Hallo liebe Gemeinde,

ich habe eine wohl allgemeinere Frage, als ich in meinem Thread angenommen habe, darum poste ich jetzt hier.

Woran kann man erkennen, dass ein entdeckter Trojaner eine Backdoorfunktion hat (oder zweiter Schritt auch ein Downloader ist, der etwas Backdoorfähiges nachgeladen haben könnte)?

Ich bin zuständig, mich um Verseuchungen der Rechner meiner Eltern, manchmal meiner Freunde zu kümmern. Normalerweise gehe ich die Scans durch, bereinige, breche aber ab, wenn mir ein Backdoorprogramm in die Finger kommt -> Neuaufsetzen. Mir unbekannte Malware ergoogle ich dabei. Wahrscheinlich machen die meisten das so, auch wenns nicht optimal ist, für eine Ausbildung bei Euch reichts zeittechnisch momentan leider nicht.

Backdoor erkennen ist also sehr wichtig, klar, ich dachte, ich könnte das auch ganz gut, aber ich habe in einem Thread momentan eine Malware thematisiert, die ich für ziemlich harmlos hielt und jetzt das Feedback bekommen, dass es ein Backdoor-T ist. Und ich erkenne es einfach nicht!

Ich bin sonst nach den Virustotal-Signaturen gegangen und habe auf BDS, Backdoor und bot geachtet. Beziehungsweise Eigennamen ergooglet auf Verhaltensanalysen hin und den Risiko-Einordnungen der Antivirenhersteller. Und auch hier im Forum.
Das ist aber offensichtlich nicht ausreichend und zu oberflächlich.

Hat hier jemand eine bessere Anleitung?

Optimal wäre es wohl, wenn ich es in Verhaltensanalysen selbst erkennen könnte. Was haltet Ihr von dieser Seite?
hxxp://www.sunbeltsecurity.com/sandbox/
Wenn man die Malware dort emuliert durchlaufen lässt (habe ich auch mit dem aktuellen Programm), müsste es doch eindeutig erkennbar sein im Log, oder?
Das sieht dann zB so aus: hxxp://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=84678076&cs=87CC8D918ABFBE06CB7760CFFBEF306E

Worauf müsste ich dort dann achten? Oder ist der Sandboxlog dafür nicht geeignet, Kanonen auf Spatzen? Wie dann?

Ich hoffe, es ist nicht zu ausufernd für Euch, mir das zu erklären. Fühle mich nicht wohl, Rechner anderer zu bereinigen, wenn ich nicht davon ausgehen kann, einen Backdoor erkennen zu können. Ich war auch vor einigen Jahren hier aktiv, hoffe ich habe keine falschen Ratschläge erteilt -.-

Danke für eine Antwort,

Lavia, ehemals LavLa

"Trojaner" sagt nur was über den Verbreitungsweg aus (Vortäuschung eines anderen Zwecks), nichts über die Funktion - mehr nicht.

Ein Backdoortrojaner ist also "nur" ein Backdoorprogramm, was als Trojaner bzw. mit Hilfe eines Trojaners auf ein System gekommen ist.
AV-Hersteller versehen halt einen "Downloader" oder ein Backdoorprogramm mit dem Zusatz "Trojan", wenn diese Malware zuerst sich "trojanisch" verbreitet hat bzw. typischerweise am Anfang der Verbreitungskette etwas "Trojanisches" steckt.
Analoges gilt für Würmer, auch "Worm" sagt nichts über die Schadwirkung oder da Schadpotential, nur über den (üblichen) Weg der Infektion aus und über die Selbstreplikation.

Und wie erkenne ich, ob eine Malware eine Backdoorfunktion hat? (Egal, ob Trojaner, Wurm, Virus etc). Da war der Titel wohl irreführend.

Gut programmiert so gut wie gar nicht.
Wobei ich da zugegeben nicht der richtige Ansprechpartner bin.
Aber "gute" (= technisch gut und fortschrittlich programmierte) Malware soll durchauserkennen "wo" es gerade ist und im Zweifelsfall einfach die Klappe halten.

