Hallo Leute,

ich habe mal eine Frage und hoffe hier eine Antwort zu bekommen. Da ich für meinen Blog einen USB-Stick testen möchte, der Viren und Maleware beseitigt (FixMeStick), suche ich nun nach einem nachvollziehbaren Testszenario.

Ich möchte auf meinem PC eine VM installieren mit Windows 7 und dieses System dann mit Viren und Trojanern infizieren. Der Stick soll diese dann reinigen. Ich habe nun aber keine Ahnung, welche Viren ich dazu benutzen kann und wo man die herbekommt. Es müssten Dinger sein, beidenen ich nachvollziehen kann ob die komplett entfernt werden. Dazu wäre es klasse wenn man vorher irgendwie weiß wo sich der Schädling in welcher Weise einnistet um nach der Reinigung zu überprüfen ob alle Spuren beseitigt worden sind oder nicht.

Habt Ihr da ein paar Ideen und Quellen für mich? Ist die VM eine gute Idee?

Gruß,
mario

Zitat:

Habt Ihr da ein paar Ideen und Quellen für mich? Ist die VM eine gute Idee?

Einfach mal genau das machen, wovon wir abraten

- wild auf pr0nseiten mit nem ungepatchten/alten IE klicken
- nach cracks/keygens suchen und den erstbesten Link folgen

Zitat:

der Viren und Maleware beseitigt (FixMeStick), suche ich nun nach einem nachvollziehbaren Testszenario.

Das ist aber ein ehrgeiziges Vorhaben. Nichtmal namhafte Virenscanner können 100%ige Sicherheit bzw. Vermeidung oder Bereinigung eines Systems versprechen, bei Letzterem ist immer Handarbeit gesagt weil es einfach zu viele Bereiche gibt auf einem Windows-PC.

Ich bezweifle jetzt noch, dass dein FixMeStick effektiver ist, als unsere bewährten Methoden. Wenn du das nicht so siehst, bitte ich darum das (kurz) zu begründen.

Hi.

Danke für deine Antwort. Aber kennt ihr nicht irgendwelche Viren, von denen man eine Dokumentation hat? Also das ich weiß wo er sich festsetzt? Sonst kann ich ja nicht schauen ob etwas entfernt wurde, wenn ich selber erst suchen muss.

Oder gibt es virenähnliche Scripte? Ist denn meine Idee mit der VM sinnvoll? Windows 7 auch OK oder doch eher XP?

Zitat:

Das ist aber ein ehrgeiziges Vorhaben. Nichtmal namhafte Virenscanner können 100%ige Sicherheit bzw. Vermeidung oder Bereinigung eines Systems versprechen, bei Letzterem ist immer Handarbeit gesagt weil es einfach zu viele Bereiche gibt auf einem Windows-PC.

Ich bezweifle jetzt noch, dass dein FixMeStick effektiver ist, als unsere bewährten Methoden. Wenn du das nicht so siehst, bitte ich darum das (kurz) zu begründen.

Was der Stick nun wirklich kann oder nicht, will ich ja gerade testen. Ob er besser oder schlechte ist also Softwarelösungen die installiert sind weiß ich nicht. Aber da ich das Ding nunmal zugesandt bekam, möchte ich es schon ausgiebig testen.

Gruß,
mario

Zitat:

Aber kennt ihr nicht irgendwelche Viren, von denen man eine Dokumentation hat? Also das ich weiß wo er sich festsetzt?

Was verstehst du darunter?
Malware wird so gut wie es geht von AV-Labs auseinander genommen, das Verhalten analysiert, dann lässt sich auch weitgehend bestimmen welche Änderungen vorgenommen werden. Bei unterschiedlichen Versionen der Malware sind aber u.U. wieder ganz andere Routinen und Verhaltensweisen.

Zitat:

Oder gibt es virenähnliche Scripte? Ist denn meine Idee mit der VM sinnvoll? Windows 7 auch OK oder doch eher XP?

Natürlich gibt es auch Malware in Form von Scripten. Ich verstehe aber da aber den Zusammenhang nicht.
Eine VM ist sinnvoll um um Sachen auszuprobieren. Aber dein Vorhaben kann es nicht immer unterstützen, denn es soll Schädlinge geben, die eine virtuelle Umgebung erkennen und dann still sind.

