|
Diskussionsforum: Moderne Bots symbiotisch?Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
05.03.2008, 17:15 | #1 |
| Moderne Bots symbiotisch? Hallo Leutz! Ich hab schon von ein paar Seiten gehört, dass moderne Bots eigentlich Symbionten sind. Damit ist gemeint, dass der Befallene (also der Wirt) dadurch einen "sichereren" und "stabileren" PC bekommt. Dies ließe sich aus den Argumenten/Begründungen ableiten, dass ... 1.) ein bereits installierter Bot "Konkurrenz" zu verhindern versucht, 2.) der Bot (bzw. div. Malware) die Lücke (Vulnerability) über die sie reingekommen ist, schließt und 3.) den Betreibern und Schaffern dieser Netze nichts daran gelegen ist, dass der befallene PC schlechter oder gar nicht funktioniert, sondern eher das Gegenteil zweckdienlich wäre/erscheint. Das alles hab ich von Hören-Sagen, kann mir einer von Euch Auskunft darüber geben (evtl. mit Beispielen), ob dies tatsächlich der Realität entspricht? Ich meine, dass das alles durchaus plausibel und sinnvoll klingt, aber ich würds halt gern definitiv wissen. Danke im Voraus und liebe Grüße, Didelphodon. |
05.03.2008, 20:33 | #2 |
/// Helfer-Team | Moderne Bots symbiotisch? Hi,
__________________was wird das denn jetzt wieder für eine absurde Diskussion? Den Seiten, von denen Du das gehört hast, würde ich in Zukunft nicht mehr zuhören. Aber im Einzelnen zu deinen Punkten: 1. Ich habe es auf einem Testsystem mal erlebt, dass die Malware eine gecrackte Version von Kaspersky runtergeladen hat und damit den Computer gescant hat um möglichst viel Konkurrenz "rauszuschmeißen". 2. Denkbar, ich ziehe es aber vor, meinen Rechner selber abzusichern und dass nicht von irgendwelchen Gangstern machen zu lassen. 2. Da ein infizierter PC immer öfter dazu dient, Geld zu verdienen, haben sie sicher ein Interesse daran, dass ihre Malware unauffällig im Hintergrund läuft und sich nicht durch den Absturz des Systems selber aus dem Verkehr zieht. Viele Malware wird unterdessen von professionellen Programmierern entwickelt und sorgfältig getestet, bevor sie zum Einsatz kommt. Das stabilste System bleibt aber dennoch ein System ohne Malware. Und egal, wie professionell auch der Bot programmiert ist: Sicher ist das System erst wieder nach der Neuinstallation unklusive (Ab)Sicherung. Gruß, Karl |
05.03.2008, 21:00 | #3 | |
/// caddy ☀ | Moderne Bots symbiotisch?Zitat:
Kürzlich oder ist das schon länger her? Gruß cad |
05.03.2008, 21:12 | #4 |
/// Helfer-Team | Moderne Bots symbiotisch? Hallo Cad Schon länger her, vage geschätzt: Vor ein bis zwei Jahren. |
05.03.2008, 21:14 | #5 |
/// caddy ☀ | Moderne Bots symbiotisch? Hilfst mir bitte auf die Sprünge, welche/welcher war das? |
05.03.2008, 21:32 | #7 |
/// caddy ☀ | Moderne Bots symbiotisch? Danke Bata |
05.03.2008, 21:33 | #8 |
/// Helfer-Team | Moderne Bots symbiotisch? Da geht nicht viel. Ich bin mit einem Notebook auf Reisen und habe auf alle meine Computer in der Heimat keinen Zugriff. Sind mit meinem sonstigen Kram eingelagert auf der anderen Seite der Erde. Üblicher Aufbau: eine VM mit einem sehr ungepatchten Windows zum durchseuchen, zwischen der und dem Netz eine weitere VM mit einem Linux, auf dem ich den Traffic überwache und filtere, will ja keinen Spam versenden. Später starte ich die VM dann von einem BartPE-Image, sammele Dateien ein und verschicke sie an Scannerhersteller. Üblicherweise lasse ich vorher und hinterher jeweils von BartPE aus ein Script laufen, das den kompletten Inhalt des Dateisystems in ein Log schreibt. So