Alter-Ego
18.11.2010, 23:06
Ich habe mir hier mal die Stickys durchgelesen zu den Themen
Bin ich Infiziert ? Hier die Antwort !
Was tun, wenn ich infiziert bin?!Was dabei auffällt ist das diese meiner Meinung nach Relativ "naiv" geschriebn sind.
Ich denke eine infektion ist nichts triviales was eigentlich jedem klar sein sollte der sich hier rumtreibt.
Wie kommt man dann auf die Idee mit Windows Bordmitteln der Maleware auf die Spur zu kommen?
Meiner meinung nach sollte man beim Verdacht auf eine Infektion erst mal vom schlimmsten ausgehen.
Was kann im schlimmsten fall passieren?
Ich denke das ich mir im Schlimmsten fall ein Rootkit einfange.
Was so ein Rootkit für einen Zweck hat sollte jedem klar sein, es dient dem Verstecken von Maleware und dessen Aktivitäten.
Macht es da sinn netstat zu benutzen?
Einer der wichtigsten themen hier ist auch immer wieder, wie mache ich XY FUD.
Macht es da sinn einen AV scanner einzusetzen, wohlgemerkt beim verdacht auf eine infektion, nicht generell.
Was auch immer wieder gerne hergezogen wird für ein auffinden einer auffälligen datei ist HijackThis, glaubt ihr wirklich das diese software jede möglichkeit zum starten von Maleware findet?
Wahrscheinlich ja denn wer es braucht wird sich wohl was eingefangen haben und das wohlmöglich weil er einfach nicht wusste wie er es anstellt sicher im netz zu surfen.
----------------------------------------------------------------------------------------------------------
Was kann man besser machen?
Zum einen sollte man sich damit abfinden das man nie zu 100% sicher sein kann das man einmal eingefangene Maleware wieder entfernt hat.
Also bleibt nur die Neuinstallation des OS und das neuschreiben des MBR.
Das wichtigste ist die prevention, ist wie beim popen, wenn ohne gummi kanns in die hose gehen und dann wird es schwierig das wieder geradezubiegen.
Ergo immer mit Gummi surfen und sich informieren, Java und Flash sowie Adobe Acrobat sind zur zeit gern genommene einfalltore für maleware.
Also heisst es diese dienste nur zu erlauben wenn man der seite vertraut, Java, Flash und PDF´s nicht automatisch im Browser öffnen bzw. ablaufen lassen.
Weiter kann man den Browser in einer Sandbox laufen lassen, was die sicherheit ebenfalls etwas erhöht.
Und immer aktuell halten welche lücken es gibt und wie man sie schließt,
wenn ich über eine neue lücke im FF lesen wechsel ich halt für eine weile den Browser oder nutze halt die Sandbox.
Wer sich Maleware über einen Infizierten DL einfängt ist selber schuld, ihr wisst das beliebte software gerne dafür hergenommen wird um Maleware unters volk zu bringen.
Wenn ihr dann eben solche software von einer nicht vertrauenswürdigen bzw. geprüften quelle nutzt und dass in eurer normalen Arbeitsumgebung anwendet habt ihr selbser schuld denn sowas ist einfach fahrlässig.
Wenn ihr dieses Risiko eingehen wollt müsst ihr halt auch mit den konsequenzen leben oder den kopf einschalten.
So nun habe ich erst mal keinen Bock mehr zu schreiben, aber das wollte ich euch auf jeden fall und unbedingt mitteilen;)
just my 2´ct
Baustelle
Da ich der Meinung bin das die bisherigen Stiky´s relativ naiv geschrieben sind, hier man meine Tip´s zum Vorgehen bei einer Infektion.
Eine Infektion mir Maleware ist nichts Triviales was jedem der sich hier rumtreibt klar sein sollte.
Ihr sucht hier nach möglichkeiten eure tools FUD zu machen damit sie nicht erkannt werden und kratzt damit meist nur an der Oberfläche dessen was möglich ist.
Wenn man den Verdacht auf eine Infektion hat muss man immer vom Schlimmsten ausgehen, aktuelle Bot´s nutzen oft Root-kit techniken um die Maleware vor dem entdecken zu schützen.
Wenn ihr das hier lest und der Verdacht auf eine Infektion habt so seid ihr nicht in der lage eine solche maleware manuell und rückstandlos zu entfernen denn sonst müsstet ihr dies hier nicht lesen.
Der Versuch maleware unter einem Laufenden Betriebssystem auf die schliche zu kommen ist leichtsinnig und naiv, also was bleibt?
================================================== =======
Ihr habt genau eine Option!