Zitat:

Aber da ich das Ding nunmal zugesandt bekam, möchte ich es schon ausgiebig testen.

Hält dich ja niemand von ab. Mach ruhig und berichte hier

Zitat:

Zitat:

Was verstehst du darunter?
Malware wird so gut wie es geht von AV-Labs auseinander genommen, das Verhalten analysiert, dann lässt sich auch weitgehend bestimmen welche Änderungen vorgenommen werden. Bei unterschiedlichen Versionen der Malware sind aber u.U. wieder ganz andere Routinen und Verhaltensweisen.

Naja, ich meinte eher ob ihr z.B. ein paar Viren oder Maleware auch beim Namen parat hättet, die man sich "besorgen" kann und mit denen man ein Szenario testet. Wenn dann eine Doku vorhanden wäre wie sich der Schädling verhält und wo er sich überall reinkopiert etc. dann macht es das leichter.

Zitat:

Zitat:

Natürlich gibt es auch Malware in Form von Scripten. Ich verstehe aber da aber den Zusammenhang nicht.
Eine VM ist sinnvoll um um Sachen auszuprobieren. Aber dein Vorhaben kann es nicht immer unterstützen, denn es soll Schädlinge geben, die eine virtuelle Umgebung erkennen und dann still sind.

Ok, dann doch lieber ne normale Installation. Bringt ja sonst nichts. Der Zusammenhang ist doch recht einfach: Ich möchte einfach einen reproduzierbaren Testparcours erwirken, mit dem sich die Anwendungen und der Stick messen lassen. Einfacher ist dies eben mit Scripten oder Viren dessen "Arbeit" man nachvollziehen und kontrollieren kann.
Hat denn dahingehend einer von Euch Erfahrungen oder Tipps wie und vorallem mit welchen Dingen ich hantieren kann?

Zitat:

Aber da ich das Ding nunmal zugesandt bekam, möchte ich es schon ausgiebig testen.

Hält dich ja niemand von ab. Mach ruhig und berichte hier
Werde ich tun

So, die Rettung der Welt und der Prinzessin steht an, g8t

Also erstmal sollte alles in einer virtuellen Maschine gemacht werden.

Hier findest Du z.B. etwas über den GEMA-Virus

und hier welche Änderungen er so anstellt...
http://www.sempervideo.de/Gema-Virus...y-Vorgaenge.7z

Wo es das Probeexemplar gibt, musst Du schon selber rausfinden...

Du kannst dir die Viren auf anubis iseclab analysieren lassen. Bekommst dann ziemlich detaillierte Informationen dazu welche DLLs zb. geladen/benutzt werden oder welche Dateien erstellt werden und wo sie sich befinden, registrierungsschlüssel erstellt/verändert/gelesen werden und und und...

Zitat:

Zitat von deeprybka

Also erstmal sollte alles in einer virtuellen Maschine gemacht werden.

Wieso muss/sollte man das? Dass man sein produktives System nicht absichtlich beschädigt ist ja klar, aber was spricht dagegen zB einen anderen Rechner zu nehmen (wenn man hat) oder wenn man nur einen Rechner hat, da beispielsweise eine andere Festplatte für das Testsystem zum Ausprobieren von Malware verwendet?

Aber natürlich ist eine VM bequemer und schneller

Zitat:

Zitat von cosinus

Dass man sein produktives System nicht absichtlich beschädigt ist ja klar....

Aber natürlich ist eine VM bequemer und schneller

Das war damit gemeint. Und der "GEMA-Virus" ist dafür denke ich gut geeignet und läuft auch in einer vm...

Zitat:

Danke für deine Antwort. Aber kennt ihr nicht irgendwelche Viren, von denen man eine Dokumentation hat? Also das ich weiß wo er sich festsetzt? Sonst kann ich ja nicht schauen ob etwas entfernt wurde, wenn ich selber erst suchen muss.

is doch ganz easy. mach nen regshot oder ähnliches, dropper laufen lassen, noch nen regshot oder snapshot, vergleichen, fertig.

Danke für Eure Antworten, habt mir sehr viel weitergeholfen!

Zitat:

regshot

wie macht man das?

Zitat:

vergleichen

gibt es Programme dafür? Ich kenne sowas nur für Dokumente, aber für Redistry-Daten jetzt eher weniger

gruß,
Mario

RegShot - Download - heise online

Ach das Ding heißt so

Danke dir!