Man muss 2 Fälle unterscheiden: Ein PC, der schon unbemerkt befallen wurde und ein PC, bei dem ich das befallen selbst initiiere und beobachte. Im ersten Fall ist die Beseitigung schwierig, weil man die verschiedenen Stellen der Infektion entdecken muss. Hier gibt es eine grundsätzliche Schwierigkeit: Wer regiert den PC: das Betriebssystem oder der Schädling? Das wird entschieden beim Booten. Startet das Betriebssystem zuerst und läd dann den Schädling, dann regiert nach wie vor das Betriebssstem. Wenn aber der Schädling zuerst geladen wird und
ER das Betriebssystem läd, sieht es anders aus. Dann hat man keine Chance, wenn der Schädling sauber programmiert ist und die Analysemöglichkeiten des Betriebssystems nicht reichen, um seine Spuren aufzudecken. Das Betriebssystem kann ja nur die Dinge aufspüren, für die es geeignete Routinen hat.
Früher gab es mal einen Dissassembler Softice: der startete zuerst, hat dann Windows gestartet, hatte so höhere Rechte als Windows und konnte Windows beim Arbeiten beobachten und (wegen der höheren Rechte) in laufende Prozesse eingreifen, quasi dem Windows beliebig dazwischenfunken.
Der DLF berichtete vor kurzem, dass es bereits Supertrojaner im Umlauf gibt, die genau so funktionieren und unentdeckbar seien; NSA ist ein Stichwort. Bekannt ist, dass die Amerikaner so die Zentrifugen im Iran abschalteten bzw. zerstörten.
Wenn der Schädling aber unter Beobachtung initiiert wird, hat man die Möglichkeit, das Vorher und Nachher zu analysieren. Schliesslich ist eine Datei eine Datei, ihre Bytes müssen irgendwo dauerhaft gespeichert sein. Im RAM geht das nicht. RAM vergisst alles ohne Strom. Flash-RAM ist da zweifelhafter; mich würde nicht wundern, wenn sich dort schon wirklich gefährliche Schädlinge tummeln. Ein Beispiel kann man hier nachlesen:
http://www.heise.de/security/meldun...gesoftware-auf-China-Smartphones-2221792.html. Es lebe die SSD... - ein Grund, sie vielleicht nicht zu verwenden und auf Geschwindigkeit zu verzichten.
Man kann immer so vorgehen: Den Schädling initiieren und dann z.B. unter Linux das Windows vorher und nachher vergleichen. Dann allerdings muss man nachvollziehen, was die Unterschiede bedeuten - schwer!
Einen Schädlingsrest habe ich schon mal entdeckt als Anhang in einer Datei. Wie geht das? Eine Festplatte hat Sektoren mit 512 Bytes als kleinste Speichereinheit. Eine Datei füllt die Sektoren. Ist eine Datei nun genau 513 Byte lang, belegt sie mind. 2 Sektoren; im 2. Sektor nur das 1. Byte. Bleiben also noch 511 Bytes für andere Zwecke übrig. Wird die Datei gelesen, kommen beide Sektoren vollständig in das RAM. Das Betriebssystem weiss, dass nur 513 Bytes relevant sind; die Dateilänge steht im Datei-Header, das zuviel wird abgeschnitten - ist aber da! Der Schädling weiss von den restlichen Bytes, fragt das Betriebssystem, an welcher Adresse die Datei hingelesen wurde und springt direkt zu den 511 Bytes. Wer noch CP/M kennt (DOS ist weitgehend gleich!), weiss: mit diesen wenigen Bytes kann man viel nachladen und ausführen.
Wie soll man das entdecken? Linux oder das liebe alte DOS helfen. Unter Windows selbst ist das unmöglich, weil Windows den Zugang zu von ihm selbst verwendeten Daten sperrt. Jeder kennt das: z.B. Löschen nicht möglich (weil von einem anderen Programm noch verwendet). Nachvollziehen, was dann passiert ist aber sehr schwer und zeitaufwändig, da verstehe ich zu wenig.
Der BKA ist aber anders gestrickt: er schaltet den Zugang zum PC ab, weil er Explorer und Taskmanager durch einen Registry-Eintrag abschaltet. Dann sind keine Befehle an das Betriebssytem mehr möglich, das Eingangstor wurde verschlossen. Man könnte auch auch einfach die Rechte für Explorer.exe umändern: "Niemand darf verändern..." - mit dem gleichen Ergebnis. Bitte nie machen! Es reicht, wenn der BKA das macht.
LG mccs
(Danke Avira..)
.
