Grundlagen der manuellen Identifizierung und Entfernung von Malware

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Oldi-40 schrieb:

      hast Du schon einmal überlegt woher der ganze Murks kommt?
      Was meinst du damit?

      Was der Artikel beschreibt, beschreibt der recht gut. Man darf das bloß nicht als Grundlage verstehen, um Malware erkennen und entfernen zu können.
      Die Grundlagen sind ein Verständnis und Wissen über interne Sachen des Betriebssystems und über die Wirkungs- und Vorgehensweisen der Tools, die man nutzt.
      Wenn man diese Grundlagen intus hat, muss man das, was Elise da erklärt, gar nicht lernen. Das kann man dann von selbst. Zuzüglich dazu kann man aber noch wesentlich mehr - man versteht, ohne dass man sich je mit diesen Tools beschäftigt hat, die LOGs der Tools. Hat man das Wissen nicht, versteht man die nicht.
      Außerdem sieht man an dem, was das Tool, das man nutzt nicht an Infos liefert, wo man es leicht manipulieren kann. Auch die Malwareschreiber wissen diese Grundlagen. Die sehen also beim Draufsehen auf das Tool bereits, wo man es manipulieren kann - der Quelltext wäre zwar noch besser, für viele Sachen braucht man den aber nicht.
      Zuzüglich dazu erhält jemand mit diesem Grundlagenwissen aus den Infos, die das Tool liefern müsste, aber nicht liefert noch mehr Infos über Malwarebefall, als jemand, der alles sieht.
      Grundlagenwissen muss dabei ständig erweitert werden - das ist nie abgeschlossen.

      Warum Elise das so schreibt willst du wissen???
      Ich denke, dass sie das so glaubt. Ich weiß nicht genau, wie viele White Papers Elise bereits in Code umgesetzt hat - und was sie dabei selbst herausgefunden hat. Ich kann nicht sagen, in wie vielen Foren Elise bereits mitgelesen hat, die sich mit dem Schreiben von Malwarebe beschäftigen. Ich weiß nicht, wie viele Codes zur Aufdeckung von Rootkits Elise bereits selbst entwickelt hat und ich kann auch nicht sagen, wie oft Elise bereits Programme geschrieben hat, die Malwaretechniken zum Verstecken verwenden, um diese an Tools auszutesten. Wie viele Sicherheitstools Elise entwickelt hat, weiß ich auch nicht.
      Ich denke aber nicht, dass Elise solche Artikel schreiben würde, wenn sie das alles getan hätte. Vielleicht irre ich mich da aber auch...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von AHT ()

    • Oldi-40 schrieb:

      Solche Dateien erkennt auch dein Scanner nicht.
      Mein Scanner erkennt gar nichts - ich erkenne was. Damit ich was erkenne, hole ich mir Infos mit dem Scanner. Was ich mir hole, bestimme ich.
      Dabei bin ich (und ist der Scanner) nicht auf das angewiesen, was er im Programmcode kann. Das ist jederzeit von jedem, der den Scanner nutzt, beliebig durch Scripte erweiterbar (ohne den Programmcode umschreiben zu müssen). Ob ich den Umfang des Scanners erweitere oder nicht, hängt davon ab, ob ich sehe, dass mir was fehlt oder nicht. Ob ich merke, dass mir was fehlt, hängt alleine von meinem Grundlagenwissen ab, was dauernd angepasst werden muss.
      Ob ich etwas merke oder nicht, hängt also komplett von mir ab - nicht von meinem Scanner. So sollte das eigentlich auch immer sein.

      Im Prinzip kann ich - ohne eine einzige Zeile im Code des Scanner zu ändern - aus dem Scanner ein ganz anderes Programm machen.
      Als ich angefangen habe, es möglich zu machen, mit Farbar Powershell Code auszuführen, hatte ich das gleiche auch mit dem Tool von Farbar vor.
      Einzige Einschränkung ist, dass das nur im Usermode möglich ist. Für den Kernel kann ich mir aber fast jedes beliebige Programm nachladen und ausführen lassen.

