|
Du hast aber nicht auf allen infizierten Rechnern ein Win7 laufen oder? :eek: |
Nein, 1x XP Pro und 1x Vista Home. Wobei das XPPro nicht mehr zu gebrauchen ist, weil dort der Angreifer wohl ziemlich Aktiv war und gemerkt hat dass ich versucht habe den Schadcode zu Isolieren. Daraufhin hat er wohl Remote dafür gesorgt dass ich mich nicht mehr lokal anmelden kann, sondern nur noch er über seine Domäne. (Es wurden einige Sicherheitsrichtlinien geändert) Ich würde zu gern Wissen wie die Steuerbefehle für den Trojaner sind, und ob es einen Remove-Befehl gibt mit dem man die Infektion über remote entfernen kann. Dann wäre die Entfernung wohl am einfachsten. Vielleicht sollte ich eine der IP's auf die versucht wird zu Verbinden per hosts Datei auf meinen Rechner umleiten und einen RAW-Server schreiben der darauf wartet dass sich der Schadcode verbindet und dann alle gesendeten/empfangenen Bytes in eine Logfile speichern. Wobei die warscheinlichkeit dass eine Art Remove-funktion im Schadcode verankert ist wohl ziemlich gering sein dürfte, wenn man bedenkt wie hartnäckig das Ding versucht sich im System und im Netzwerk festzukrallen und wieder zu verteilen. Interessant wär's trotzdem :D Ich mache Morgen eine RSIT-Log vom Vista-System, heute Abend komme ich da nicht mehr dran. Wobei ich gleich vorwarnen muss, da das System wohl ziemlich Vollgemüllt ist und warscheinlich der Einstiegspunkt für den Schadcode war. Meine Tochter achtet leider nicht allzusehr auf Mailanhänge oder ActiveX-Warnungen, sie ist froh wenn ihr ICQ Funktioniert und sie ihre Soap als Onlinestream schauen kann. Und dieser Trojaner scheint nichts gegen das benutzen von ICQ oder ähnlichem zu haben, so dass der Zeitpunkt der Erstinfektion wohl schon länger zurückliegen kann. Es kann also durchaus sein dass ihre Logs ziemlich üppig und unübersichtlich ausfallen. Dann will ich mich schon mal für deine Zeit heute bedanken, und ich melde mich dann direkt morgen Abend wieder mit den Logs. |
Hallo nochmal, tut mir Leid dass ich mich jetzt erst wieder melde, aber ich konnte die Rechner mit UnHackMe wieder in Ordnung bringen. Ausserdem habe ich mithilfe von diesem Vortrag alle verdächtigen Dateien und Treiber entfernt. Die Prozesse (LISTENING) die dann übrigblieben konnte ich auf ein paar Windows-dienste zurückführen die ich dann deaktiviert habe. benth #EDIT: Ausserdem hatte mein Router (Fritz!Box 7050) eins an der Waffel, was ein bekannter Bug zu sein scheint und durch ein zurücksetzen auf die Werkseinstellungen behoben werden konnte. |
Trotzdem finde ich das ganz schön schräg, was bei Dir da passiert ist. :balla: Normalerweise fliegt nicht einfach so was auf den Rechner, deswegen wundert mich das 1. was mit Deinen XP-Rechnern passiert ist, die müssen ja irgendwie wohl Ausgangspunkt der Infektion sein, und 2. dass die befallenen XP-Rechner sich gleich auf das neue Win7 stürzen. Ich weiß auch nicht, wie experimentierfreudig Du mit dubioser Software warst :rolleyes: |
Ich denke dass die Standardfreigaben zur Verbreitung genutzt wurden, und dadurch sind wohl alle Microsoft-Betriebssysteme anfällig. Möglicherweise hatte ich einen Trojaner/Rootkit an bord, der mit einem Toolkit erstellt wurde, und sich selbst Verschlüsselt. Diese art scheint ja immer wieder aufzutauchen und sich nicht durch normale Anti-* Software enttarnen zu lassen, da diese ja größtenteils Signaturen vergleichen, und man dadurch keine Verschlüsselten Dateien identifizieren kann. Auch die Heuristikfunktionen der einschlägig bekannten Antiviren-SW hersteller helfen hier wenig bis gar nicht. Möglicherweise war auch meine Personal Firewall einstiegspunkt der Angriffe: Video-Vortrag vom CCC Hier kann man sich Informieren, wie Personal Firewalls zur Kompromittierung diverser Microsoft-Betriebssysteme beitragen, und nicht etwa Verhindern wie man gern annehmen möchte. |
Das mit den Standardfreigaben kann gut sein, nur frage ich mich wie die Erstinfektion stattfand. Die Malware wird ja nicht allein auf den XP-Rechner zugeflogen sein... Von außen an die Standardfreigaben kann ich mir nicht wirklich vorstellen, der Router verhindert normalerweise dank NAT einen direkten Zugriff auf die Rechner hinter dem Router, es sei denn die Einstellung in der Fritzbox war ziemlich "daneben" :balla: Und das mit den Personal Firewall ist mir auch bekannt, deswegen rate ich von den Dingern grundsätzlich ab :D |
Interessanter Punkt, warscheinlich war bei der Erstinfektion auf dem XP eins der "Standardlöcher" im XP das Problem^^, oder meine Tochter hat beim Surfen unvorsichtigerweise die ein oder andere Seite aufgerufen, die dann über ActiveX oder ähnliches ein Backdoor/Trojan.Downloader/Dropper installiert hat. Jedenfalls habe ich bei ihr jetzt Formatiert und im Firefox das Addon NoScript Installiert, und hoffentlich wird das zum Schutz beitragen wenn nur benötigte/gewollte Scripts ausgeführt werden. Wenn demnächst wieder eine Infektion auftreten sollte werde ich wohl alle Rechner auf Linux umstellen und dann sollte auch Onlinebanking kein Sicherheitsproblem mehr darstellen :) |
Wenn Windows unverzichtbar ist, dann solltest Du mal über eingeschränkte Rechte nachdenken :rolleyes: meine Schwester hat sich mit Adminrechten ihren PC auch immer regelmäßig versaut, seit gut 2 Jahren mit normalen Benutzerrechten ist das Problem nun im griff. Aber Linux ist immer eine gute Idee :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board