Windows und konnte Windows beim Arbeiten beobachten und (wegen der höheren Rechte) in laufende Prozesse eingreifen, quasi dem Windows beliebig dazwischenfunken.

Der DLF berichtete vor kurzem, dass es bereits Supertrojaner im Umlauf gibt, die genau so funktionieren und unentdeckbar seien; NSA ist ein Stichwort. Bekannt ist, dass die Amerikaner so die Zentrifugen im Iran abschalteten bzw. zerstörten.

Wenn der Schädling aber unter Beobachtung initiiert wird, hat man die Möglichkeit, das Vorher und Nachher zu analysieren. Schliesslich ist eine Datei eine Datei, ihre Bytes müssen irgendwo dauerhaft gespeichert sein. Im RAM geht das nicht. RAM vergisst alles ohne Strom. Flash-RAM ist da zweifelhafter; mich würde nicht wundern, wenn sich dort schon wirklich gefährliche Schädlinge tummeln. Ein Beispiel kann man hier nachlesen: http://www.heise.de/security/meldun...gesoftware-auf-China-Smartphones-2221792.html. Es lebe die SSD... - ein Grund, sie vielleicht nicht zu verwenden und auf Geschwindigkeit zu verzichten.

Man kann immer so vorgehen: Den Schädling initiieren und dann z.B. unter Linux das Windows vorher und nachher vergleichen. Dann allerdings muss man nachvollziehen, was die Unterschiede bedeuten - schwer!

Einen Schädlingsrest habe ich schon mal entdeckt als Anhang in einer Datei. Wie geht das? Eine Festplatte hat Sektoren mit 512 Bytes als kleinste Speichereinheit. Eine Datei füllt die Sektoren. Ist eine Datei nun genau 513 Byte lang, belegt sie mind. 2 Sektoren; im 2. Sektor nur das 1. Byte. Bleiben also noch 511 Bytes für andere Zwecke übrig. Wird die Datei gelesen, kommen beide Sektoren vollständig in das RAM. Das Betriebssystem weiss, dass nur 513 Bytes relevant sind; die Dateilänge steht im Datei-Header, das zuviel wird abgeschnitten - ist aber da! Der Schädling weiss von den restlichen Bytes, fragt das Betriebssystem, an welcher Adresse die Datei hingelesen wurde und springt direkt zu den 511 Bytes. Wer noch CP/M kennt (DOS ist weitgehend gleich!), weiss: mit diesen wenigen Bytes kann man viel nachladen und ausführen.

Wie soll man das entdecken? Linux oder das liebe alte DOS helfen. Unter Windows selbst ist das unmöglich, weil Windows den Zugang zu von ihm selbst verwendeten Daten sperrt. Jeder kennt das: z.B. Löschen nicht möglich (weil von einem anderen Programm noch verwendet). Nachvollziehen, was dann passiert ist aber sehr schwer und zeitaufwändig, da verstehe ich zu wenig.

Der BKA ist aber anders gestrickt: er schaltet den Zugang zum PC ab, weil er Explorer und Taskmanager durch einen Registry-Eintrag abschaltet. Dann sind keine Befehle an das Betriebssytem mehr möglich, das Eingangstor wurde verschlossen. Man könnte auch auch einfach die Rechte für Explorer.exe umändern: "Niemand darf verändern..." - mit dem gleichen Ergebnis. Bitte nie machen! Es reicht, wenn der BKA das macht.

LG mccs
 
Zuletzt bearbeitet:
Sieht für mich irgendwie eher nach einer Werbeveranstaltung für deren Produkte aus...
 
Ja, schon. Dennoch könnte der Webcast interessant und informativ werden. Habe mich selbst noch nicht angemeldet. Bin noch unentschieden... :).
 
nachdem du dafür geworben hast, könntest du ja mal berichten, ob sich ein Anmeldung lohnt ;)
 
Na, nicht geworben. Habe die Anmeldung via EMail zugestellt bekommen ;). Hatte mich jedoch nicht registriert. Somit kann ich nichts darüber aussagen, ob es interessant und aufschlussreich war. Deshalb meine Frage.

Übrigens hat die Firma invincea Sandboxie übernommen, weswegen ich die Info bekam und dies euch nicht vorenthalten wollte :rolleyes:.

P.S.: Aktuellste Version (ebenfalls Freeware) Sandboxie 4.13.1 (Beta 1) (x86/x64)
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben