|
Plagegeister aller Art und deren Bekämpfung: BACKDOOR Trojaner - Firewall, idle und EmuleWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.07.2004, 16:17 | #16 |
| BACKDOOR Trojaner - Firewall, idle und Emule Ist natürlich blöd, dass du nichts zum Sichern hast, ich kann das schon verstehen, wer installiert schon gern neu. :/ Es gibt zwar noch die Möglichkeit einer Recovery-Installation bei XP, bei der du nicht neu formatieren müsstest und all deine Programme und Daten erhalten blieben, nur die Systemdateien werden neu installiert, allerdings wäre das wohl auch keine wirklich saubere Lösung, da ein eventueller Störenfried sich ja auch dort verstecken könnte. Bei der Frage der Browser würde ich dir allerdings mehr Mut machen, die aktuellen Versionen sind eigentlich in keinster Weise "schlechter" als der IE, dessen "Vorteil" eigentlich vor allem darin bestand, dass er auch mies programmierte Seite noch halbwegs darstellen konnte. Ich nutze schon ziemlich lange Opera und früher gab es immer mal ein paar Seiten, für die ich dann doch den IE nehmen musste, ist mir aber schon ewig lange nicht mehr passiert, außer für das Windowsupdate brauche ich den IE nie. Seit ein paar Tagen gibt es Opera ein spezielles Setup, dass dem Browser die Optik des IE verpasst, um Neukunden den Umstieg zu erleichtern: http://filepony.de/download-opera/pr...en/2004/07/13/ bzw.: http://filepony.de/download-opera/startup/customize/ Der Zugriff auf die relevanten Dinge ist denkbar einfach, du drückst F12 und kannst Java, Java-Script, Cookies, Popups he nach Belieben kurz aktivieren und dann wieder ausschalten. Grundsatz ist ja wie gesagt, dass man mitdenkt und bei einem Onlinebibliothekskatalog habe ich kein Problem damit, dort einmal Java-Script kurz zu aktivieren (man sollte dann halt nicht Seite XXX ebenfalls offen haben). Der KVK geht aber auch ohne Javascript. Das Argument, Alternativbrowser würden seltener gehackt, ist prinipiell nicht völlig von der Hand zu weisen, aber der IE ist einfach schon durch seine Verankerung im System potentiell wesentlich gefährlicher als jeder andere Browser. Zudem ist es ja kein Problem, wenn du einfach mal testest, wie dir ein anderer Browser gefällt, der IE bleibt ja trotzdem drauf, du kannst sie parallel nutzen und falls du wirklich nicht zurecht kommst, was ich nicht glaube, dann deinstallierst du den neuen halt wieder oder nutzt ihn nicht mehr. Was die Windowsdienste betrifft, ich würde denken, das Beste ist, Du schaust dir die Liste der Dienste selbst an und informierst dich über den Sinn und entscheidest dann bei jedem, ob du es brauchst. Ist vielleicht langfristig besser, als das über das Programm automatishc zu machen, weil man einmal was lernt und außerdem eben auch genau weiß, was man gemacht hat. Es war auch gar keine Kritik an dir, nur ist FERs Firewallenthusiasmus in deinem Fall doch etwas unlogisch. Ich denke, als Tool, um etwas über Netzwerke zu lernen (wie du ja selbst merkst, da du einer Meldung nachgegangen bist) oder vielleicht noch gegen Phonehome können sie evtl. nützlich sein, aber man sollte vorsichtig sein und nicht denken, dass die Firewall tatsächlich Sicherheit bringt, da sie Schäden zwar auf einer höheren Ebene verhindern kann, diese Schäden aber auf einer niedrigeren Ebene auch ohne sie vermeidbar wären. Ich drück dir zumindest die Daumen, dass dein System virenfrei ist und bleibt. Ach ja, eins habe ich noch vergessen: unter XP sollte man sich nicht mit dem Adminkonto einloggen (außer es ist tatsächlich nötig), sondern immer mit eingeschränkten Rechten arbeiten. Geändert von MountainKing (19.07.2004 um 16:29 Uhr) |
19.07.2004, 20:16 | #17 |
| BACKDOOR Trojaner - Firewall, idle und Emule @MountainKing
__________________Wieso räts du im eine Neuinstallation??? Sein System ist sauber u. der Backdoor ist jeden AV-Programm bekannt! Wurde entdeckt u. gelöscht! Und bitte nicht eine Firewall mit konfigurierten Diensten vergleichen, denn wer meint er ersetzt damit eine Firewall der irrt gewaltig. Seine Firewall hat einen normalen z. B. Portscan ect. erkannt u. verhindert. Das log ist auch sauber. Übrigens, wenn ein AV-Programm eine Backdoorvariante erkannt hat, sagt das, dass diese erkannt u. nicht zur Entfaltung gekommen ist. Eine Firewall sorgt in Zukunft dafür das Sie diese Variante blockiert u. so erst gar nicht mehr auf das System kommt wo das AV-Programm dann alarm schlägt. |
19.07.2004, 20:54 | #18 | |||||