      Oldi-40 schrieb:

      Da wird ein Loch gestopft und drei neue Löcher geschaffen.

      Das immer wieder Lücken da sind, liegt daran, dass Programme von Menschen erstellt werden. Bei Menschen ist die Fehlerhaftigkeit als Überlebensstrategie bereits mit eingebaut. Ein wirkliches Programm, was keine Lücken hat, gibt es eigentlich nur in der Theorie. Je mehr Funktionalität, umso mehr Lücken gibt es in der Regel.
      Um Lücken zu finden, reicht es sehr oft aus, sich in andere Denkweisen hineinzuversetzen. Der Mensch kann das besonders gut - wichtig ist dabei aber ausreichend Platz im Kopf (und das sollte nicht unbedingt Hohlraum sein).

      Schaut man sich das Tool von Farbar (nicht den Quellcode) kann man zum Beispiel sehen, welches Wissen Farbar besitzt und was er definitv nicht weiß oder nicht berücksichtigt. Bei den Tools von Russinovich ist das auch so. Auch bei meinen Tools. Auch beim OS ist das so. Hat man ausreichendes Wissen über interne Funktionsweisen (über die API zum Beispiel), kann man schon sehen oder besser erahnen, wo man da irgendwo einhaken könnte und was die eventuell nicht berücksichtigen, die da den Code erstellen - weil die eben keine Malware schreiben.

      Bei dem rot hervorgehobenen sind wir übrigens schon beim Merksatz 2 für die Malwareanalyse und Entfernung. Das sollte man eigentlich immer im Hinterkopf behalten - das gilt natürlich auch für die Analysetools - auch für meine.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 12 mal editiert, zuletzt von AHT ()

    • Oldi-40 schrieb:

      Da wird ein Loch gestopft und drei neue Löcher geschaffen.
      Wenn eines gestopft wird, gehen drei neue durch die Presse - früher kam da wenig durch - da waren oft die Virenprogger schneller.
      Als Beispiel bringe ich da gerne Chris Padget. Padget hatte herausgefunden, dass durch einfaches Senden einer Timernachricht an ein Fenster eines höher privilegierten Prozesses dessen Rechte vom eingeloggten User übernommen werden konnten.
      Padget hatte damals Microsoft einen generellen Konstruktionsfehler vorgeworfen. Microsoft hat das unter den Teppich gekehrt.
      Was Padget nicht erwähnt oder nicht gesehen hatte: Das ging mit jedem Fenster, nicht nur mit einem Edit!
      Anfangs brachte sogar jede Windowsversion solch ein Fenster mit. Im Prinzip wurde die Sache erst mit XP SP2 so gefixt, dass es über diese Nachricht nicht mehr möglich war, das so zu tun.
      Wenn man das etwas genauer betrachtet, war also das ganze Sicherheitssystem von Windows, bis XP SP2 herauskam, für den Arsch, weil jeder Gast, der irgendwie die Möglichkeit hatte, ein beliebiges Programm auf einem Firmenrechner auszuführen, sich mehr Rechte verschaffen konnte, als jeder Admin auf dem Gerät. :8O: :roll: :wacko:

      Padget wurde dann später von Microsoft eingestellt - und aus dem Grund, weil das so möglich war, gibt es seit Vista die UAC.
      Früher war es eher so, dass drei neue Sicherheitslücken von Malwareschreibern gefunden wurden, bis eine überhaupt nur halbwegs gefixt war. Die Situation hat sich gewaltig verbessert.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Hallo AHT,

      AHT schrieb:

      Mein Scanner erkennt gar nichts - ich erkenne was. Damit ich was erkenne, hole ich mir Infos mit dem Scanner. Was ich mir hole, bestimme ich.
      Und den verschachtelten Mist erkennst Du sicher nicht. Das sind normale Dateien die die relevanten Infos am Anfang und am Ende haben. Windows schaut z.B. normal auf das Ende einer Zip-Datei. Wenn man davor Malware einfügt merkt es dein Scanner nicht.

      Ich will jetzt nicht auf den PPFScanner einprügeln, sondern nur ein Problem ansprechen.

      AHT schrieb:

      Wenn eines gestopft wird, gehen drei neue durch die Presse - früher kam da wenig durch - da waren oft die Virenprogger schneller.
      Die Presse war früher langsamer, dafür aber gründlicher. :pfeifend:

      Ansonsten haste wohl Recht mit deiner Aussage.

      Tschau
    • Herumliegende Exploittechniken erkennt man bei einer solchen Analysen nicht. ZIP Dateien untersuche ich gar nicht. Darum geht es auch gar nicht.
      Ich untersuche ja auch keine Mailanhänge, um da irgendwo Malware zu finden. Noch nicht einmal .DOC Dateien, die irgendwo abgelegt sind, interessieren mich bei einer solchen Analyse. Noch nicht einmal das.
      Dateien, die irgendwo auf dem Rechner liegen und nur dann ausgeführt werden, wenn der User sie anklickt, interessieren mich auch in der Regel nicht. Wenn irgendwo was liegt, habe ich keine Chance per Augenmaß großartig festzustellen, dass das so ist (nur mit Virenscanner). Dafür liegt auf einem Rechner zu viel rum.
      Darum geht es auch gar nicht.

      Was genau tut die Datei - was muss ich tun, damit sie was tut?
      Das muss ich erst mal wissen. Ansonsten kann ich dazu gar nicht viel sagen.
      Dann kann ich schauen, ob ich da auf irgendeine Art etwas sehen kann und ob ich das überhaupt einbauen muss (oder ob schon was drin ist, im Script, was mich da aufhorchen lässt).
      Bei Exploittechniken weiß man immer nicht, ob die auch wirklich immer funktionieren.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Da bei mir der Exploit nicht läuft, machen wir das mal in der Theorie:
      1. Wird eine Malwaredatei so gestartet, ist die (in der Praxis eigentlich immer) nicht signiert. Ich kann dann sehen, welcher Prozess diese nicht signierte Datei gestartet hat (Parent-PID). An der Stelle kann ich mich dann wieder über Methoden informieren, über die von dieser "nicht Malware Datei" aus anderer Code ausgeführt werden kann.
      2. Wird eine Microsoft Datei gestartet, muss die ja irgendwas anderes laden, was wiederum die Malwareaktionen ausführt. Das da Malware läuft, sehe ich an den Parametern, die der Datei beim Start mitgegeben wurden. Auch kann ich dann den Starter wieder über die Parent-PID ermitteln.
      3. Im Betriebssystem selbst gibt es nur wenige Stellen, die generell irgendwelche harmlos aussehenden Fremddateien laden und im Autostart sitzen. Packt man da in den Autostart was rein, was da nicht rein gehört, fällt das eigentlich auf.
      4. Das an den Stellen zu tun, wo das eventuell im Autostart möglich ist, ist extrem riskant. Klappt da was nicht, weil man zum Beispiel bei einem Bufferoverflow was nicht korrekt berechnen kann, weil Microsoft das per Absicht oder Zufall verhindert, fällt solche "Software" meist dadurch auf, das etwas abstürzt. Man macht also zusätzlich auf sich aufmerksam (und will sich ja eigentlich verstecken).
      Was auf jeden Fall immer fehlerfrei im Autostart funktioniert, sind solche Sachen wie DLL-Hijacking. Gelingt es irgendwo, eine Pfadungenauigkeit auszunutzen, muss ich nur irgendwo an bestimmten Stellen etwas ablegen, damit das auch gestartet wird. Ist es erst mal im Speicher, kann ich Sachen oft so manipulieren, dass der Code dort gar nicht sichtbar ist, der da zusätzlich ausgeführt wird. Aber auch bei der Sache hat man sehr gute Chancen, andere Spuren zu finden, die dann direkt auf Malwarebefall hindeuten.

      Solche Techniken, an die du denkst, sind wunderbar dazu geeignet, Rechner zu infiziert - in der Regel kann man das schlecht dazu nutzen, Malware wirklich am Laufen zu halten.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()

    • Hallo AHT,

      Calc.Zip ist kein Exploit.

      Das ist ein Chamäleon. :thumbsup:

      So ein Quatsch kann jahrelang auf dem PC liegen. Mit der richtigen Anweisung telefoniert er nach Hause und wird zum Spion.

      Ich will nur sagen, solche Schläfer findet man nie.


      AHT schrieb:

      Solche Techniken, an die du denkst, sind wunderbar dazu geeignet, Rechner zu infiziert - in der Regel kann man das schlecht dazu nutzen, Malware wirklich am Laufen zu halten.
      Jo, das stimmt.
      Aber muss Malware immer laufen?

      Tschau
    • Techniken zum Aufdecken von Chameleons habe ich auch schon geschrieben. Welche Technik verwendet er da?
      Was muss ich tun, damit das aktiv wird? Was braucht man, damit die Technik funktioniert?
      Ich habe meinen Programmierrechner hier noch nicht wieder in Gang. Da habe ich ein paar Tools drauf.
      Wenn du da Beschreibungen hast, würde mich das wirklich sehr interessieren. Ob ich das im Augenblicke sehe, was da passiert, kann ich noch nicht sagen. Das hängt von der Technik ab.

      Auch ein Chameleon braucht erst mal irgendetwas, was das Ding erzeugt- das kann in der Regel kein Chameleon sein. Hier wird das die ZIP sein, die ausgeführt werden müsste. Chameleons, die ich kenne, überschreiben Prozesspeicher mit eigenem Code, der dann ausgeführt wird.

      Oldi-40 schrieb:

      Aber muss Malware immer laufen?
      Natürlich muss sie das nicht. Ein einmaliges Laufen reicht. Aber analysiert du vor jedem Klick, den du durchführst (und nachher auch) alle Dateien des Rechners? Er könnte ja durch den Aufruf einer Internetseite infiziert sein. Es könnte zum Beispiel durch Malware ein Spectre Exploit ausgeführt worden und dir Passwörter gestohlen worden sein.
      Jede unsignierte EXE, die der User auf dem Rechner hat, könnte Malware sein. Untersuchst du von jeder unsignierten EXE den Code? Öffnest du jede DOC und schaust da nach Code, der da drin sein könnte? Jede Batch auch - und jede VBS?
      Virenscanner machen so etwas. Liegt irgendwo was unbekanntes rum (das kann auch im Internet sein), hast du definitiv verloren, wenn das ausgeführt wird. Auch mit einem Virenscanner hast du verloren, wenn die Malware das richtig macht.

      Malware muss noch nicht einmal lange auf dem Rechner bleiben. Will man den Rechner nicht dauernd unter Kontrolle haben, wäre eigentlich das beste überhaupt, den User einmal sofort etwas ausführen zu lassen (oder selbst zu starten) und dann die EXE sofort wieder zu löschen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 8 mal editiert, zuletzt von AHT ()

    • Hallo AHT,


      AHT schrieb:

      Was muss ich tun, damit das aktiv wird?
      Vielleicht den Link im Startmenue anklicken?

      AHT schrieb:

      Was braucht man, damit die Technik funktioniert?
      Nix.

      AHT schrieb:

      Chameleons, die ich kenne, überschreiben Prozesspeicher mit eigenem Code, der dann ausgeführt wird.
      Ich meine Programme, die heute ein Rechner (calc) sind und bei einem anderen Aufruf coole Sachen machen.

      AHT schrieb:

      Jede unsignierte EXE, die der User auf dem Rechner hat, könnte Malware sein. Untersuchst du von jeder unsignierten EXE den Code? Öffnest du jede DOC und schaust da nach Code, der da drin sein könnte?
      Jo, stimmt. :wacko:
      Norton hat den Ansatz ja wohl mal verfolgt.
      - Zum Glück hatte ich ein Backup meiner Arbeit.

      AHT schrieb:

      Will man den Rechner nicht dauernd unter Kontrolle haben, wäre eigentlich das beste überhaupt, den User einmal sofort etwas ausführen zu lassen (oder selbst zu starten) und dann die EXE sofort wieder zu löschen.
      Was meinste damit?

      Tschau

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Oldi-40 ()

    • Oldi-40 schrieb:

      Mit der richtigen Anweisung telefoniert er nach Hause und wird zum Spion.
      Bei welchen Aufruf macht deine ZIP Coole Sachen?

      Oldi-40 schrieb:

      Was meinste damit?
      Auftrag erledigen und dann eigene EXE löschen - machte der Installer von Mediyes so.

      Oldi-40 schrieb:

      Vielleicht den Link im Startmenue anklicken?
      Welchen Link im Startmenü?
      Soll da einer erstellt werden? Du sprichst in Rätseln...
      Bei mir passiert absolut nichts. Hab mich schon gewaltig angestrengt und auf was wirklich cooles gehofft.

      Oldi-40 schrieb:

      Mit der richtigen Anweisung telefoniert er nach Hause und wird zum Spion.
      Wenn er ohne richtige Anweisung etwas tut, ist das noch weniger zu sehen. Ansonsten fällt das manchmal trotzdem ins Auge. Aber nur irgendwo rumliegen und alle Jubeljahre was tun (und das vielleicht auch noch zufällig), will Malware eigentlich gar nicht. Das ist wie bei der Arbeitsstelle: Schnarcht man den ganzen Tag nur rum, fliegt man irgendwann raus.
      Solche Malwareanalysen sollte man nicht als komplette Bereinigung missverstehen. Wenn erst mal was aktiv ist, kann man natürlich sehr viele Sachen finden, die mit dazu gehören und irgendwo schnarchen (auch wenn die sich nicht selbst aktiovieren) - je nach Techniken, die man dafür verwendet und nach den Techniken, die die Malware verwendet, damit sie beim Schnarchen nicht gleich gehört wird.
      Viel wichtiger ist es aber zu wissen (und da sehe ich die eigentliche Aufgabe so einer Analyse), wie viel Macht der Andere über den Rechner gewonnen hat und welche Fehler man gemacht hat, um das überhaupt zu ermöglichen.
      Kennt man seine Fehler, wiederholt man die eigentlich nicht - es sei denn, man hat komplett den Verstand verloren. Dann interessieren auch diese "Schläfer" etwas weniger, die irgendwo vielleicht noch liegen, aber selbst nichts tun. Denn den Fehler, die selbst zum Leben zu erwecken, macht man dann vielleicht gar nicht mehr.

      Das ist eigentlich Kontext jeder Analyse, die ich durchführe - zu schauen, in wie weit Macht über den User gewonnen worden ist und ihm seine Fehler aufzuzeigen, die dazu geführt haben, dass jemand anderes diese Macht bekommen hat.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

    • Hallo AHT,

      AHT schrieb:

      Bei welchen Aufruf macht deine ZIP Coole Sachen?
      Die ZIP macht nix, hier ist ja nicht das Darknetz.

      AHT schrieb:

      Auftrag erledigen und dann eigene EXE löschen - machte der Installer von Mediyes so.
      Kann man machen.

      AHT schrieb:

      Welchen Link im Startmenü?
      Soll da einer erstellt werden? Du sprichst in Rätseln...
      Bei mir passiert absolut nichts. Hab mich schon gewaltig angestrengt und auf was wirklich cooles gehofft.
      Das war eine Inspiration für die Pöhsen Buben.

      AHT schrieb:

      Wenn er ohne richtige Anweisung etwas tut, ist das noch weniger zu sehen. Ansonsten fällt das manchmal trotzdem ins Auge. Aber nur irgendwo rumliegen und alle Jubeljahre was tun (und das vielleicht auch noch zufällig), will Malware eigentlich gar nicht. Das ist wie bei der Arbeitsstelle: Schnarcht man den ganzen Tag nur rum, fliegt man irgendwann raus.
      Das kommt auf die Qualität der Daten an.


      AHT schrieb:

      Viel wichtiger ist es aber zu wissen (und da sehe ich die eigentliche Aufgabe so einer Analyse), wie viel Macht der Andere über den Rechner gewonnen hat und welche Fehler man gemacht hat, um das überhaupt zu ermöglichen.
      Jo, das stimmt. :top:


      AHT schrieb:

      Kennt man seine Fehler, wiederholt man die eigentlich nicht - es sei denn, man hat komplett den Verstand verloren.
      Nunja, Einstein sieht es anders.
      falschzitate.blogspot.com/2017…n-wahnsinn-ist-immer.html

      Tschau
    • Oldi-40 schrieb:

      Das war eine Inspiration für die Pöhsen Buben.
      In meiner Mail gebe ich dir in 6 Punkten Inspirationen, die von bösen Buben kommen. In der Regel geht das in diese Richtung - nicht anders herum.
      Die bösen Buben sind leider sehr gut informiert. Als "lieber Kerl" kommst du gar nicht unbedingt an diese Infos ran, weil andere lieben Kerle denken, du wärst ein böser Bube, wenn du nach bestimmten Sachen fragst.
      Von den bösen Buben erfährt man immer alles, was man wissen muss.
      PS: Ich muss gestehen - was du mir damit zeigen und sagen wolltest, ist mir immer noch ein Rätsel.

      Oldi-40 schrieb:

      Nunja, Einstein sieht es anders.
      Der sah das doch genau so. Oder?


      Oldi-40 schrieb:

      Die ZIP macht nix, hier ist ja nicht das Darknetz.
      So eine ZIP müsste auch nichts tun, die braucht man gar nicht, denn auf jedem Rechner sind Dateien vorhanden, die etwas cooles tun, wenn man sie passend aufruft:
      • WSCRIPT.exe
      • CScript.exe
      • Powershell.exe
      • CMD.EXE
      • ...
      Problem dabei ist immer: Man muss sie irgendwie passend aufrufen.
      Die Frage ist dann auch immer: Kann man nicht sehen, dass man sie passend aufgerufen hat?
      Malware will in der Regel ja nicht nur Millisekunden lang irgendetwas tun und dann niemals wieder.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

    • Bitteschön gibt es irgendwo im Netz eine systematische Übersicht, welche Formen von Malware eigentlich existieren? Ich stelle mir so eine Art "Chemische Elemente"-Tafel vor. Bisher keine Zusammenschau gefunden ausser Wiki, aber das erscheint mir eher dürftig.
      Weiters würde mich eine Untersuchung darüber interessieren, WER eigentlich so viel Zeit hat, Malware zu schreiben und damit seinen Mitmenschen zu schaden? Welcher Täterkreis/Typus? Jugendliche aus Fadesse? Organisierte Banden? Gibt es Anstifter?

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von p. specht ()

    • Hallo p.specht,

      p. specht schrieb:

      Bitteschön gibt es irgendwo im Netz eine systematische Übersicht, welche Formen von Malware eigentlich existieren?
      Meiner Meinung nach, kann so eine Übersicht nicht existieren.

      Früher wollten die Malwareautoren ihre Fähigkeiten beweisen, jetzt geht es nur noch ums Geld.

      p. specht schrieb:

      Weiters würde mich eine Untersuchung darüber interessieren, WER eigentlich so viel Zeit hat, Malware zu schreiben und damit seinen Mitmenschen zu schaden?
      Die Daten die von Malware abgegriffen wird, kann man Verkaufen.
      Bei 1 Million Datensätzen konnte man schon mal 1,5 Millionen $ erlösen.
      Ich habe keine Ahnung von deinem Stundenlohn, aber ich glaube es rechnet sich.


      p. specht schrieb:

      Welcher Täterkreis/Typus? Jugendliche aus Fadesse? Organisierte Banden? Gibt es Anstifter?
      Anstifter ist das Geld. :-D

      Die Täter können organisierte Banden sein. Auch Staaten mit ihren Geheimdiensten kommen als Malwareautoren in Bertracht.
      spiegel.de/netzwelt/web/plumpe…atstrojaner-a-790931.html

      Die großen Malwareprogramme wie Facebook, Microsoft, Google, ... lasse ich mal außen vor.

      Tschau
    • Danke ... fürs Erste. Bisher scheint es kein Rezept zu geben, bei dem das Übel an der Wurzel gepackt wird. Es sei denn, man glaubt an "Antiviren-Software". Mir will nur nicht in den Schädel, welche Auftraggeber Geld für gestohlene Daten zahlen. Die müsste man mal exemplarisch an den Pranger stellen.

      Die weitere Eskalation (Evolution?) dürfte dann nicht nur zu "Gegenviren" und "Impfviren", sondern auch zu "Bakterien" und höheren "Organismen" von Malware und ihrer Bekämpfung führen: Hurra, Krieg schafft Arbeitsplätze?
    • p. specht schrieb:

      Bitteschön gibt es irgendwo im Netz eine systematische Übersicht, welche Formen von Malware eigentlich existieren?
      So was?

      p. specht schrieb:

      Danke ... fürs Erste. Bisher scheint es kein Rezept zu geben, bei dem das Übel an der Wurzel gepackt wird.
      1. Malware gar nicht erst auf den Rechner lassen.
        • Man informiert sich darüber, was Malware will, wie sie auf den Rechner kommen kann und was man als Person tun kann (oder besser nicht tun sollte), damit sie nicht gar nicht erst die Möglichkeit hat, sich auszuführen.
          • Das TDSS RootKit hängt zum Beispiel mit Pornoseiten aus Russland zusammen. Wenn man sich unbedingt Pornos ansehen muss, würde ich persönlich das auf einem extrem abgesicherten System tun. Also im Prinzip auf einer vituellen Maschine, mit der ich ansonsten nichts großartig andere Sachen tue.
          • Stecke ich Datenträger in mein Gerät, achte ich penibel darauf, was ich anklicke und das mein Betrienssystem wirklich aktuell und nicht gerade neu installiert ist.
          • ...
      2. Habe ich den Verdacht, dass Malware sich ausgeführt haben könnte, untersuche ich den Rechner auf die Art, wie sie hier grob beschrieben ist. In der Praxis kommt da noch einiges hinzu, auf das man achten muss und das einem Hinweise geben könnte, dass Malware läuft. Man schlägt also nicht die Hände über dem Kopf zusammen, denkt, man sei der Kugelblitz (es wird deshalb schon nichts passiert sein) und schmeißt sofort alle Hardware in dem Müll, weil die eventuell ja infiziert sein könnte.
        • Man schaut dabei nach dem Grund, warum sich Malware ausführen konnte (und ob ein Problem überhaupt an Malware lag). In der Regel kann man dann sein eigenes Verhalten anpassen, wenn wirklich Malwarebefall vorlag.,
      3. Der Malware die Verdienstgrundlage und weitere Möglichkeiten abschneiden.
        • Die Analyse ergeben, dass man mir eventuell Passwörter stehlen wollte, ändert man die.
        • Ist etwas strafrechtlich relevantes passiert, ist es manchmal recht effektiv, die Polizei einzuschalten. Selbst wenn das nicht der Fall ist (Sachen also vielleicht außerhalb der Strafbarkeit liegen), hilft das manchmal. Im Mediyes Fall hat nach Einschaltung der Kripo damals jemand jemand im Ausland, der sich eigentlich nicht gerne von der Polizei auf die Füße treten lassen wollte (wer will das schon), bestimmte Geschäftsverbindungen abgebrochen. Es war dann nachher nicht mehr möglich, so einfach an Signaturen zu kommen und dann mit einem Geschäftskonzept (vermutlich signierter Bitcoin Miner) die erhofften Millionen zu verdienen. Stattdessen war dann "Pleite" angesagt.
          • Wenn man über ausreichend Analysemöglichkeiten verfügt, ist es manchmal (wenn man mehrere infizierte Rechner zur Verfügung hat) sehr genau bestimmbar, wer hinter Aktionen steckt (manchmal lässt sich jeder Klick nachvollziehen), obwohl sehr trickreich versucht wird, das eigentlich zu verhindern.
        • Ist der Rechner infiziert, sehe ich zu, dass er das möglichst schnell nicht mehr ist.

      p. specht schrieb:

      WER eigentlich so viel Zeit hat, Malware zu schreiben und damit seinen Mitmenschen zu schaden?
      Leute mit sehr, wirklich oft sehr viel Durchblick - in der Regel aus etwas ärmeren Gegenden dieser Welt, die nicht viel Möglichkeiten bieten, die gleiche Anzahl an Moneten auf reguläre Weise zu verdienen. Der Dirchblick teilt sich da oft auf mehrere Personen Dank Vernetzung auf.
      In der Regel sind das Leute, denen sowieso egal ist, wie Knete in die Kasse kommt - Hauptsache sie ist am Ende voll.
      Das dir geschadet wird, ist ein Nebeneffekt. Oft versucht man da zu vermeiden, dass du zeitnah selbst auf diesen Nebeneffekt stößt.

      p. specht schrieb:

      Mir will nur nicht in den Schädel, welche Auftraggeber Geld für gestohlene Daten zahlen.
      Malware stielt nicht nur Daten, sie führt auch weitere Aktionen aus. In der Regel zahlen solche Leute Geld für Malwareaktionen, die bereits (etwas) Geld haben. Es reicht aber noch nicht aus (? wann tut es das schon ?).
      • Firmen zahlen zum Beispiel Geld, um mit DDOS Attacken ihren Konkurrenten zu schaden.
      • Für Mailadressen und Kontaktdaten wird Geld bezahlt, damit die Wahrscheinlichkeit erhöht wird, dass jemand eine Mail auch liest, wenn sie verschickt wird. Geld dafür bezahlen Versender von Spammails, Phishing -Mails oder Programmierer anderer Viren.
      • Für Daten über dich (deine Passwörter, dein Geburtsdatum, deine Mailadresse,...) zahlen Leute, die deine Identität übernehmen wollen, um in deinem Namen (oder auf deine Kosten) weitere Straftaten zu begehen.
      • ...


      p. specht schrieb:

      Es sei denn, man glaubt an "Antiviren-Software"
      Computer sind extrem dumm. Sie können maximal 1 und 1 zusammenzählen - und bekommen am Ende immer 0 heraus.
      Zentrales Ding im Konzept gegen Malware ist immer der Mensch. Wer einer Maschine das Denken überlässt, hat bereits verloren.
      Wenn man sich einmal ansieht, wie einfach man bei einer Analyse innerhalb von Sekunden oft auf Malware stößt, die das maschinelle Konzept komplett übersieht, wird das sehr deutlich.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      p. specht schrieb:

      Bitteschön gibt es irgendwo im Netz eine systematische Übersicht, welche Formen von Malware eigentlich existieren?
      So was?

      Dazu noch was:
      Die Art der Malware lässt sich oft am Namen der Malware erkennen, die ein Virenscanner ihr gibt. Mal ein paar Beispiele:
      Bei einem Backdoor, der Passwörter stielt, sind ganz andere Aktionen im Nachhinein nötig, als bei einer Adware, die eventuell nur Bitcoins ausgräbt oder einer Malware, die definitiv ein Keylogger ist.

      Es ist da immer angebracht, sich mehrere Meinungen einzuholen, um am Ende einen Überblick zu bekomme, wie sicher so eine Zuordnung wirklich ist. Virustotal ist da ein guter Anlaufpunkt für so etwas. Habe ich Malware identifiziert, schaue ich da zuerst nach der MD5 oder lade die hoch.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 7 mal editiert, zuletzt von AHT ()