Was sollte ich wirklich bei einer Infektion machen - Wie kommt es erst garnicht dazu

[Alter-Ego]

Ich habe mir hier mal die Stickys durchgelesen zu den Themen

Bin ich Infiziert ? Hier die Antwort !

Was tun, wenn ich infiziert bin?!

Was dabei auffällt ist das diese meiner Meinung nach Relativ "naiv" geschriebn sind.
Ich denke eine infektion ist nichts triviales was eigentlich jedem klar sein sollte der sich hier rumtreibt.

Wie kommt man dann auf die Idee mit Windows Bordmitteln der Maleware auf die Spur zu kommen?

Meiner meinung nach sollte man beim Verdacht auf eine Infektion erst mal vom schlimmsten ausgehen.
Was kann im schlimmsten fall passieren?
Ich denke das ich mir im Schlimmsten fall ein Rootkit einfange.
Was so ein Rootkit für einen Zweck hat sollte jedem klar sein, es dient dem Verstecken von Maleware und dessen Aktivitäten.
Macht es da sinn netstat zu benutzen?

Einer der wichtigsten themen hier ist auch immer wieder, wie mache ich XY FUD.
Macht es da sinn einen AV scanner einzusetzen, wohlgemerkt beim verdacht auf eine infektion, nicht generell.

Was auch immer wieder gerne hergezogen wird für ein auffinden einer auffälligen datei ist HijackThis, glaubt ihr wirklich das diese software jede möglichkeit zum starten von Maleware findet?
Wahrscheinlich ja denn wer es braucht wird sich wohl was eingefangen haben und das wohlmöglich weil er einfach nicht wusste wie er es anstellt sicher im netz zu surfen.

----------------------------------------------------------------------------------------------------------

Was kann man besser machen?
Zum einen sollte man sich damit abfinden das man nie zu 100% sicher sein kann das man einmal eingefangene Maleware wieder entfernt hat.
Also bleibt nur die Neuinstallation des OS und das neuschreiben des MBR.

Das wichtigste ist die prevention, ist wie beim popen, wenn ohne gummi kanns in die hose gehen und dann wird es schwierig das wieder geradezubiegen.

Ergo immer mit Gummi surfen und sich informieren, Java und Flash sowie Adobe Acrobat sind zur zeit gern genommene einfalltore für maleware.
Also heisst es diese dienste nur zu erlauben wenn man der seite vertraut, Java, Flash und PDF´s nicht automatisch im Browser öffnen bzw. ablaufen lassen.
Weiter kann man den Browser in einer Sandbox laufen lassen, was die sicherheit ebenfalls etwas erhöht.
Und immer aktuell halten welche lücken es gibt und wie man sie schließt,
wenn ich über eine neue lücke im FF lesen wechsel ich halt für eine weile den Browser oder nutze halt die Sandbox.

Wer sich Maleware über einen Infizierten DL einfängt ist selber schuld, ihr wisst das beliebte software gerne dafür hergenommen wird um Maleware unters volk zu bringen.
Wenn ihr dann eben solche software von einer nicht vertrauenswürdigen bzw. geprüften quelle nutzt und dass in eurer normalen Arbeitsumgebung anwendet habt ihr selbser schuld denn sowas ist einfach fahrlässig.
Wenn ihr dieses Risiko eingehen wollt müsst ihr halt auch mit den konsequenzen leben oder den kopf einschalten.

So nun habe ich erst mal keinen Bock mehr zu schreiben, aber das wollte ich euch auf jeden fall und unbedingt mitteilen

just my 2´ct

Baustelle

Da ich der Meinung bin das die bisherigen Stiky´s relativ naiv geschrieben sind, hier man meine Tip´s zum Vorgehen bei einer Infektion.

Eine Infektion mir Maleware ist nichts Triviales was jedem der sich hier rumtreibt klar sein sollte.
Ihr sucht hier nach möglichkeiten eure tools FUD zu machen damit sie nicht erkannt werden und kratzt damit meist nur an der Oberfläche dessen was möglich ist.

Wenn man den Verdacht auf eine Infektion hat muss man immer vom Schlimmsten ausgehen, aktuelle Bot´s nutzen oft Root-kit techniken um die Maleware vor dem entdecken zu schützen.
Wenn ihr das hier lest und der Verdacht auf eine Infektion habt so seid ihr nicht in der lage eine solche maleware manuell und rückstandlos zu entfernen denn sonst müsstet ihr dies hier nicht lesen.

Der Versuch maleware unter einem Laufenden Betriebssystem auf die schliche zu kommen ist leichtsinnig und naiv, also was bleibt?
================================================== =======
Ihr habt genau eine Option!
Rettet eure Daten und macht den Rechner danach Platt, sprich neuinstallation und neuschreiben des MBR.

Dabei solltet ihr den Rechner nicht mehr einschalten, macht ihr dies doch so gebt ihr der Maleware die möglichkeit weiter Dateien zu infizieren, Accountdaten zu senden, als Proxy zu arbeiten...

