| |
| |||||||
Diskussionsforum: Backdoortrojaner von anderen Trojanern unterscheidenWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
23.12.2011, 18:00
| #11 |
 |  Backdoortrojaner von anderen Trojanern unterscheiden Hallo DV-Opa, ja, es ist jetzt eine Weile her, der betroffene Rechner wurde vom Freund gegen einen neuen ausgetauscht. Meine eigentliche Frage bleibt aber. Kurz zur allgemeinen Philosophie bzgl. BackdoorTJ: Die aufgerissenen Lücken, offene Ports, etc. benötigen teilweise gar kein laufendes Programm mehr auf dem infizierten Rechner, um Zugang von außen zu ermöglichen. Weiß man bei einem speziellen nicht, ob er dazu in der Lage ist, meine ich, ist es einfacher Neuaufzusetzen, als sich ewig auf die Suche nach diesen Löchern und Manipulationen zu machen und evtl etwas zu übersehen. Egal, wie selten solch "gute" BD-TJ sind. Aber wie gesagt, ewige Diskussion, muss hier jetzt nicht sein. Meine eigentliche Frage ist ja gerade: Woran erkennt man, ob eine gefundene Malware ÜBERHAUPT Backdoor-Funktionen hat. Was für mich heißt: Reißt selbst Lücken auf/kann irgendetwas nachladen (was dann seinerseits Lücken aufgerissen haben könnte, weiß man ja nicht). Erkennt man es an den Bezeichnungen der AV-Maschinen? Du hast jetzt etwas zu der einen Bezeichnung gefunden, aber ich hatte alle gegooglet, und sie unterscheiden sich in ihren Ausführungen enorm. Mal harmlos, mal so, wie Du schreibst. Dazu kommt, dass die meisten AV-Bezeichnungen sogar extra "BD" oder "Backdoor" im Namen stehen haben, sollte es einer sein. Hier hat keine AV so reagiert. FALLS es also an den Bezeichnungen zu unterscheiden ist: Wie? "Generic"? Oder doch nur "Backdoor"/"BD"? Liebe Helfer hier, wie unterscheidet Ihr es denn? Meine Helferin hatte es ja auch an den AV-Bezeichnungen erkannt. WIE an den Bezeichnungen? Oder wenn nicht an den Bezeichnungen, wie sonst? Ich hatte ja gedacht, es ginge vielleicht über die Emulation und Aufzeichnung per Sandbox. Im vorliegenden Fall war das das Ergebnis: Runtime Analysis Copies Itself To c:\Documents and Settings\test user\Application Data\Identities\{4C55E6E8-044E-11DF-8031-806D6172696F}\svghost.exe Registry Keys Created HKCU\Software\Microsoft\Windows\CurrentVersion\Run {4C55E6E8-044E-11DF-8031-806D6172696F} c:\Documents and Settings\test user\Application Data\Identities\{4C55E6E8-044E-11DF-8031-806D6172696F}\svghost.exe Registry Keys Modified HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer CleanShutdown 0x00000001 Processes Created c:\Documents and Settings\test user\application data\identities\{4c55e6e8-044e-11df-8031-806d6172696f}\svghost.exe c:\windows\system32\cmd.exe DNS Requests security-3761-microsoft.com Heißt für mich, dass es sich nur umherkopiert, einen Registryeintrag für sich selbst bastelt. Die cmd.exe hatte normalen Hash-Wert, also nix Schlimmes. ABER: Der DNS Request ist übel: Bedeutet: Lädt nach oder horcht. Richtig? Wenn ja, werde ich künftig diese Sandbox benutzen und nach Requests schauen, bzw. kreierte Datein wiederum selbst durch die Box schicken. Wäre das so richtig? Weiterhin danke für Antworten  |
| Themen zu Backdoortrojaner von anderen Trojanern unterscheiden |
| aktiv, aktuelle, anleitung, backdoor, backdoortrojaner, bds, bot, downloader, einfach, entdeck, falsche, feedback, frage, geeignet, jahre, log, malware, namen, rechner, seite, tan, thema, trojaner, trojanern, virus, wichtig |
Baum-Darstellung