Oder meinst du anhand des von AV-Herstellern vergebenen Namens?

Zitat:

Zitat von Shadow

Oder meinst du anhand des von AV-Herstellern vergebenen Namens?

Ja genau, zum Beispiel ("Signaturen" war hier der völlig falsche Begriff, sry). Wie gesagt, ich dachte, BDS, Backdoor, bot.
Aber stimmt ja wohl nicht. Und meine anderen oben beschriebenen Unterscheidungsversuche reichen wohl auch nicht.

Sonst würde ich verstehen, weshalb die aktuell von mir gefundene Schadsoftware gegen mein bisheriges Verständnis von meiner Helferin als Backdoortrojaner klassifiziert wurde.

Den Unterschied zwischen Trojaner, Virus, Wurm und Co kenne ich und mir ist auch klar, dass man eine geschicktes Backdoorprogramm evtl. nicht entdecken kann und bin auch der Meinung, wenn etwas Backdoorfähiges auf einem Rechner ausgeführt wurde, ist Neuaufsetzen das einzig Sinnvolle, etc etc

Meine Frage ist, wie sehe ich einer bereits auf einem Rechner entdeckten Malware an, ob sie eine Backdoor erschaffen kann oder in der Lage ist, vielleicht etwas Backdoorfähiges nachzuladen? Wenn nicht an den Bezeichnungen der Av-Hersteller, dann eben vielleicht an einer Verhaltensanalyse nach Ausführen in einer Sandbox? Wie interpretiere ich die dahingehend? s. Link.

Aktuell ist es mir wichtig, weil ich das, was ich bei einem Freund fand, für wahrscheinlich relativ harmlos hielt; jetzt höre ich hier auf Nachfrage, es sei ein Backdoor-T, würde es gerne selbst nachvollziehen können, um es ihm zu erklären und ihn vom Neuaufsetzen überzeugen zu können.

Und generell würde ich es künftig gerne besser unterscheiden können, damit ich in meinem Kreis keine tief-kompromittierten Systeme nur bereinige.

Zitat:

Zitat von LavIa

... mir ist auch klar, dass man eine geschicktes Backdoorprogramm evtl. nicht entdecken kann und bin auch der Meinung, wenn etwas Backdoorfähiges auf einem Rechner ausgeführt wurde, ist Neuaufsetzen das einzig Sinnvolle, etc etc

Wie kommst du auf die Idee, dass Neutaufsetzen die einzige Möglichkeit ist?
'Backdoor' heißt ja nicht, dass es ein Programm ist, dass sich unendlich gut versteckt, es heißt nur, dass es eine ungewollte Verbindung im Hintergrund aufbauen kann. In den meisten Fällen sind dies auch nur irgendwelche Prozesse die wie alle anderen ausgeführt werden. Einige injecten sich zwar in andere Prozesse, so dass diese im Taskmanager nicht so einfach auffindbar sind, weil sie den selben Namen und selben Datei Pfad wie der Standard Browser haben, jedoch muss dafür jedes Mal ein anderer Prozess ausgeführt werden der in den Browser z.B injected. Das heißt, dass 90% aller Backdoors, Bots, Downloader usw. in den Autostart Einträgen der Registry zu finden sind. Einige sind auch in der Aufgabenplanung oder in den Diensten zu finden.
Jedenfalls kann man 99% der Maleware entfernen wenn man im Angesichtern Modus (so dass keine Nicht-Windows-Prozesse Mitstarten) alle Autostart Einträge, Aufgabenplanungen und Nicht Windows Dienste deaktiviert.
Es gibt dann natürlich auch noch die sehr seltenen Fälle, dass sich Maleware als Treiber tarnt und so jedes Mal startet wenn windows die Treiber lädt, aber das schafft nur sehr gut Programmierte Maleware (z.B Stuxnet, mit der Atomkraftwerke angegriffen worden sind).