Rettet eure Daten und macht den Rechner danach Platt, sprich neuinstallation und neuschreiben des MBR.
Dabei solltet ihr den Rechner nicht mehr einschalten, macht ihr dies doch so gebt ihr der Maleware die möglichkeit weiter Dateien zu infizieren, Accountdaten zu senden, als Proxy zu arbeiten...
Also brauchen wir ein Sauberes Bootmedium um die daten die es zu retten gilt zu verschieben.
Dafür eigenen sich Linux Live CD´s bzw. Sticks oder auch spezielle Backup CD´s/Stiks wunderbar
SystemRescueCd (http://www.sysresccd.org/Main_Page)
Redo Backup and Recovery | Download Redo Backup and Recovery software for free at SourceForge.net (http://sourceforge.net/projects/redobackup/)
Clonezilla (http://clonezilla.org/)
Trinity Rescue Kit | CPR for your computer (http://trinityhome.org/Home/index.php?content=TRINITY_RESCUE_KIT____CPR_FOR_YO UR_COMPUTER&front_id=12&lang=en&locale=en)
Ultimate Boot CD - Overview (http://www.ultimatebootcd.com/)
Clonezilla (http://clonezilla.org/)
Jedoch sollte dies eigentlich garnicht nötig sein denn eines der ersten sachen die mal lernen sollte wenn man mit PC´s arbeitet ist mach ein BACKUP deiner witchtigen Dokumente und Dateien!
Habt ihr dies nicht und müsst die daten Retten so müssen diese später und vor dem ersten verwenden auf einen Befall hin überprüft werden.
Für diejenigen die Probleme damit haben sich einen solchen stick bzw. eine solche CD/DVD zu erstellen ist dieses Tool wahrscheinlich ein segen.
SARDU - Shardana Antivirus Rescue Disk Utility (http://www.sarducd.it/)
Damit erspart ihr euch eine menge arbeit und könnt später noch die Geretteten dateien mit mehrere Scannern untersuchen lassen, natürlich kann man damit auch versuchen die Maleware zu entfernen nur wisst ihr dann nie ob wirklich alles entfernt wurde.
================================================== =======
So nun geht es ans Formatieren, neuschreiben des MBR und Neusinstallation.
Wie ihr das neuschreiben des MBR bei eurer Windows Version anstellt schaut ihr einfach bei google nach das sich dies von Version zu Version ein wenig unterscheidet.
windows mbr neuschreiben - Google Search (http://www.google.com/search?q=windows+mbr+neuschreiben)
Danach beginnt ihr mit der installation und Formatiert während dieser eure HDD gleich neu.
Damit habt ihr wieder ein Sauberes System.
Und nicht vergessen alte Dateien und Dokumente vor der erneuten verwendung zu Überprüfen, sonst könnt ihr gleich noch mal von vorne anfangen.
================================================== =======
Damit ihr euch das in Zukunft sparen könnt oder zumindest die Wahrscheinlichkeit für eine Infektion so weit wie möglich minimiert hier noch ein paar Tip´s.
1. Installiert Linux :D
Es ist einfach so das ihr unter Linux relativ sicher seid, und zwar aus einem einfachen grund.
Es lohnt sich nicht Maleware für Linux zu entwickeln.
================================================== =======
2. Da die meisten jedoch immer noch mit Windows unterwegs sind solltet ihr bei der Arbeit mit diesem die Möglichkeiten nutzen die sich euch bieten.
Zum einen solltet ihr die Windowseigene Updatefunktion nutzen und euren rechner immer Aktuell halten, das gilt nicht nur für Windows selber sondern auch für den Rest der Software die ihr täglich einsetzt.
Java, Flash, Browser, Acrobat Reader...
Gerade bei diesen sehr verbreiteten anwendungen lohnt es sich Exploits zu suchen und anszuwenden, da dadurch eine schnelle verbreitung gewährleistet ist.
Die oben genannten Anwendungen finden sich alle als Plugin im Browser selbst wieder, dies ist auch der weg den die Maleware dann gerne für die Infektion nutzt.
Also solltet ihr tunlichst darauf achten nicht benötigte Plugins zu Deaktivieren wenn ihr sie nicht Braucht und die Software immer Aktuell zu halten.
Noch wichtiger ist es das ihr euch Informiert, also quasi Brain.exe updated denn das ist eure beste chance socher im web zu surfen.
Ihr lest täglich den RSS Feed von Heisec.de und die Exploit DB, Scurity Focus ... und seid so informiert ob Java oder Flash wieder mal eine lücke hat.
Denn wenn ihr das wisst könnt ihr bis zum erscheinen eines Updates einfach das Java/Flash Plugin deaktivieren und nur auf Zuverlässigen seiten zulassen.
