Interessanter Text zur Malware-Beseitigung
 

Hallo zusammen

Nur mal vorweg: Ich will mit der Eröffnung dieses Themas nicht das Board angreifen oder ähnliches erreichen. Es geht mir lediglich darum, die Meinung von anderen darüber zu hören :)
Es soll also friedlich bleiben...und falls Kronos auch dazu kommt: Bitte immer einen Fakten-Link angeben ;)

:knuddel:

Hier wäre das Thema:

Reinigung oder Schutz ? Darum sollten Sie sich nicht auf Malware-Beseitigung verlassen | Emsisoft Blog
hxxp://blog.emsisoft.com/de/2015/08/18/reinigung-oder-schutz-darum-sollten-sie-sich-nicht-auf-malware-beseitigung-verlassen/

Deshalb macht man hier auch eine Ausbildung. Das bezieht sich auf Normaluser und einmal das eigene AV drüberlaufen lassen und "gut is".

Schau dir mal den Absatz an:

Und selbst bei Euch kostet das Zeit, selbst wenn Ihr vor dem PC sitzt und es Euer eigener Rechner ist....
Insofern hat der Blog schon absolut Recht, gerade auch mit dem Beispiel der Ransomware-Viren.

@Avenger77:

Genau das dachte ich halt auch...aber Deathkid hat natürlich auch absolut recht. Ich fand den Artikel halt einfach interessant und dachte, ich poste den mal ;)
Evtl. interessierts ja sonst noch jemanden ^^

Derartige Artikel kommen in dieser oder leicht abgewandelter Form über die Jahre gesehen immer wieder - doch an meiner Meinung ändert das gar nichts:

Es ist eine Frage der Verhältnismäßigkeit unter den gegebenen Umständen -

Bereinigung, falls möglich, neu aufspielen, wenn notwendig.

Generell wird hier jeder Helfer explizit darauf hinweisen, wenn er ein neues Installieren des BS für besser erachtet - beispielsweise nach multiplem Befall oder wenn nach der Bereinigung immer noch bestimmte Phänomene auftreten.

Man kann das Thema auch beliebig erweitern: Als Firmenchef könnte man sich durchaus in Beweisnot sehen, ob man wirklich alles mögliche unternommen hat, um seine Kunden zu schützen und es gibt auch moderne Malware, die ein einfaches Formatieren locker übersteht.....

Liebe Grüße, Alois

Haste absolut Recht:Boogie:

Cosinus und der Rest des Vereins zur Beseitigung von Schadsoftware haben sich wirklich alle erdenkliche Mühe gegeben und die TOs schlagen dann in den Hardware-Foren als geheilt entlassen auf, kommt dann bei weniger versierten Usern das böse Erwachen: Neuinstallation:rolleyes:

Sagma Felix, was willste denn hier schon wieder andeuten??

Nix anderes als dass ihr Euch Mühe gebt:taenzer:
Manchem Probanden ist aber in der Endkonsequenz nicht mehr zu helfen. Da hilft dann wirklich nur der Rat zur Neuinstallation.

Dann ist ja gut :) ich dachte, man muss hier wieder nen Snickers für dich reinwerfen :uglyhammer:

Habe irgendwo den Eindruck den Eindruck, dass Du eher nen Snickers brauchst als ich.

Schokolade und Bier passt nicht :uglyhammer: :lach: :party:

Dann bleibe doch lieber beim Bier:abklatsch:
:party:

Ich denke man muss bei Malware auch unterscheiden. Eine Malware, die sich immer identisch verhält, wird man natürlich mit geeigneter Software und noch mehr Wissen auch entfernen können. Aber wer schon mal Software programmiert hat wird wissen, dass man Malware auch intelligent schreiben kann bzw. könnte. Die Malware könnte je nach Datum, Uhrzeit, Systemkonfiguration, Inhalt einer Internet-Webseite bzw. C&C-Server, ... vollkommen unterschiedlich arbeiten. Die Frage ist dann ob die Malware-Beseitigung wirklich alle Fälle abhandeln kann. Ich kenne niemanden, der das Betriebssystem Windows vollständig verstanden hat (nur ein paar Leute, die das vielleicht von sich behaupten). Es wäre somit vermessen zu denken, irgendeine Software (geschrieben von Menschen) oder ein Mensch könnte tatsächlich eine Malware zu 100% immer entfernen. Gerne darf man das behaupten. Die Frage ist nur ob man es glauben sollte.