Zitat:

Zitat von LavIa

Meine Frage ist, wie sehe ich einer bereits auf einem Rechner entdeckten Malware an, ob sie eine Backdoor erschaffen kann oder in der Lage ist, vielleicht etwas Backdoorfähiges nachzuladen? Wenn nicht an den Bezeichnungen der Av-Hersteller, dann eben vielleicht an einer Verhaltensanalyse nach Ausführen in einer Sandbox? Wie interpretiere ich die dahingehend? s. Link.

Indem du deinen Internetverkehr überwachst kannst du sehen ob ein Prozess eine Internetverbindung aufbaut und somit ein Backdoor ist.
Außerdem kannst du mit den dort herausgefundenen IP Adressen den Angreifer bei der Polizei melden .

Tut mir leid, wenn man so wenig Ahnung hat wie du, sollte man bitte anderen keine Tipps geben, man darf aber mitdiskutieren um was zu lernen.
Erkundige dich bitte erst einmal wie ein Router funktioniert, was NAT/PAT ist etc. pp. Nix für ungut.
Übrigens: Malware hat mit männlich (male) nichts zu tun, der Name kommt von malicious, auch wenn einige "fundamentalistische Feministinnen" vielleicht male = malicious setzen würden. (männlich = bösartig)

Und nein, Backdoor heißt nicht nur unerwünschte Verbindung nach außen, sondern deutlich mehr. Simples "phoning home" ist kein Backdoor.

Zum lernen bin ich immer Bereit und wenn ich irgendetwas falsches gesagt habe, dann bitte ich um Berichtigung.
Und was haben Router mit diesem Theard zu tun?
Naja, das Malware nichts mit "male" zu tun hat weiß ich, wenn du noch ein wenig weiter forscht wirst du noch viel mehr Rechtschreibfehler finden .
Ja klar ein Backdoor ist nichts anderes als ein alternativer, versteckter Weg Zugriff zu erlangen, wie der Name "Backdoor" => "Hintertür" schon sagt.
Das heißt, dass es nicht in jedem Fall gleichzusetzen mit einer Unerwünschten Verbindung nach Außen ist, jedoch wird ein Backdoor in den meisten Fällen dazu benutzt, damit jemand von außen über eine Internet Verbdindung Zugriff erlangt, um entweder Vollzugriff über den PC zu besitzen, wie es bei einem RAT der Fall ist oder um bestimmten Schadcode z.B für DDOS Angriffe auf den PC zu laden oder wichtige Informationen (PWs usw.) von dem PC herunterzuladen.

Wäre dankbar bei Falschinformationen berichtigt zu werden, anstatt einfach nur zu sagen, dass ich keine Ahnung habe.

Zitat:

Zitat von N33DH33LP

Wie kommst du auf die Idee, dass Neutaufsetzen die einzige Möglichkeit ist?

Oh je, ich habe es nur angesprochen, damit eben grade NICHT die Konsequenz mir erklärt oder diskutiert werden muss.

Und ich habe nicht geschrieben, dass es das einzig Mögliche ist (das wäre falsch), sondern ich der Meinung bin, dass es das einzig Sinnvolle ist.

Bitte für eine Disukssion, ob man bei einem Backdoor-Befall Neuaufsetzen muss/soll/darf/bla, ein neuer Thread. Das gabs doch schon zu Hauf und wurde hier schon vor 4 Jahren zum Erbrechen diskutiert, als ich damals aktiv war.

Würde mich nicht wundern, wenn sonst meine eigentliche Frage hier untergeht... Und ich passe hier doch schon so auf, dass ich mich möglichst eindeutig ausdrücke, nachdem im eigentlichen Thread es seit Tagen ein aneinander-vorbei-Schreiben ist.

Zitat:

Zitat von N33DH33LP

Indem du deinen Internetverkehr überwachst kannst du sehen ob ein Prozess eine Internetverbindung aufbaut und somit ein Backdoor ist.