| BACKDOOR Trojaner - Firewall, idle und EmuleZitat:
- http://oschad.de/wiki/index.php/Virenscanner - http://oschad.de/wiki/index.php/Kompromittierung Zitat:
Zitat:
Zitat:
Zitat:
|
19.07.2004, 23:19 | #19 | |||||
| BACKDOOR Trojaner - Firewall, idle und EmuleZitat:
Zitat:
Ich habe diesen Vergleich nicht gemacht, habe aber eher den Eindruck, dass du selbst hier einige Dinge nicht so recht weisst. Es geht darum, dass der eigene Rechner Dienste anbietet, auf die von Außen zugegriffen werden kann. Eine Firewall kann diesen Zugriff bzw. Verkehr vielleicht blocken, wenn ich den Dienst aber überhaupt nicht brauche und deaktiviere bzw. der Dienst, der von einem Portscan gesucht wird, eben schlicht nicht vorhanden ist, brauche ich auch keine Firewall um das zu blocken. Und in der Regel bietet ein Privatnutzer keine Dienste an, ein großer Teil der standardmäßig installierten Dienste ist, solange man kein internes Netzwerk hat, ohne Bedeutung bzw, wie man in jündgster Zeit gesehen hat ein potentielles Risiko und kann deaktiviert werden. Wir reden hier aber natürlich von den sogenannten Desktop-Firewalls wie Kerio, nicht von einem richtigen Firewall-Konzept oder Hardware. Und diese Desktop-Firewalls sind bei einem richtig konfigurierten System und Beachtung der Sicherheitsregeln im Gunde überflüssig bzw. erzeugen ein falsches Sicherheitsgefühl, offenbar auch bei dir. Zitat:
Zitat:
Das ist so ganz sicher falsch. Wenn das Backdoorprogramm bei einem wöchentlichen Scan als installiert erkannt wurde, kann er dort schon mehrer Tage sein Unwesen getrieben haben. Zitat:
Auch das ist Unsinn. Die Firewall verhindert überhaupt nichts dergleichen, das Downloaden und Installieren des Trojaners geschähe völlig unabhängig von ihr. Du scheinst irgendwie zu glauben, dass die Portscans den Trojaner auf das System übertragen, aber das ist ganz verkehrt. Den Trojaner installierst DU selbst durch unvorsichtiges Surfen oder Nichtbeachten bestimmter Regeln und keine Software kann das 100%ig ausgleichen, suggeriert das aber bei vielen. |
19.07.2004, 23:49 | #20 |
| BACKDOOR Trojaner - Firewall, idle und Emule Ich gehe davon aus, dass jeder normale user sein AV-Programm im Hintergrund laufen lässt! Wird also dann ein Backdoor erkannt, wurde dem System keinen Schaden zugefügt! Und eine Firewall würde diesen Schädling schon vorher stoppen - weil erkannt u. bekannt! Und abpropo Portscan: Eine Firewall (auch Kerio) tarnt inaktive Ports u. wenn du einen dienst konfigurierst gibt es bei einem Portscan immer eine Antwort (closed or listen) das reicht schon u. man weiß das der Rechner sich im Netz befindet! Was bei einer Firewall nicht der Fall sein wird! Was meinst du wofür Exploits genutzt werden, um Sicherheitslücken aufzutun um so eine Backdoorvariante zu installieren, dass hat nichts mit unvorsichtigen Surfen zu tun!! Genau davor schützt dich eine Firewall. Das ist ja auch die größte Gefahr sich Schädlinge einzufangen, man installiert nichts selber das macht jemand anderes für dich! Sorry aber da hast du dich gewaltig geirrt! Ich weiß, dass einige erzahlen eine Firewall sei nicht notwendig - leider ist das eine fatale Aussage! Pachtes, Dienste konfigurieren, AV-Programm, Firewall und ect. gehören zur einer offensiven Strategie u. jedes ist nur ein Teil vom ganzen Sicherheitskonzept! Wer das ignoriert oder falsche Aussagen macht - der weiß nicht wovon er redet! @mmk Und die Page zeigt ganz deutlich was passiert, wenn man keine Firewall drauf hat, denn Sie blockiert nicht nur von aussen sondern auch was raus geht u. das wäre im diesem Fall sicherlich ein erstes Indiz dafür das man sich einen Schädling eingefangen hat! Ich sehe in diesem Senario nur eine Bestätigung für ein offensive Modell!!! |
20.07.2004, 00:33 | #21 | |||||
Moderator, a.D. | BACKDOOR Trojaner - Firewall, idle und EmuleZitat:
Daneben gibt es viele Schädlinge, die ganz gezielt Virenwächter und Firewalls deaktivieren. Eine Firewall, falls dann noch aktiv, stoppt auch nicht den Schädling selbst, sondern u.U. (Umgehungsmöglichkeiten mal ausgenommen) nur den Verkehr nach draußen. Zitat:
Außerdem: http://www.iks-jena.de/mitarb/lutz/u...wall.html#Deny Zitat:
Außerdem beinhaltet jede Software das Risiko, Sicherheitslücken zu öffnen. Soll ja auch schon bei PFW vorgekommen sein... Zitat:
Zitat:
Ich nutze zwar selbst keins, aber aufgrund Patches und sicher konfigurierten Diensten kann bei mir kein Wurm was holen, Mailwürmer erkennt man auch ohne AV-Scanner. Bei unbedarfteren Usern ist ein AV-Scanner aber sinnvoll. Bei der Firewall rate ich jedem XP-Nutzer zur integrierten ICFW, eine weitere PFW ist zur Absicherung eines normalen Systems für den normalen Heimuser nicht nötig. Am wichtigsten, das hast Du vergessen, ist ein bewusster Umgang mit dem Internet und das Nutzen von sicheren Programmen, insbesondere Browser und MUA. Gruß Yopie |
20.07.2004, 01:06 | #22 | |||||
| BACKDOOR Trojaner - Firewall, idle und EmuleZitat:
Eine Firewall stoppt den Schädling noch vor dem Background-Virenscanner? Du vergisst eine der Grundregeln der AV-Scanner: sie hinken den Programmierern von Malware IMMER hinterher. Auch ein Backgroundscanner kann einen neuen Trojaner bis zum nächsten Update "übersehen" und dann ist das System eben bereits kompromittiert. Wie der genaue Vorgang im vorliegenden Fall war, müsste Albino klären. Das Teil gar nicht erst auf den Rechner lassen ist auch hier wieder die beste Lösung. Zitat:
"Closed bedeutet, dass die Desktopfirewall alle Datenpakete an einen bestimmten Port mit der Information beantwortet, dass dort kein Programm oder Dienst vorhanden ist, der mit den Daten etwas anfangen könnte (RST/REJECT) bzw. ICMP 3. Der Versender der Datenpakete wird also recht bald den Versuch beenden. Stealth bedeutet, dass die Desktopfirewall alle Datenpakete an einen bestimmten Port verwirft (droppt). Der Versender der Datenpakete weiß daher nicht, ob sie ihr Ziel erreicht haben und versucht es weiterhin, denn wäre der gescannte Port und damit der PC wirklich nicht vorhanden, hätte der Scanner ja vom letzten Router (HOP) die Nachricht erhalten, dass da kein PC existiert (destination unreachable). Weil diese Nachricht ausblieb und nur die Desktopfirewall eine Antwort des PCs verhinderte, ist das Vorhandensein des PCs praktisch bewiesen. Wenn ich einen Portscan mit dem Versuch vergleiche, die Klinke einer Tür zu drücken, um zu sehen, ob diese offen ist, ergäbe sich für den Eindringling folgendes Bild : Closed : Die Klinke lässt sich anfassen und drücken, aber die Tür ist zu. Er geht zum nächsten Haus. Vielleicht hat er da mehr Glück. Stealth : Er kann am ganzen Haus keine Tür oder Klinke finden, weiß aber ziemlich genau, dass eine da sein MUSS und sucht also mit gesteigertem Aufwand weiter. Da die Scanprogramme von "getarnten" Ports keine Antwort erhalten, senden sie solange weiter, bis der Timeout erreicht ist und das verusacht natürlich unnötigen Datenfluss(Traffic) und überlastet eventuell die Desktopfirewall. Ein Angreifer, der feststellen kann, dass hinter einem bestimmten Port kein Dienst/Programm wartet, um Daten zu verarbeiten, betrachtet den Versuch als gescheitert und zieht weiter. Ein getarnter Port aber macht neugierig." http://www.eisenheim.de/tipps2/pf.html Zitat:
Zitat:
Das hier im Thread diskutierte Beispiel belegt doch eigentlich ganz genau, worum es im Kern geht. Nehmen wir an, Albino hätte die Kerio bereits installiert gehabt, als der Backdoor aufs System gelangte und sie hätte den Connect unterbunden. Wäre das ein Schutz gewesen? Natürlich. Wäre es besser gewesen, er hätte diesen Trojaner durch Beachten der Sicherheitsregeln erst gar nicht aufs System gelassen? Allerdings. Hätte er dann die Kerio gebraucht? Eben. Ich halte mich weder für einen absoluten Crack auf diesem Gebiet (da gibt es hier wesentlich bessere Ansprechpartner) und will auch nicht soweit gehen, diese Firewalls als absolutes Teufelszeug zu verdammen (grade am Anfang sind sie als Tool zum Informationssammeln sicher nützlich), aber sie haben erstens eindeutige Nachteile, sind sicherheitstechnisch weitgehend überflüssig und vor allem sollten sie nicht als großartiges Sicherheitskunstwerk verkauft werden. Hokuspokus wie Stealth-Modus ist letztlich heiße Luft und genauso überflüssig wie das Melden von Portscans. Zitat:
Geändert von MountainKing (20.07.2004 um 13:49 Uhr) |
Themen zu BACKDOOR Trojaner - Firewall, idle und Emule |
adaware, antivir, backdoor, backdoor trojaner, clean, fehler, firewall, frage, gen, infiziert, kerio, löschen, mcafee, problem, prozesse, rechner, scan, seite, server, temp, traffic, trojan, trojaner, update, virenscanner, weitergeleitet |