Beispiel:

Du bist Programmierer oder jemand mit vergleichbaren Kenntnissen. Du bekommst den kompletten Quellcode zu sehen (der bei Malware natürlich viel viel kürzer ist als bei einem richtigen Programm).

Mit Einsicht auf den kompletten Quellcode, ist es dann immer noch nicht möglich?

oft funktionierts, oft aber auch nicht. sicherlich kann die malware zu 100% entfernt werden. aber ich glaube nicht, das es für irgendjemanden möglich ist "immer" alle backdoors zu erkennen und zu schliessen. bei trojanerkacke etc. würde ich deshalb immer ein backup rausholen und falls nicht vorhanden in den sauren apfel beissen,... neu installieren!

das beantwortet nicht meine Frage ;)

das sollte es auch nicht, war eher eine antwort auf post 1 :blabla:

aber trotzdem gerne. möglich ja... aber nur wenn der jenige den quellcode auch wirklich versteht.

nur weil der computer diesen versteht, muss es nicht jeder programmierer. nun weiss ich nicht ob malware mit vielen quelldateien geschrieben wird oder immer in textform ist. gibts programme die sowas übersetzen ? dann würde jeder programmierer damit klar kommen. aus eine antwort, wurd eine frage... verdammt!

aber ich kenn mich mit programmieren nicht wirklich aus, auch wenn ich mal kleine programme damals mit den c64 (basic) geschrieben hab. lang ist´s her ^^

Logo. derjenige versteht den Quellcode zu 100%, und hat ihn zu 100% vorliegen.
Wobei man ja nicht von Quellcode reden kann, wäre ja zu einfach ;).
Der Quellcode liegt vor in Form von Assembler.

Das nennt man Reverse Engineering.

ok, wenn der quellcode immer übersetzbar ist...

好吧，如果原始程式碼始終是可翻譯...

Boah, Assembler is furchtbar zu lesen :D. Aber im Endeffekt easy weil ja nur 3 Sachen pro Zeile stehen (Befehl, Ziel, Quelle).

Wenn der Quellcode nicht wirklich im Original vorliegt, kann man den Code leider nur in sehr einfachen Fällen wirklich verstehen - denn die "Rückübersetzung" hinkt in mehreren Bereichen (Pointer-, Index- und Segmentregister stimmen nicht mehr überein):

Deshalb werden in solchen Fällen auch genaue Analysen durchgeführt, um wirklich nachzuweisen, welche Systemänderungen nun tatsächlich vorgenommen werden.
(Ich nehme an, dies geschieht im nicht-öffentlichen Raum.....)

Liebe Grüße, Alois

Das ist dann aber wieder dynamische Analyse ;)

Aber gerade bei tricky Teilen wird eher statisch analysiert. Klar, da ist ein Schutz drin der das disamblen verhindern soll, neuderings werden auch gern 80 jpgs aufgerufen zwischendurch, in der Hoffnung der Analyst verliert die Lust bei 1000 Zeilen Assembler Code, hilft aber alles nix :D

Mit anderen Worten werden so wirklich alle Packers, Encryptors, Obfuscators, Archivers und Binders auf alle Fälle erkannt?

- und wenn der Angreifer mehrere Compiler verwendet hat?

Liebe Grüße, Alois

Es wird natürlich immer schwerer. Mir is aber jetzt spontan keine Malware bekannt die bei kernelmode nicht geknackt wurde, als Beispiel.

Na, das ist ja immerhin ein Lichtblick! :daumenhoc

Liebe Grüße, Alois

Ich hab mal vor Jahren gelesen, dass es irgendeine Malware (oder war ein eher ein proof-of-concept?) geschafft hat, das laufende Systeme in eine VM zu verschieben. Haste davon mal gehört?

ich nix verstehen :D

Hab den Artikel wiedergefunden :applaus: => Rootkit verschiebt Windows in virtuelle Maschine | heise Security

Ist von Ende 2006 :applaus:

Irgnendwas mal von gehört?

War nicht hier mal einer, der den Verdacht hatte, so was sei auf seinem PC passiert?

Wirklich, wen meinste denn?

Ich meinte den hier, das passt aber doch nicht: er hatte OSX!
http://www.trojaner-board.de/137134-...infiziert.html

Der Thread ist über zwei Jahre alt, daran kannste dich noch erinnern?! :wtf: :rofl:

Dein Artikel ist fast 9 Jahre alt :glaskugel: :zunge:

Dass einer dachte, sein System wäre gegen seinen Willen in eine VM verpflanzt worden, hat mich damals beeindruckt. Aber Einzelheiten wusste ich ja offenbar nicht mehr.