Wie schließe ich aus, dass dies nicht schon geschah, bevor ich zu Hilfe gerufen wurde? Oder eine offene Backdoor gerade nur nicht genutzt wird? Wäre es nicht einfacher möglich, den Schadcode auf einem Testsystem auszuführen und zu überprüfen, was er dann konkret tut?
Wie eben zum Beispiel hier das Log einer Ausführung in einer Sandbox:
hxxp://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=84678076&cs=87CC8D918ABFBE06CB7760CFFBEF306E
Woran erkenne ich da, dass es ein Backdoortrojaner in dem Fall ist?

Und meine Helferin hat es an diesem Virustotal-Ergebnis erkannt, ich aber nicht:

Code: Alles auswählenAufklappen

ATTFilter

 AhnLab-V3	2011.09.02.00	2011.09.02	Trojan/Win32.PornoAsset
AntiVir	7.11.14.70	2011.09.02	TR/Ransom.EJ.2
Antiy-AVL	2.0.3.7	2011.09.02	Trojan/Win32.Lebag.gen
Avast	4.8.1351.0	2011.09.02	Win32:Crypt-KES [Trj]
Avast5	5.0.677.0	2011.09.02	Win32:Crypt-KES [Trj]
AVG	10.0.0.1190	2011.09.02	Generic24.ARMN
BitDefender	7.2	2011.09.02	Gen:Variant.Kazy.34956
ByteHero	1.0.0.1	2011.09.01	-
CAT-QuickHeal	None	2011.09.02	-
ClamAV	0.97.0.0	2011.09.02	-
Commtouch	5.3.2.6	2011.09.02	-
Comodo	9964	2011.09.02	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.2.03300	2011.09.02	-
Emsisoft	5.1.0.11	2011.09.02	Trojan.Win32.Lebag!IK
eSafe	7.0.17.0	2011.09.01	Win32.GenVariant.Kaz
eTrust-Vet	36.1.8536	2011.09.02	-
F-Prot	4.6.2.117	2011.09.02	-
F-Secure	9.0.16440.0	2011.09.02	Gen:Variant.Kazy.34956
Fortinet	4.3.370.0	2011.09.02	W32/Lebag.CX!tr
GData	22	2011.09.02	Gen:Variant.Kazy.34956
Ikarus	T3.1.1.107.0	2011.09.02	Trojan.Win32.Lebag
Jiangmin	13.0.900	2011.09.01	-
K7AntiVirus	9.111.5080	2011.09.01	Trojan
Kaspersky	9.0.0.837	2011.09.02	Trojan.Win32.Lebag.eak
McAfee	5.400.0.1158	2011.09.02	Artemis!EABEA41B35D2
McAfee-GW-Edition	2010.1D	2011.09.02	Artemis!EABEA41B35D2
Microsoft	1.7604	2011.09.02	Trojan:Win32/Ransom.EJ
NOD32	6429	2011.09.02	a variant of Win32/Kryptik.SCV
Norman	6.07.11	2011.09.02	W32/Suspicious_Gen2.PMNTO
nProtect	2011-09-02.01	2011.09.02	Gen:Variant.Kazy.34956
Panda	10.0.3.5	2011.09.01	Generic Trojan
PCTools	8.0.0.5	2011.09.02	Trojan.Gen
Prevx	3.0	2011.09.02	-
Rising	23.73.01.03	2011.08.30	-
Sophos	4.69.0	2011.09.02	Troj/Zbot-AWT
SUPERAntiSpyware	4.40.0.1006	2011.09.02	-
Symantec	20111.2.0.82	2011.09.02	Trojan.Gen.2
TheHacker	6.7.0.1.287	2011.09.02	Trojan/Lebag.eak
TrendMicro	9.500.0.1008	2011.09.01	PAK_Generic.001
TrendMicro-HouseCall	9.500.0.1008	2011.09.02	TROJ_GEN.R3EC2HP
VBA32	3.12.16.4	2011.09.02	Trojan.Winlock.01506
VIPRE	10345	2011.09.02	Trojan.Win32.Generic!SB.0
ViRobot	2011.9.2.4653	2011.09.02	-
VirusBuster	14.0.197.0	2011.09.01	Trojan.Chepvil.Gen!Pac.3
Additional information
MD5   : eabea41b35d2896c961158fc172764f5
SHA1  : c99d5aa16e20eea0349f7876065e4a8dc7009ccb
SHA256: 9a877155f32f2249e64590d660e0871c143511a1c8a747026656703b828115ba
ssdeep: 1536:uHFyECn32TD6+XnUgp/DfdW5S3F82TOZbvSlYU9Z+HL:WyZn3M6KnRzdWwC2aZbvSlhz
File size : 72192 bytes
First seen: 2011-08-24 14:20:14
Last seen : 2011-09-02 11:51:37
TrID:
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (F-Prot): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x298A0
timedatestamp....: 0x460E40FF (Sat Mar 31 11:07:43 2007)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x18000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x19000, 0x11000, 0x10A00, 7.96, d29538891ecf5def6a18e0d83497c1cf
.rsrc, 0x2A000, 0x1000, 0xC00, 3.84, ed34892a6b653ed0a34ab4b06f91f5e7

