Hilfst mir bitte auf die Sprünge, welche/welcher war das?

Klick vielleicht?

Gruß

Danke Bata

Da geht nicht viel. Ich bin mit einem Notebook auf Reisen und habe auf alle meine Computer in der Heimat keinen Zugriff. Sind mit meinem sonstigen Kram eingelagert auf der anderen Seite der Erde.

Üblicher Aufbau: eine VM mit einem sehr ungepatchten Windows zum durchseuchen, zwischen der und dem Netz eine weitere VM mit einem Linux, auf dem ich den Traffic überwache und filtere, will ja keinen Spam versenden. Später starte ich die VM dann von einem BartPE-Image, sammele Dateien ein und verschicke sie an Scannerhersteller. Üblicherweise lasse ich vorher und hinterher jeweils von BartPE aus ein Script laufen, das den kompletten Inhalt des Dateisystems in ein Log schreibt. So kann mir keine Datei entgehen.

Dabei bin ich auf einen versteckten Ordner (ich glaub im Windows-Verzeichnis) gestoßen, wo ich den Kaspersky gefunden habe.

Kann mich aber noch soviel erinnern, dass es ein komplett verseuchtes System war auf dem sehr viel los war von Spyware bis hin zu Backdoorserver. Wer da nun im Detail den Kaspersky gezogen hat, weiß ich nicht. Ich zeichne zwar meistens auch den Traffic auf dem Host-System auf, aber dort ist dann nciht bekannt, was von welchem Prozess stammt.

EDIT: Bata hat da schon einen Link gefunden, sowas in der Klasse war wohl mit dabei.

Danke Karl

Hm, wie lange bist Du noch auf Reisen, wenn ich fragen darf?

Bis Ende September

Wow, na dann...viel Spaß

Danke für die Antworten und für den Link, den kann ich wirklich gut gebrauchen.

@KarlKarl: Kann Dir leider nicht mehr genau sagen von wem ich obig genanntes gehört habe, aber es wird wohl auf einem der manigfaltigen SANS-Kurse, die ich gemacht habe, gewesen sein. Egal, der Heise-Artikel gibt meinem Eindruck einer möglichen (!!) Entwicklungsrichtung jedoch recht und passt sich ganz analog zu anderen aktuellen Metaphern und Parallelen zwischen Biologie/Medizin/Natur und elektronischem Schadcode entsprechend ein.
Ich weiss schon, dass das sicher für viele Leute kontroverse Vergleiche sind, aber sooo weit hergeholt, insbesondere, wenn man anfängt in dieser Richtung zu analysieren und zu forschen, sind diese Gedanken gar nicht.

@KarlKarl: Bzgl. Deiner VM-Ware-Erwähnungen: Seit einiger Zeit bekomm ich keinerlei neue Malware zur Analyse, die nicht VM-Ware bzw./und Virtual PC - Erkennung mitbrächte (Virtual Box ist da bislang noch am besten). Wir steigen daher jetzt, was den Laborbetrieb betrifft, auf Hardware-Schreibschutz um. Dachte, das wäre vielleicht eine zweckdienliche Information für Dich.

LG Didelphodon.

Das nervt mich die letzte Zeit auch zunehmend, derzeit habe ich nur VMware zur Verfügung. Machmal hilft es die Beschleunigungsoptionen auszuschalten, aber immer öfter funktioniert die Malware einfach nicht. Neulich wollte ich mal einen aktuellen Bagle starten, kein Problem den Installer zu bekommen, drei Downloads über Emue - drei Treffer Aber ausführen war dann nicht mehr, still und leise hat er einfach nichts getan. Manches bekomme ich ja auch manuell entpackt, aber bei Themida sehe ich da noch keine Sonne.

So habe ich wenigstens einen einzigen Grund mich auf die Rückreise zu freuen: Dort wartet ein Regal echte Computer auf mich. Die meisten schon etwas älter, aber für sowas ist ja auch Pentium 2 oder 3 voll ok. Nur die langsamen Platten nerven wenn man sehr oft ein Image zurückschreibt

Jep, alte Compis sind da durchaus interessant, solang man nicht gerade vor hat, mit IDA-Pro zu debuggen, das ist nämlich ein ziemlicher Resourcenfresser durch seine echt coole interaktive Graph-View.

LG Didelphodon.