Hallo liebe Gemeinde,

ich habe eine wohl allgemeinere Frage, als ich in meinem Thread angenommen habe, darum poste ich jetzt hier.

Woran kann man erkennen, dass ein entdeckter Trojaner eine Backdoorfunktion hat (oder zweiter Schritt auch ein Downloader ist, der etwas Backdoorfähiges nachgeladen haben könnte)?

Ich bin zuständig, mich um Verseuchungen der Rechner meiner Eltern, manchmal meiner Freunde zu kümmern. Normalerweise gehe ich die Scans durch, bereinige, breche aber ab, wenn mir ein Backdoorprogramm in die Finger kommt -> Neuaufsetzen. Mir unbekannte Malware ergoogle ich dabei. Wahrscheinlich machen die meisten das so, auch wenns nicht optimal ist, für eine Ausbildung bei Euch reichts zeittechnisch momentan leider nicht.

Backdoor erkennen ist also sehr wichtig, klar, ich dachte, ich könnte das auch ganz gut, aber ich habe in einem Thread momentan eine Malware thematisiert, die ich für ziemlich harmlos hielt und jetzt das Feedback bekommen, dass es ein Backdoor-T ist. Und ich erkenne es einfach nicht!

Ich bin sonst nach den Virustotal-Signaturen gegangen und habe auf BDS, Backdoor und bot geachtet. Beziehungsweise Eigennamen ergooglet auf Verhaltensanalysen hin und den Risiko-Einordnungen der Antivirenhersteller. Und auch hier im Forum.
Das ist aber offensichtlich nicht ausreichend und zu oberflächlich.

Hat hier jemand eine bessere Anleitung?

Optimal wäre es wohl, wenn ich es in Verhaltensanalysen selbst erkennen könnte. Was haltet Ihr von dieser Seite?
hxxp://www.sunbeltsecurity.com/sandbox/
Wenn man die Malware dort emuliert durchlaufen lässt (habe ich auch mit dem aktuellen Programm), müsste es doch eindeutig erkennbar sein im Log, oder?
Das sieht dann zB so aus: hxxp://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=84678076&cs=87CC8D918ABFBE06CB7760CFFBEF306E

Worauf müsste ich dort dann achten? Oder ist der Sandboxlog dafür nicht geeignet, Kanonen auf Spatzen? Wie dann?

Ich hoffe, es ist nicht zu ausufernd für Euch, mir das zu erklären. Fühle mich nicht wohl, Rechner anderer zu bereinigen, wenn ich nicht davon ausgehen kann, einen Backdoor erkennen zu können. Ich war auch vor einigen Jahren hier aktiv, hoffe ich habe keine falschen Ratschläge erteilt -.-

Danke für eine Antwort,

Lavia, ehemals LavLa

"Trojaner" sagt nur was über den Verbreitungsweg aus (Vortäuschung eines anderen Zwecks), nichts über die Funktion - mehr nicht.

Ein Backdoortrojaner ist also "nur" ein Backdoorprogramm, was als Trojaner bzw. mit Hilfe eines Trojaners auf ein System gekommen ist.
AV-Hersteller versehen halt einen "Downloader" oder ein Backdoorprogramm mit dem Zusatz "Trojan", wenn diese Malware zuerst sich "trojanisch" verbreitet hat bzw. typischerweise am Anfang der Verbreitungskette etwas "Trojanisches" steckt.
Analoges gilt für Würmer, auch "Worm" sagt nichts über die Schadwirkung oder da Schadpotential, nur über den (üblichen) Weg der Infektion aus und über die Selbstreplikation.

Und wie erkenne ich, ob eine Malware eine Backdoorfunktion hat? (Egal, ob Trojaner, Wurm, Virus etc). Da war der Titel wohl irreführend.

Gut programmiert so gut wie gar nicht.
Wobei ich da zugegeben nicht der richtige Ansprechpartner bin.
Aber "gute" (= technisch gut und fortschrittlich programmierte) Malware soll durchauserkennen "wo" es gerade ist und im Zweifelsfall einfach die Klappe halten.

Oder meinst du anhand des von AV-Herstellern vergebenen Namens?

Zitat:

Zitat von Shadow

Oder meinst du anhand des von AV-Herstellern vergebenen Namens?

