Das deutsche Python-Forum

Py-Prog hat geschrieben:

Liffi hat geschrieben:Backup

Hab ich schon mal wo gehört,

Es gibt zwei Arten von Daten: die im Backup und die unwichtigen...

brauch ich in den fall aber nicht weil ich eine C: und eine D: Partition hab, C: formatieren D: immer noch da.

Und du hast den Virus gebeten, nur C: zu befallen.
Dann hast du ja wirklich alles richtig gemacht.

@Xynon1: Man kann Schadprogramme überall verstecken, auch in irgendwelchen Festplattenblöcken. Allerdings ist es sinnlos, den Schadcode so gut zu verstecken, dass er gar nicht mehr ausgeführt wird.

Festplatteninhalte werden nur unter bestimmten Umständen ausgeführt, nämlich beim Systemstart und wenn das Betriebssystem Programme ausführt. Beim Systemstart kann ein Schadprogramm natürlich alles tun, weil das Betriebssystem noch nicht läuft, solche Schadprogramme sind allerdings schwieriger zu implementieren und zu installieren.

Das Betriebssystem aber lädt Programm über das Dateisystem von der Festplatte und zwingt diese Programme anschließend unter seine Rechteverwaltung. Rohdaten von der Festplatte werden nicht einfach so ausgeführt, und Programme gelangen auch nicht ohne weiteres an diese Rohdaten. Zumindest ein Teil des Schadprogramms muss also zwingend als reguläre Datei im Betriebssystem vorhanden sein, andernfalls würde das Schadprogramm nie ausgeführt und wäre nutzlos. Erst wenn das Schadprogramm mal läuft, kann es dann über Lücken die Rechteverwaltung umgehen und Daten von beliebigen Orten nachladen.

Der Teil, der im System verborgen ist, geht bei einer Neuinstallation mit Wiederherstellung eines sauberen Backups natürlich verloren. Mag sein, dass Teile des Schadprogramms dann noch in irgendwelchen Festplattensektoren rumliegen, aber eben – wie Leonidas schon sagte – nur als unausführbarer Datenmüll.

Aus ähnlichem Grund sind auch der PoC-Schadprogramme für Netzwerkarten und andere Peripheriegeräte praktisch harmlos. Sie werden nur unter bestimmten Umständen ausgeführt, und laufen dann nur in einer begrenzten Umgebung. Geschickt installierte Schadprogramme dagegen werden immer ausgeführt und laufen in einer unbegrenzten Umgebung.

Das bestreite ich auch nicht, das waren ja nur Möglichkeiten wo er gespeichert werden kann
Die eigentliche Gefahr ist und bleibt nur der Nutzer des Computes. Lassen wir ihn mal vergessen im Windows die automatische Widergabe von Geräten abzuschalten. Oder noch ein (SD-)Card im Laufwerk vor der Neuinstallation zu haben und Schwups ist der Schädling wieder da. Vieleicht ist sogar das Backup mit einem Teil infiziert der nicht erkannt wird, weil das Schadprogramm sich in einigen größeren Zeit-Intervalen aktiviert.

Schlussendlich kann man aber auch zu viel Paranoia besitzen

Xynon1 hat geschrieben:Schlussendlich kann man aber auch zu viel Paranoia besitzen

Vielleicht sollte man an dieser Stelle dann auf ein sichereres System umsteigen. OpenBSD wäre ein Kandidat, aber auch Linuces mit entsprechend hochgeschraubten Sicherheitsfeatures wie etwa Hardened Gentoo können da abhilfe schaffen.

So paranoid bin ich nun auch wieder nicht (@xynon oder doch?)
Die meisten *Viren* haben doch ein eher geringes Schadenspotenzial und außerhalb der Windows-Welt gibt es kaum welche die funktionieren. Ich will das Problem zwar nicht verharmlosen, aber wenn man nicht auf alles klickt, was nicht bei drei auf den Bäumen ist, dann sollte man eher weniger bis keine Probleme mit solcher Schadsoftware haben.