[[ 9 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
ADVAPI32.DLL: RegCloseKey
COMCTL32.DLL: InitCommonControlsEx
GDI32.DLL: BitBlt
MPR.DLL: WNetGetLastErrorW
MSVCRT.DLL: _j0
SHELL32.DLL: ShellAboutW
USER32.DLL: GetDC
WINMM.DLL: PlaySoundW
         

Woran hat sie es dort erkennen können?

Hallo LavIa,

Dein letzter Beitrag ist ja schon über 3 Monate alt, aber das Thema interessiert mich selber auch, da ich vor kurzem mit den Trojanern "BKA/Ukash" und "System Restore" zu tun hatte.

Habe Dein Log gegoogelt, und unter

hxxp://www.cleanpcguide.com/remove-trojan-gen-2-how-to-remove-trojan-gen-2/

folgendes gefunden:

Trojan.Gen.2 may attempt to establish connection with the remote host ...... opens up firewalls and collects confidential information such as personal financial information. Trojan.Gen.2 also downloads additional components before the hackers get the remote access to the infected PC.

Er versucht also Verbindungen zu öffnen, über die dann von außen persönliche sicherheitsrelevante Daten abgerufen werden können. In diesem Sinne ist er wohl ein "Backdoortrojaner".

Nun zu der zentralen Frage, wie www.cleanpcguide.com oder andere Experten zu solchen Erkenntnissen gekommen sein können:

1. Wenn Trojan.Gen.2 dauerhaft Löcher in der Firewall geöffnet hat, kann man das durch einen Port-Scan feststellen. Öffnet er diese aber nur zeitweise oder zu bestimmten Terminen, wird's schon schwieriger, und wenn diese Termine nicht abdruckbar im Code zu finden sind, kann man das vorab wohl kaum entdecken. Den Schadcode auf einem Testsystem auszuführen, ist in diesem Falle natürlich nutzlos.

2. Verwendet er Standard-Bauteile wie z.B. einen Keylogger unverändert aus einem bekannten Trojaner-Baukasten, so können gute Virenscanner den Binärcode des Trojaners nach "Signaturen" also bereits früher gefundenen Bitstrings absuchen und dann dies uns mitteilen. Ob in Deinem Log solche Hinweise zu finden sind, müsste ein echter Experte klären.

Sehr interessant ist, was N33DH33LP Dir zum Thema "Neuaufsetzen oder nicht" geschrieben hat:

Zitat:

Zitat von N33DH33LP

.... , dass 90% aller Backdoors, Bots, Downloader usw. in den Autostart Einträgen der Registry zu finden sind. Einige sind auch in der Aufgabenplanung oder in den Diensten zu finden.
Jedenfalls kann man 99% der Maleware entfernen wenn man im Abgesicherten Modus (so dass keine Nicht-Windows-Prozesse Mitstarten) alle Autostart Einträge, Aufgabenplanungen und Nicht Windows Dienste deaktiviert.
Es gibt dann natürlich auch noch die sehr seltenen Fälle, dass sich Maleware als Treiber tarnt und so jedes Mal startet wenn windows die Treiber lädt, aber das schafft nur sehr gut Programmierte Maleware (z.B Stuxnet, mit der Atomkraftwerke angegriffen worden sind).

