Wie man im RAM einen Virus permanent verbergen kann, musst Du ncohmal erläutern
Programme entfernen bzw. Viren
-
lunar
@Xynon1: Nur eine Neuinstallation garantiert, dass das Schadprogramm rückstandslos entfernt ist. Moderne Schädlinge sind keine einfachen Viren mehr, sondern komplexe, selbstmodifizierende Rootkits, die kaum ein Virenscanner zuverlässig und restlos erkennen kann.
Wie man im RAM einen Virus permanent verbergen kann, musst Du ncohmal erläutern
Wie man im RAM einen Virus permanent verbergen kann, musst Du ncohmal erläutern
@lunar
Das habe ich nicht behauptet* - hattest du letztens nicht erst jemandem Vorgeworfen die Posts ordentlich zu lesen? - egal.
Ich sagte das Viren theoretisch sich in jedem Speicher aufhalten können. Bei flüchtigem Speicher hält dieser Zustand natürlich nur solange wie auch Spannung anliegt. Aber ein EEPROM - wie z.B. die meisten BIOSe sind elektronisch beschreibbar, also könnte er sich dort einnisten. Da wäre also nicht nur OS-Neuinstallation fällig. Ich bin jetzt kein Hardware-Spezialist, aber es gibt sicher auch noch andere beschreibbare nicht-flüchtige Speicher im Computer, oder? Jeder davon müsste gelöscht werden.
Tatsache ist doch aber das es kaum Viren gibt, die tatsächlich so clever sind und eine Neuinstallation nicht unbedingt in Frage kommen muss.
Und wenn man schon neuinstalliert sollte man zumindest die Festplatte einmal low-level formatieren, da bei der normalen Formation ja die Daten darauf erhalten beliben und nur die Partitionstabelle gelöscht wird, aber das wisst ihr ja sicher.
@DasIch
und dies kann je nach Fesplattegröße ewtas länger dauern als nur eine Stunde.
*Aber ich glaube auf dem SED-Chip der RAMs konnten sich auch Viren aufhalten.
Das habe ich nicht behauptet* - hattest du letztens nicht erst jemandem Vorgeworfen die Posts ordentlich zu lesen? - egal.
Ich sagte das Viren theoretisch sich in jedem Speicher aufhalten können. Bei flüchtigem Speicher hält dieser Zustand natürlich nur solange wie auch Spannung anliegt. Aber ein EEPROM - wie z.B. die meisten BIOSe sind elektronisch beschreibbar, also könnte er sich dort einnisten. Da wäre also nicht nur OS-Neuinstallation fällig. Ich bin jetzt kein Hardware-Spezialist, aber es gibt sicher auch noch andere beschreibbare nicht-flüchtige Speicher im Computer, oder? Jeder davon müsste gelöscht werden.
Tatsache ist doch aber das es kaum Viren gibt, die tatsächlich so clever sind und eine Neuinstallation nicht unbedingt in Frage kommen muss.
Und wenn man schon neuinstalliert sollte man zumindest die Festplatte einmal low-level formatieren, da bei der normalen Formation ja die Daten darauf erhalten beliben und nur die Partitionstabelle gelöscht wird, aber das wisst ihr ja sicher.
@DasIch
und dies kann je nach Fesplattegröße ewtas länger dauern als nur eine Stunde.
*Aber ich glaube auf dem SED-Chip der RAMs konnten sich auch Viren aufhalten.
-
Leonidas
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
@lunar: haha, ja, bin auch schon gespannt auf die ersten Fake-AVs die es für Linux gibt. Bitte mit anständigen Paketen für Debian/Ubuntu/Arch und EBuilds für Gentoo. Bisher muss man sich ja leider mit Wine behelfen und selbst dann ist nicht sichergestellt, dass sie gut funktionieren.