kann mir keine Datei entgehen. Dabei bin ich auf einen versteckten Ordner (ich glaub im Windows-Verzeichnis) gestoßen, wo ich den Kaspersky gefunden habe. Kann mich aber noch soviel erinnern, dass es ein komplett verseuchtes System war auf dem sehr viel los war von Spyware bis hin zu Backdoorserver. Wer da nun im Detail den Kaspersky gezogen hat, weiß ich nicht. Ich zeichne zwar meistens auch den Traffic auf dem Host-System auf, aber dort ist dann nciht bekannt, was von welchem Prozess stammt. EDIT: Bata hat da schon einen Link gefunden, sowas in der Klasse war wohl mit dabei. |
05.03.2008, 21:37 | #9 |
/// caddy ☀ | Moderne Bots symbiotisch? Danke Karl Hm, wie lange bist Du noch auf Reisen, wenn ich fragen darf? |
05.03.2008, 21:38 | #10 |
/// Helfer-Team | Moderne Bots symbiotisch? Bis Ende September |
05.03.2008, 21:43 | #11 |
/// caddy ☀ | Moderne Bots symbiotisch? Wow, na dann...viel Spaß |
05.03.2008, 21:56 | #12 |
| Moderne Bots symbiotisch? Danke für die Antworten und für den Link, den kann ich wirklich gut gebrauchen. @KarlKarl: Kann Dir leider nicht mehr genau sagen von wem ich obig genanntes gehört habe, aber es wird wohl auf einem der manigfaltigen SANS-Kurse, die ich gemacht habe, gewesen sein. Egal, der Heise-Artikel gibt meinem Eindruck einer möglichen (!!) Entwicklungsrichtung jedoch recht und passt sich ganz analog zu anderen aktuellen Metaphern und Parallelen zwischen Biologie/Medizin/Natur und elektronischem Schadcode entsprechend ein. Ich weiss schon, dass das sicher für viele Leute kontroverse Vergleiche sind, aber sooo weit hergeholt, insbesondere, wenn man anfängt in dieser Richtung zu analysieren und zu forschen, sind diese Gedanken gar nicht. @KarlKarl: Bzgl. Deiner VM-Ware-Erwähnungen: Seit einiger Zeit bekomm ich keinerlei neue Malware zur Analyse, die nicht VM-Ware bzw./und Virtual PC - Erkennung mitbrächte (Virtual Box ist da bislang noch am besten). Wir steigen daher jetzt, was den Laborbetrieb betrifft, auf Hardware-Schreibschutz um. Dachte, das wäre vielleicht eine zweckdienliche Information für Dich. LG Didelphodon. |
05.03.2008, 22:35 | #13 |
/// Helfer-Team | Moderne Bots symbiotisch? Das nervt mich die letzte Zeit auch zunehmend, derzeit habe ich nur VMware zur Verfügung. Machmal hilft es die Beschleunigungsoptionen auszuschalten, aber immer öfter funktioniert die Malware einfach nicht. Neulich wollte ich mal einen aktuellen Bagle starten, kein Problem den Installer zu bekommen, drei Downloads über Emue - drei Treffer Aber ausführen war dann nicht mehr, still und leise hat er einfach nichts getan. Manches bekomme ich ja auch manuell entpackt, aber bei Themida sehe ich da noch keine Sonne. So habe ich wenigstens einen einzigen Grund mich auf die Rückreise zu freuen: Dort wartet ein Regal echte Computer auf mich. Die meisten schon etwas älter, aber für sowas ist ja auch Pentium 2 oder 3 voll ok. Nur die langsamen Platten nerven wenn man sehr oft ein Image zurückschreibt |
05.03.2008, 22:44 | #14 |
| Moderne Bots symbiotisch? Jep, alte Compis sind da durchaus interessant, solang man nicht gerade vor hat, mit IDA-Pro zu debuggen, das ist nämlich ein ziemlicher Resourcenfresser durch seine echt coole interaktive Graph-View. LG Didelphodon. |
Themen zu Moderne Bots symbiotisch? |
auskunft, bereits, betreiber, funktioniert, gegenteil, gemein, installier, konkurrenz, leutz, liebe, lücke, malware, moderne, nichts, realität, schlechter, schließt, seite, seiten, sinnvoll, verhindern, versucht, voll, vulnerability |