Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Falsche Vorgehensweise? (https://www.trojaner-board.de/121883-falsche-vorgehensweise.html)

stefanbecker 12.08.2012 07:11
Falsche Vorgehensweise?
 
Macht die zur Bereinigung angewendete Vorgehensweise überhaupt Sinn?

Wenn ich einen Verschlüsselungstrojaner habe, dann müsste man die Kiste doch sofort runterfahren per Stecker ziehen. Die Dinger leisten doch inzwischen ganze Arbeit. Je länger die Gurke läuft, desto mehr ist verschlüsselt. Und das wohl je nach Variante unwiederbringlich.

Im Bekanntenkreis habe ich auch so eine Gurke gehabt, zum Glück noch ohne Verschlüsselung. Daraufhin habe ich mich mal ein bischen mit der Sache auseinandergesetzt. Einfach mal im GMX Spamfilter nachgesehen und die Trojaner installiert. Natürlich in einer VM ohne Shared Folders und USB Zugriff. Interessant, dagegen sind frühere Sachen wie Loveletter ja ein Witz dagegen.


Meiner Meinung nach müsste die Vorgehensweise daher so sein:

1) Kiste sofort ausstellen.

2) Daten sichern mit Linux CD und externer Platte/USB-Stick/DVD.

3) Kontrollieren, ob Daten verschlüsselt sind.

3a) Ja: Kiste neu installieren. Was will man sonst mit einem bereinigten OS ohne Daten?

3b) Nein: Dann geht auch eure Vorgehensweise.

Wer mit 2) überfordert ist, soll sich halt kompetente Hilfe im Freundeskreis suchen. Nicht Fratzenbuch, sondern echte Menschen.

Und für 2) und 3) kannst du eine Ubuntu- oder Knoppix CD nehmen. Gibt es zur Not am Kiosk in irgendeinem Linux-Heft.


Oder sehe ich da generell was falsch?

Undertaker 12.08.2012 08:20
moin moin,

ein kompromitiertes System neu aufzusetzen ist immer die beste Lösung.
Optimal wäre das Zurückspielen eines Images des fertig eingerichteten Systems. Das spart viel Zeit.

Zitat:
Zitat von stefanbecker (Beitrag 889996)
Wenn ich einen Verschlüsselungstrojaner habe, dann müsste man die Kiste doch sofort runterfahren per Stecker ziehen. Die Dinger leisten doch inzwischen ganze Arbeit. Je länger die Gurke läuft, desto mehr ist verschlüsselt.
Klar, nur wer so schnell ist zu erkennen was da ab geht, der hätte die Datei im Anhang nie ausgeführt.
Die Realität sieht halt anders aus.

Zitat:
Meiner Meinung nach müsste die Vorgehensweise daher so sein:

3) Kontrollieren, ob Daten verschlüsselt sind.
3a) Ja: Kiste neu installieren. Was will man sonst mit einem bereinigten OS ohne Daten?
Wer auf seine verschlüsselten Daten verzichten kann, OK.

Wer auf die Daten nicht verzichten möchte und auf eine spätere Wiederherstellung hofft, muß dann aber eine Sicherung des gesamten befallenen Systems machen,
Bei einer Neuinstallation des Systems gehen mit den $0x-Dateien Informationen verloren, die die Chance einer späteren Datenrettung fast ausschließen.

Volker

stefanbecker 12.08.2012 10:17
Na ja, lernen durch Schmerzen halt.

Nur ich meine, dadurch dass die Kiste weiterrennt, kann der Trojaner im Hintergrund in Ruhe weiterarbeiten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131