Öhm. Das was du low-level Formattierung nennst heißt nicht so denn low-level Formattierung ist was ganz anderes. Was du meinst ist eher vollständige Formattierung, zumindest nennt Windows das so bei FAT und NTFS. Die e2fsprogs können sowas gar nicht erst (gut, man könnte sagen delayed allocation, aber das sind nun feinheiten). Wie auch immer, auch das ist nicht notwendig. Eine einfache "Schnellformatierung" reicht. Viren sind auf der Platte ja nur ein Problem wenn sie lesbar sind. Wenn sie als Datenmüss auf der Festplatte ungelöscht rumliegen ist das ja auch ziemlich egal.Xynon1 hat geschrieben:Und wenn man schon neuinstalliert sollte man zumindest die Festplatte einmal low-level formatieren, da bei der normalen Formation ja die Daten darauf erhalten beliben und nur die Partitionstabelle gelöscht wird, aber das wisst ihr ja sicher.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
Öhm, ja aber (wieder) theoretisch könnte ein Schadprogramm bestimmte Indizies der befallenen Sektoren auf der Festplatte in irgendeinem Speicher unterbringen, so das sie als reine Positionen auf der Festplatte zu bestimmen sind. Diese könnten danach wieder Nutzbar gemacht werden und die Positionsdaten würden von keinem Virenscanner als Gefahr eingestuft werden, da sie mit der eigentlichen Schadsoftware nichts zutun haben. So könnte man Daten auslagern falls nicht das komplette Programm in einen der kleineren Speicher passt.
^
---- Ist natürlich völliger Blödsinn, solche Viren gibt/gab es noch nicht, aber man kann ja nie Wissen, wenn man sowieso schon alles neuinstallieren muss
(und ich hoffe, ich habe nicht irgendjemand auf eine dumme Idee gebracht)
Kleine Ergenzung, falls das mit den EEPROMs zu abenteuerlich klingt, bei peripheren Geräten klappt das auf jedenfall z.B. beim Drucker, Scanner oder Switches gab es das alles schon.
^
---- Ist natürlich völliger Blödsinn, solche Viren gibt/gab es noch nicht, aber man kann ja nie Wissen, wenn man sowieso schon alles neuinstallieren muss
(und ich hoffe, ich habe nicht irgendjemand auf eine dumme Idee gebracht)Kleine Ergenzung, falls das mit den EEPROMs zu abenteuerlich klingt, bei peripheren Geräten klappt das auf jedenfall z.B. beim Drucker, Scanner oder Switches gab es das alles schon.
Es gibt zwei Arten von Daten: die im Backup und die unwichtigen...Py-Prog hat geschrieben:Hab ich schon mal wo gehört,Liffi hat geschrieben:Backup
Und du hast den Virus gebeten, nur C: zu befallen.brauch ich in den fall aber nicht weil ich eine C: und eine D: Partition hab, C: formatieren D: immer noch da.
Dann hast du ja wirklich alles richtig gemacht.
-
lunar
@Xynon1: Man kann Schadprogramme überall verstecken, auch in irgendwelchen Festplattenblöcken. Allerdings ist es sinnlos, den Schadcode so gut zu verstecken, dass er gar nicht mehr ausgeführt wird.
Festplatteninhalte werden nur unter bestimmten Umständen ausgeführt, nämlich beim Systemstart und wenn das Betriebssystem Programme ausführt. Beim Systemstart kann ein Schadprogramm natürlich alles tun, weil das Betriebssystem noch nicht läuft, solche Schadprogramme sind allerdings schwieriger zu implementieren und zu installieren.
Das Betriebssystem aber lädt Programm über das Dateisystem von der Festplatte und zwingt diese Programme anschließend unter seine Rechteverwaltung. Rohdaten von der Festplatte werden nicht einfach so ausgeführt, und Programme gelangen auch nicht ohne weiteres an diese Rohdaten. Zumindest ein Teil des Schadprogramms muss also zwingend als reguläre Datei im Betriebssystem vorhanden sein, andernfalls würde das Schadprogramm nie ausgeführt und wäre nutzlos. Erst wenn das Schadprogramm mal läuft, kann es dann über Lücken die Rechteverwaltung umgehen und Daten von beliebigen Orten nachladen.
Der Teil, der im System verborgen ist, geht bei einer Neuinstallation mit Wiederherstellung eines sauberen Backups natürlich verloren. Mag sein, dass Teile des Schadprogramms dann noch in irgendwelchen Festplattensektoren rumliegen, aber eben – wie Leonidas schon sagte – nur als unausführbarer Datenmüll.
Aus ähnlichem Grund sind auch der PoC-Schadprogramme für Netzwerkarten und andere Peripheriegeräte praktisch harmlos. Sie werden nur unter bestimmten Umständen ausgeführt, und laufen dann nur in einer begrenzten Umgebung. Geschickt installierte Schadprogramme dagegen werden immer ausgeführt und laufen in einer unbegrenzten Umgebung.
Festplatteninhalte werden nur unter bestimmten Umständen ausgeführt, nämlich beim Systemstart und wenn das Betriebssystem Programme ausführt. Beim Systemstart kann ein Schadprogramm natürlich alles tun, weil das Betriebssystem noch nicht läuft, solche Schadprogramme sind allerdings schwieriger zu implementieren und zu installieren.