Wenn er da Recht hat, wäre also allein der Verdacht, dass man durch einen Backdoortrojaner infiziert wurde, kein Anlass aufwendig neu aufzusetzen.

Gruß DV-Opa

Hallo DV-Opa,

ja, es ist jetzt eine Weile her, der betroffene Rechner wurde vom Freund gegen einen neuen ausgetauscht.

Meine eigentliche Frage bleibt aber.

Kurz zur allgemeinen Philosophie bzgl. BackdoorTJ: Die aufgerissenen Lücken, offene Ports, etc. benötigen teilweise gar kein laufendes Programm mehr auf dem infizierten Rechner, um Zugang von außen zu ermöglichen. Weiß man bei einem speziellen nicht, ob er dazu in der Lage ist, meine ich, ist es einfacher Neuaufzusetzen, als sich ewig auf die Suche nach diesen Löchern und Manipulationen zu machen und evtl etwas zu übersehen. Egal, wie selten solch "gute" BD-TJ sind. Aber wie gesagt, ewige Diskussion, muss hier jetzt nicht sein.

Meine eigentliche Frage ist ja gerade: Woran erkennt man, ob eine gefundene Malware ÜBERHAUPT Backdoor-Funktionen hat. Was für mich heißt: Reißt selbst Lücken auf/kann irgendetwas nachladen (was dann seinerseits Lücken aufgerissen haben könnte, weiß man ja nicht).

Erkennt man es an den Bezeichnungen der AV-Maschinen? Du hast jetzt etwas zu der einen Bezeichnung gefunden, aber ich hatte alle gegooglet, und sie unterscheiden sich in ihren Ausführungen enorm. Mal harmlos, mal so, wie Du schreibst. Dazu kommt, dass die meisten AV-Bezeichnungen sogar extra "BD" oder "Backdoor" im Namen stehen haben, sollte es einer sein. Hier hat keine AV so reagiert.
FALLS es also an den Bezeichnungen zu unterscheiden ist: Wie? "Generic"? Oder doch nur "Backdoor"/"BD"? Liebe Helfer hier, wie unterscheidet Ihr es denn? Meine Helferin hatte es ja auch an den AV-Bezeichnungen erkannt. WIE an den Bezeichnungen? Oder wenn nicht an den Bezeichnungen, wie sonst?

Ich hatte ja gedacht, es ginge vielleicht über die Emulation und Aufzeichnung per Sandbox. Im vorliegenden Fall war das das Ergebnis:

Runtime Analysis
Copies Itself To

c:\Documents and Settings\test user\Application Data\Identities\{4C55E6E8-044E-11DF-8031-806D6172696F}\svghost.exe

Registry Keys Created

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

{4C55E6E8-044E-11DF-8031-806D6172696F}
c:\Documents and Settings\test user\Application Data\Identities\{4C55E6E8-044E-11DF-8031-806D6172696F}\svghost.exe

Registry Keys Modified

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer

CleanShutdown
0x00000001

Processes Created

c:\Documents and Settings\test user\application data\identities\{4c55e6e8-044e-11df-8031-806d6172696f}\svghost.exe
c:\windows\system32\cmd.exe

DNS Requests

security-3761-microsoft.com

Heißt für mich, dass es sich nur umherkopiert, einen Registryeintrag für sich selbst bastelt. Die cmd.exe hatte normalen Hash-Wert, also nix Schlimmes.
ABER: Der DNS Request ist übel: Bedeutet: Lädt nach oder horcht. Richtig?
Wenn ja, werde ich künftig diese Sandbox benutzen und nach Requests schauen, bzw. kreierte Datein wiederum selbst durch die Box schicken. Wäre das so richtig?

Weiterhin danke für Antworten