So, ich denke ich habe die Rogueware entfernt bzw. unschädlich gemacht. (Per Hand)

Py-Prog hat geschrieben:Erstens ich hab WoT und zweitens hab ich die datei danach noch mit dem Virenscanner gescannt.

Weder WoT (was auch immer das ist) noch ein Virenscanner befreien vom mitdenken. Weswegen ich privat auch keinen Virenscanner unter Windows genutzt habe. Die fiesen Sachen sind sowieso neu und werden dementsprechend eh nicht erkannt.

Also neu installieren würde ich nicht...
Ich würde es mal mit einem "Offline scanner" versuchen. Also einen Virenscanner, der von CD bootet... z.B.: http://www.heise.de/security/artikel/De ... 13353.html

Von Microsoft bekommt man auch seit kurzem ein ISO Image: http://www.heise.de/security/meldung/Ko ... 53846.html

Was zum lesen: http://www.heise.de/security/artikel/De ... 70846.html#

Ansonsten gehört Software aus dubiosen quellen in eine VM Dazu kann man sogar Original ISO Images mit Win7 von Microsoft bekommen: http://go.microsoft.com/fwlink?LinkID=70868 Funktionieren auch mit VirtualBox... Sind eigentlich zum Testen von Webseite mit älteren IE gedacht

Das Programm ist seit mindestens 2007 bekannt, in der zeit sollten die Anti-Viren-Hersteller zeit genug gehabt haben um das teil zu untersuchen. Dann hab ich den Netzwerk verkehr im Tastmgr angeschaut, nichts, und es sind auch keine Auffälligen Prozesse und wenn nichts gefährliches im Autostart ist ...

P. S. WoT ist ein Browser Add-in das einen die Seiten Bewertung anzeigt (man kann auch selber bewerten), das warnt einen wenn eine Seite einen Schlechten Ruf hat.

Ach ja und wie ihr ja wissen dürftet hab ich mit Live-Linux schlechte Erfahrungen gemacht ...

Py-Prog hat geschrieben:Das Programm ist seit mindestens 2007 bekannt, in der zeit sollten die Anti-Viren-Hersteller zeit genug gehabt haben um das teil zu untersuchen. Dann hab ich den Netzwerk verkehr im Tastmgr angeschaut, nichts, und es sind auch keine Auffälligen Prozesse und wenn nichts gefährliches im Autostart ist ...

Na dann kann ja nix passieren. Doof waere nur, wenn jemand auf die Idee kaeme etwas zu programmieren, dass den ueblichen Tools zur Systemueberwachung vorgaukelt, es waere alles quietschnormal. Das waere dann wirklich unschoen.

Ooops. Die Idee hatte schon einer... http://de.wikipedia.org/wiki/Rootkit

Py-Prog hat geschrieben: Ach ja und wie ihr ja wissen dürftet hab ich mit Live-Linux schlechte Erfahrungen gemacht ...

Es mag schockierend sein, aber mit der Anmeldung an dieses Forum geht nicht einher, das man verpflichtet wird, deine gesammelten Postings auswendig zu lernen. Insofern wissen das wohl nur die wenigsten.. Ich zB nicht!

Davon ab: Selbst wenn du mal schlechte Erfahrungen gemacht hast - ich hab auch mal Windows 95 laufen gehabt, und das war geruehrte Rotze. Aber die Welt hat sich weitergedreht, und heute gibt's neue Versionen von diesem komischen Betriebssystem, und die sollen ganz passabel sein.

Aehnliches gilt auch fuer Live-Linuxe allen Arten, und Software so im Grossen und Ganzen. Eine guten Rat auszuschlagen auf der Basis von wahrscheinlich veraltetem Wissen ist also eher .. problematisch. Oder waren deine Erfahrungen mit der gerade 3 Monate alten Live-CD von Heise? Dann will ich nix gesagt haben...