Das Betriebssystem aber lädt Programm über das Dateisystem von der Festplatte und zwingt diese Programme anschließend unter seine Rechteverwaltung. Rohdaten von der Festplatte werden nicht einfach so ausgeführt, und Programme gelangen auch nicht ohne weiteres an diese Rohdaten. Zumindest ein Teil des Schadprogramms muss also zwingend als reguläre Datei im Betriebssystem vorhanden sein, andernfalls würde das Schadprogramm nie ausgeführt und wäre nutzlos. Erst wenn das Schadprogramm mal läuft, kann es dann über Lücken die Rechteverwaltung umgehen und Daten von beliebigen Orten nachladen.
Der Teil, der im System verborgen ist, geht bei einer Neuinstallation mit Wiederherstellung eines sauberen Backups natürlich verloren. Mag sein, dass Teile des Schadprogramms dann noch in irgendwelchen Festplattensektoren rumliegen, aber eben – wie Leonidas schon sagte – nur als unausführbarer Datenmüll.
Aus ähnlichem Grund sind auch der PoC-Schadprogramme für Netzwerkarten und andere Peripheriegeräte praktisch harmlos. Sie werden nur unter bestimmten Umständen ausgeführt, und laufen dann nur in einer begrenzten Umgebung. Geschickt installierte Schadprogramme dagegen werden immer ausgeführt und laufen in einer unbegrenzten Umgebung.
Das bestreite ich auch nicht, das waren ja nur Möglichkeiten wo er gespeichert werden kann 
Die eigentliche Gefahr ist und bleibt nur der Nutzer des Computes. Lassen wir ihn mal vergessen im Windows die automatische Widergabe von Geräten abzuschalten. Oder noch ein (SD-)Card im Laufwerk vor der Neuinstallation zu haben und Schwups ist der Schädling wieder da. Vieleicht ist sogar das Backup mit einem Teil infiziert der nicht erkannt wird, weil das Schadprogramm sich in einigen größeren Zeit-Intervalen aktiviert.
Schlussendlich kann man aber auch zu viel Paranoia besitzen
Die eigentliche Gefahr ist und bleibt nur der Nutzer des Computes. Lassen wir ihn mal vergessen im Windows die automatische Widergabe von Geräten abzuschalten. Oder noch ein (SD-)Card im Laufwerk vor der Neuinstallation zu haben und Schwups ist der Schädling wieder da. Vieleicht ist sogar das Backup mit einem Teil infiziert der nicht erkannt wird, weil das Schadprogramm sich in einigen größeren Zeit-Intervalen aktiviert.
Schlussendlich kann man aber auch zu viel Paranoia besitzen
-
Leonidas
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Vielleicht sollte man an dieser Stelle dann auf ein sichereres System umsteigen. OpenBSD wäre ein Kandidat, aber auch Linuces mit entsprechend hochgeschraubten Sicherheitsfeatures wie etwa Hardened Gentoo können da abhilfe schaffen.Xynon1 hat geschrieben:Schlussendlich kann man aber auch zu viel Paranoia besitzen
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
So paranoid bin ich nun auch wieder nicht (@xynon oder doch?)
Die meisten *Viren* haben doch ein eher geringes Schadenspotenzial und außerhalb der Windows-Welt gibt es kaum welche die funktionieren. Ich will das Problem zwar nicht verharmlosen, aber wenn man nicht auf alles klickt, was nicht bei drei auf den Bäumen ist, dann sollte man eher weniger bis keine Probleme mit solcher Schadsoftware haben.
Die meisten *Viren* haben doch ein eher geringes Schadenspotenzial und außerhalb der Windows-Welt gibt es kaum welche die funktionieren. Ich will das Problem zwar nicht verharmlosen, aber wenn man nicht auf alles klickt, was nicht bei drei auf den Bäumen ist, dann sollte man eher weniger bis keine Probleme mit solcher Schadsoftware haben.
Weder WoT (was auch immer das ist) noch ein Virenscanner befreien vom mitdenken. Weswegen ich privat auch keinen Virenscanner unter Windows genutzt habe. Die fiesen Sachen sind sowieso neu und werden dementsprechend eh nicht erkannt.Py-Prog hat geschrieben:Erstens ich hab WoT und zweitens hab ich die datei danach noch mit dem Virenscanner gescannt.
-
jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Also neu installieren würde ich nicht...