Bin ich Infiziert ? Hier die Antwort !
Was tun, wenn ich infiziert bin?!Was dabei auffällt ist das diese meiner Meinung nach Relativ "naiv" geschriebn sind.
Ich denke eine infektion ist nichts triviales was eigentlich jedem klar sein sollte der sich hier rumtreibt.
Wie kommt man dann auf die Idee mit Windows Bordmitteln der Maleware auf die Spur zu kommen?
Meiner meinung nach sollte man beim Verdacht auf eine Infektion erst mal vom schlimmsten ausgehen.
Was kann im schlimmsten fall passieren?
Ich denke das ich mir im Schlimmsten fall ein Rootkit einfange.
Was so ein Rootkit für einen Zweck hat sollte jedem klar sein, es dient dem Verstecken von Maleware und dessen Aktivitäten.
Macht es da sinn netstat zu benutzen?
Einer der wichtigsten themen hier ist auch immer wieder, wie mache ich XY FUD.
Macht es da sinn einen AV scanner einzusetzen, wohlgemerkt beim verdacht auf eine infektion, nicht generell.
Was auch immer wieder gerne hergezogen wird für ein auffinden einer auffälligen datei ist HijackThis, glaubt ihr wirklich das diese software jede möglichkeit zum starten von Maleware findet?
Wahrscheinlich ja denn wer es braucht wird sich wohl was eingefangen haben und das wohlmöglich weil er einfach nicht wusste wie er es anstellt sicher im netz zu surfen.
----------------------------------------------------------------------------------------------------------
Was kann man besser machen?
Zum einen sollte man sich damit abfinden das man nie zu 100% sicher sein kann das man einmal eingefangene Maleware wieder entfernt hat.
Also bleibt nur die Neuinstallation des OS und das neuschreiben des MBR.
Das wichtigste ist die prevention, ist wie beim popen, wenn ohne gummi kanns in die hose gehen und dann wird es schwierig das wieder geradezubiegen.
Ergo immer mit Gummi surfen und sich informieren, Java und Flash sowie Adobe Acrobat sind zur zeit gern genommene einfalltore für maleware.
Also heisst es diese dienste nur zu erlauben wenn man der seite vertraut, Java, Flash und PDF´s nicht automatisch im Browser öffnen bzw. ablaufen lassen.
Weiter kann man den Browser in einer Sandbox laufen lassen, was die sicherheit ebenfalls etwas erhöht.
Und immer aktuell halten welche lücken es gibt und wie man sie schließt,
wenn ich über eine neue lücke im FF lesen wechsel ich halt für eine weile den Browser oder nutze halt die Sandbox.
Wer sich Maleware über einen Infizierten DL einfängt ist selber schuld, ihr wisst das beliebte software gerne dafür hergenommen wird um Maleware unters volk zu bringen.
Wenn ihr dann eben solche software von einer nicht vertrauenswürdigen bzw. geprüften quelle nutzt und dass in eurer normalen Arbeitsumgebung anwendet habt ihr selbser schuld denn sowas ist einfach fahrlässig.
Wenn ihr dieses Risiko eingehen wollt müsst ihr halt auch mit den konsequenzen leben oder den kopf einschalten.
So nun habe ich erst mal keinen Bock mehr zu schreiben, aber das wollte ich euch auf jeden fall und unbedingt mitteilen;)
just my 2´ct
Baustelle
Da ich der Meinung bin das die bisherigen Stiky´s relativ naiv geschrieben sind, hier man meine Tip´s zum Vorgehen bei einer Infektion.
Eine Infektion mir Maleware ist nichts Triviales was jedem der sich hier rumtreibt klar sein sollte.
Ihr sucht hier nach möglichkeiten eure tools FUD zu machen damit sie nicht erkannt werden und kratzt damit meist nur an der Oberfläche dessen was möglich ist.
Wenn man den Verdacht auf eine Infektion hat muss man immer vom Schlimmsten ausgehen, aktuelle Bot´s nutzen oft Root-kit techniken um die Maleware vor dem entdecken zu schützen.
Wenn ihr das hier lest und der Verdacht auf eine Infektion habt so seid ihr nicht in der lage eine solche maleware manuell und rückstandlos zu entfernen denn sonst müsstet ihr dies hier nicht lesen.
Der Versuch maleware unter einem Laufenden Betriebssystem auf die schliche zu kommen ist leichtsinnig und naiv, also was bleibt?
================================================== =======
Ihr habt genau eine Option!
Rettet eure Daten und macht den Rechner danach Platt, sprich neuinstallation und neuschreiben des MBR.