Ja genau, zum Beispiel ("Signaturen" war hier der völlig falsche Begriff, sry). Wie gesagt, ich dachte, BDS, Backdoor, bot.
Aber stimmt ja wohl nicht. Und meine anderen oben beschriebenen Unterscheidungsversuche reichen wohl auch nicht.

Sonst würde ich verstehen, weshalb die aktuell von mir gefundene Schadsoftware gegen mein bisheriges Verständnis von meiner Helferin als Backdoortrojaner klassifiziert wurde.

Den Unterschied zwischen Trojaner, Virus, Wurm und Co kenne ich und mir ist auch klar, dass man eine geschicktes Backdoorprogramm evtl. nicht entdecken kann und bin auch der Meinung, wenn etwas Backdoorfähiges auf einem Rechner ausgeführt wurde, ist Neuaufsetzen das einzig Sinnvolle, etc etc

Meine Frage ist, wie sehe ich einer bereits auf einem Rechner entdeckten Malware an, ob sie eine Backdoor erschaffen kann oder in der Lage ist, vielleicht etwas Backdoorfähiges nachzuladen? Wenn nicht an den Bezeichnungen der Av-Hersteller, dann eben vielleicht an einer Verhaltensanalyse nach Ausführen in einer Sandbox? Wie interpretiere ich die dahingehend? s. Link.

Aktuell ist es mir wichtig, weil ich das, was ich bei einem Freund fand, für wahrscheinlich relativ harmlos hielt; jetzt höre ich hier auf Nachfrage, es sei ein Backdoor-T, würde es gerne selbst nachvollziehen können, um es ihm zu erklären und ihn vom Neuaufsetzen überzeugen zu können.

Und generell würde ich es künftig gerne besser unterscheiden können, damit ich in meinem Kreis keine tief-kompromittierten Systeme nur bereinige.

Zitat:

Zitat von LavIa

... mir ist auch klar, dass man eine geschicktes Backdoorprogramm evtl. nicht entdecken kann und bin auch der Meinung, wenn etwas Backdoorfähiges auf einem Rechner ausgeführt wurde, ist Neuaufsetzen das einzig Sinnvolle, etc etc

Wie kommst du auf die Idee, dass Neutaufsetzen die einzige Möglichkeit ist?
'Backdoor' heißt ja nicht, dass es ein Programm ist, dass sich unendlich gut versteckt, es heißt nur, dass es eine ungewollte Verbindung im Hintergrund aufbauen kann. In den meisten Fällen sind dies auch nur irgendwelche Prozesse die wie alle anderen ausgeführt werden. Einige injecten sich zwar in andere Prozesse, so dass diese im Taskmanager nicht so einfach auffindbar sind, weil sie den selben Namen und selben Datei Pfad wie der Standard Browser haben, jedoch muss dafür jedes Mal ein anderer Prozess ausgeführt werden der in den Browser z.B injected. Das heißt, dass 90% aller Backdoors, Bots, Downloader usw. in den Autostart Einträgen der Registry zu finden sind. Einige sind auch in der Aufgabenplanung oder in den Diensten zu finden.
Jedenfalls kann man 99% der Maleware entfernen wenn man im Angesichtern Modus (so dass keine Nicht-Windows-Prozesse Mitstarten) alle Autostart Einträge, Aufgabenplanungen und Nicht Windows Dienste deaktiviert.
Es gibt dann natürlich auch noch die sehr seltenen Fälle, dass sich Maleware als Treiber tarnt und so jedes Mal startet wenn windows die Treiber lädt, aber das schafft nur sehr gut Programmierte Maleware (z.B Stuxnet, mit der Atomkraftwerke angegriffen worden sind).

Zitat:

Zitat von LavIa

Meine Frage ist, wie sehe ich einer bereits auf einem Rechner entdeckten Malware an, ob sie eine Backdoor erschaffen kann oder in der Lage ist, vielleicht etwas Backdoorfähiges nachzuladen? Wenn nicht an den Bezeichnungen der Av-Hersteller, dann eben vielleicht an einer Verhaltensanalyse nach Ausführen in einer Sandbox? Wie interpretiere ich die dahingehend? s. Link.

Indem du deinen Internetverkehr überwachst kannst du sehen ob ein Prozess eine Internetverbindung aufbaut und somit ein Backdoor ist.
Außerdem kannst du mit den dort herausgefundenen IP Adressen den Angreifer bei der Polizei melden .