Ich würde es mal mit einem "Offline scanner" versuchen. Also einen Virenscanner, der von CD bootet... z.B.: http://www.heise.de/security/artikel/De ... 13353.html
Von Microsoft bekommt man auch seit kurzem ein ISO Image: http://www.heise.de/security/meldung/Ko ... 53846.html
Was zum lesen: http://www.heise.de/security/artikel/De ... 70846.html#
Ansonsten gehört Software aus dubiosen quellen in eine VM Dazu kann man sogar Original ISO Images mit Win7 von Microsoft bekommen: http://go.microsoft.com/fwlink?LinkID=70868 Funktionieren auch mit VirtualBox... Sind eigentlich zum Testen von Webseite mit älteren IE gedacht
Ich würde es mal mit einem "Offline scanner" versuchen. Also einen Virenscanner, der von CD bootet... z.B.: http://www.heise.de/security/artikel/De ... 13353.html
Von Microsoft bekommt man auch seit kurzem ein ISO Image: http://www.heise.de/security/meldung/Ko ... 53846.html
Was zum lesen: http://www.heise.de/security/artikel/De ... 70846.html#
Ansonsten gehört Software aus dubiosen quellen in eine VM
Dazu kann man sogar Original ISO Images mit Win7 von Microsoft bekommen: http://go.microsoft.com/fwlink?LinkID=70868 Funktionieren auch mit VirtualBox... Sind eigentlich zum Testen von Webseite mit älteren IE gedacht Das Programm ist seit mindestens 2007 bekannt, in der zeit sollten die Anti-Viren-Hersteller zeit genug gehabt haben um das teil zu untersuchen. Dann hab ich den Netzwerk verkehr im Tastmgr angeschaut, nichts, und es sind auch keine Auffälligen Prozesse und wenn nichts gefährliches im Autostart ist ...
P. S. WoT ist ein Browser Add-in das einen die Seiten Bewertung anzeigt (man kann auch selber bewerten), das warnt einen wenn eine Seite einen Schlechten Ruf hat.
P. S. WoT ist ein Browser Add-in das einen die Seiten Bewertung anzeigt (man kann auch selber bewerten), das warnt einen wenn eine Seite einen Schlechten Ruf hat.
Technik ist: wenn alles funktioniert und keiner weiß warum.
Wer Rechtschreibfehler findet darf sie behalten.
Wer Rechtschreibfehler findet darf sie behalten.
Ach ja und wie ihr ja wissen dürftet hab ich mit Live-Linux schlechte Erfahrungen gemacht ...
Technik ist: wenn alles funktioniert und keiner weiß warum.
Wer Rechtschreibfehler findet darf sie behalten.
Wer Rechtschreibfehler findet darf sie behalten.
-
deets
Na dann kann ja nix passieren. Doof waere nur, wenn jemand auf die Idee kaeme etwas zu programmieren, dass den ueblichen Tools zur Systemueberwachung vorgaukelt, es waere alles quietschnormal. Das waere dann wirklich unschoen.Py-Prog hat geschrieben:Das Programm ist seit mindestens 2007 bekannt, in der zeit sollten die Anti-Viren-Hersteller zeit genug gehabt haben um das teil zu untersuchen. Dann hab ich den Netzwerk verkehr im Tastmgr angeschaut, nichts, und es sind auch keine Auffälligen Prozesse und wenn nichts gefährliches im Autostart ist ...
Ooops. Die Idee hatte schon einer... http://de.wikipedia.org/wiki/Rootkit
Es mag schockierend sein, aber mit der Anmeldung an dieses Forum geht nicht einher, das man verpflichtet wird, deine gesammelten Postings auswendig zu lernen. Insofern wissen das wohl nur die wenigsten.. Ich zB nicht!Py-Prog hat geschrieben: Ach ja und wie ihr ja wissen dürftet hab ich mit Live-Linux schlechte Erfahrungen gemacht ...
Davon ab: Selbst wenn du mal schlechte Erfahrungen gemacht hast - ich hab auch mal Windows 95 laufen gehabt, und das war geruehrte Rotze. Aber die Welt hat sich weitergedreht, und heute gibt's neue Versionen von diesem komischen Betriebssystem, und die sollen ganz passabel sein.
Aehnliches gilt auch fuer Live-Linuxe allen Arten, und Software so im Grossen und Ganzen. Eine guten Rat auszuschlagen auf der Basis von wahrscheinlich veraltetem Wissen ist also eher .. problematisch. Oder waren deine Erfahrungen mit der gerade 3 Monate alten Live-CD von Heise? Dann will ich nix gesagt haben...