Dabei solltet ihr den Rechner nicht mehr einschalten, macht ihr dies doch so gebt ihr der Maleware die möglichkeit weiter Dateien zu infizieren, Accountdaten zu senden, als Proxy zu arbeiten...
Also brauchen wir ein Sauberes Bootmedium um die daten die es zu retten gilt zu verschieben.
Dafür eigenen sich Linux Live CD´s bzw. Sticks oder auch spezielle Backup CD´s/Stiks wunderbar
SystemRescueCd (http://www.sysresccd.org/Main_Page)
Redo Backup and Recovery | Download Redo Backup and Recovery software for free at SourceForge.net (http://sourceforge.net/projects/redobackup/)
Clonezilla (http://clonezilla.org/)
Trinity Rescue Kit | CPR for your computer (http://trinityhome.org/Home/index.php?content=TRINITY_RESCUE_KIT____CPR_FOR_YO UR_COMPUTER&front_id=12&lang=en&locale=en)
Ultimate Boot CD - Overview (http://www.ultimatebootcd.com/)
Clonezilla (http://clonezilla.org/)
Jedoch sollte dies eigentlich garnicht nötig sein denn eines der ersten sachen die mal lernen sollte wenn man mit PC´s arbeitet ist mach ein BACKUP deiner witchtigen Dokumente und Dateien!
Habt ihr dies nicht und müsst die daten Retten so müssen diese später und vor dem ersten verwenden auf einen Befall hin überprüft werden.
Für diejenigen die Probleme damit haben sich einen solchen stick bzw. eine solche CD/DVD zu erstellen ist dieses Tool wahrscheinlich ein segen.
SARDU - Shardana Antivirus Rescue Disk Utility (http://www.sarducd.it/)
Damit erspart ihr euch eine menge arbeit und könnt später noch die Geretteten dateien mit mehrere Scannern untersuchen lassen, natürlich kann man damit auch versuchen die Maleware zu entfernen nur wisst ihr dann nie ob wirklich alles entfernt wurde.
================================================== =======
So nun geht es ans Formatieren, neuschreiben des MBR und Neusinstallation.
Wie ihr das neuschreiben des MBR bei eurer Windows Version anstellt schaut ihr einfach bei google nach das sich dies von Version zu Version ein wenig unterscheidet.
windows mbr neuschreiben - Google Search (http://www.google.com/search?q=windows+mbr+neuschreiben)
Danach beginnt ihr mit der installation und Formatiert während dieser eure HDD gleich neu.
Damit habt ihr wieder ein Sauberes System.
Und nicht vergessen alte Dateien und Dokumente vor der erneuten verwendung zu Überprüfen, sonst könnt ihr gleich noch mal von vorne anfangen.
================================================== =======
Damit ihr euch das in Zukunft sparen könnt oder zumindest die Wahrscheinlichkeit für eine Infektion so weit wie möglich minimiert hier noch ein paar Tip´s.
1. Installiert Linux :D
Es ist einfach so das ihr unter Linux relativ sicher seid, und zwar aus einem einfachen grund.
Es lohnt sich nicht Maleware für Linux zu entwickeln.
================================================== =======
2. Da die meisten jedoch immer noch mit Windows unterwegs sind solltet ihr bei der Arbeit mit diesem die Möglichkeiten nutzen die sich euch bieten.
Zum einen solltet ihr die Windowseigene Updatefunktion nutzen und euren rechner immer Aktuell halten, das gilt nicht nur für Windows selber sondern auch für den Rest der Software die ihr täglich einsetzt.
Java, Flash, Browser, Acrobat Reader...
Gerade bei diesen sehr verbreiteten anwendungen lohnt es sich Exploits zu suchen und anszuwenden, da dadurch eine schnelle verbreitung gewährleistet ist.
Die oben genannten Anwendungen finden sich alle als Plugin im Browser selbst wieder, dies ist auch der weg den die Maleware dann gerne für die Infektion nutzt.
Also solltet ihr tunlichst darauf achten nicht benötigte Plugins zu Deaktivieren wenn ihr sie nicht Braucht und die Software immer Aktuell zu halten.
Noch wichtiger ist es das ihr euch Informiert, also quasi Brain.exe updated denn das ist eure beste chance socher im web zu surfen.
Ihr lest täglich den RSS Feed von Heisec.de und die Exploit DB, Scurity Focus ... und seid so informiert ob Java oder Flash wieder mal eine lücke hat.
Denn wenn ihr das wisst könnt ihr bis zum erscheinen eines Updates einfach das Java/Flash Plugin deaktivieren und nur auf Zuverlässigen seiten zulassen.