Also brauchen wir ein Sauberes Bootmedium um die daten die es zu retten gilt zu verschieben.
Dafür eigenen sich Linux Live CD´s bzw. Sticks oder auch spezielle Backup CD´s/Stiks wunderbar
SystemRescueCd
Redo Backup and Recovery | Download Redo Backup and Recovery software for free at SourceForge.net
Clonezilla
Trinity Rescue Kit | CPR for your computer
Ultimate Boot CD - Overview
Clonezilla

Jedoch sollte dies eigentlich garnicht nötig sein denn eines der ersten sachen die mal lernen sollte wenn man mit PC´s arbeitet ist mach ein BACKUP deiner witchtigen Dokumente und Dateien!
Habt ihr dies nicht und müsst die daten Retten so müssen diese später und vor dem ersten verwenden auf einen Befall hin überprüft werden.

Für diejenigen die Probleme damit haben sich einen solchen stick bzw. eine solche CD/DVD zu erstellen ist dieses Tool wahrscheinlich ein segen.

SARDU - Shardana Antivirus Rescue Disk Utility

Damit erspart ihr euch eine menge arbeit und könnt später noch die Geretteten dateien mit mehrere Scannern untersuchen lassen, natürlich kann man damit auch versuchen die Maleware zu entfernen nur wisst ihr dann nie ob wirklich alles entfernt wurde.
================================================== =======
So nun geht es ans Formatieren, neuschreiben des MBR und Neusinstallation.
Wie ihr das neuschreiben des MBR bei eurer Windows Version anstellt schaut ihr einfach bei google nach das sich dies von Version zu Version ein wenig unterscheidet.

windows mbr neuschreiben - Google Search

Danach beginnt ihr mit der installation und Formatiert während dieser eure HDD gleich neu.

Damit habt ihr wieder ein Sauberes System.
Und nicht vergessen alte Dateien und Dokumente vor der erneuten verwendung zu Überprüfen, sonst könnt ihr gleich noch mal von vorne anfangen.
================================================== =======

Damit ihr euch das in Zukunft sparen könnt oder zumindest die Wahrscheinlichkeit für eine Infektion so weit wie möglich minimiert hier noch ein paar Tip´s.

1. Installiert Linux
Es ist einfach so das ihr unter Linux relativ sicher seid, und zwar aus einem einfachen grund.
Es lohnt sich nicht Maleware für Linux zu entwickeln.
================================================== =======
2. Da die meisten jedoch immer noch mit Windows unterwegs sind solltet ihr bei der Arbeit mit diesem die Möglichkeiten nutzen die sich euch bieten.

Zum einen solltet ihr die Windowseigene Updatefunktion nutzen und euren rechner immer Aktuell halten, das gilt nicht nur für Windows selber sondern auch für den Rest der Software die ihr täglich einsetzt.
Java, Flash, Browser, Acrobat Reader...
Gerade bei diesen sehr verbreiteten anwendungen lohnt es sich Exploits zu suchen und anszuwenden, da dadurch eine schnelle verbreitung gewährleistet ist.

Die oben genannten Anwendungen finden sich alle als Plugin im Browser selbst wieder, dies ist auch der weg den die Maleware dann gerne für die Infektion nutzt.
Also solltet ihr tunlichst darauf achten nicht benötigte Plugins zu Deaktivieren wenn ihr sie nicht Braucht und die Software immer Aktuell zu halten.
Noch wichtiger ist es das ihr euch Informiert, also quasi Brain.exe updated denn das ist eure beste chance socher im web zu surfen.
Ihr lest täglich den RSS Feed von Heisec.de und die Exploit DB, Scurity Focus ... und seid so informiert ob Java oder Flash wieder mal eine lücke hat.
Denn wenn ihr das wisst könnt ihr bis zum erscheinen eines Updates einfach das Java/Flash Plugin deaktivieren und nur auf Zuverlässigen seiten zulassen.

[XX]

Was tun bei Kompromittierung des Systems?

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.
Wenn man diese Annahmen trifft, müssen zwingend folgende Maßnahmen durchgeführt werden:

• Das betroffene System ist sofort herunterzufahren, man kann sogar über ein hartes Ausschalten nachdenken. Es gibt hier sich widersprechende Ansichten, ich bin der Meinung, dass weitere Datenmanipulationen verhindert werden müssen. Hat man ausreichend Backups im Schrank, reicht aber auch eine Trennung vom Netzwerk.
  
  
• Alle sensiblen Informationen wie Passwörter für Betriebssystem, Online-Banking, Datenbanken etc., personenbezogene Daten, Geschäftsgeheimnisse, also alles, was irgendwie vor den Augen Dritter geschützt sein soll, muss als öffentlich bekannt angesehen werden. Dementsprechende Maßnahmen müssen eingeleitet werden.
  
  
• Ein Backup des Systems mit all seinen Daten ist zur späteren Analyse zu empfehlen. Falls man über kein Backup seiner Daten verfügt, sollte man dies zur späteren Wiederherstellung seines Systems unbedingt anfertigen. Dies muss aber von einem sauberen System aus geschehen. Dazu kann z.B. ein von einer CD bootbares Betriebssystem benutzt werden wie Knoppix. Soll der Einbruch in das System zur Anzeige gebracht werden, sind gesonderte Schritte einzuleiten. Soll nur ein sauberes System wiederhergestellt werden, so kann mit dem nächsten Schritt weitergemacht werden. Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.
  
  
• Wenn ein sauberes Backup des Systems existiert oder Prüfsummen über das saubere System, können durch Vergleich Manipulationen aufgedeckt werden und der nächste Schritt kann übersprungen werden. Ist dies nicht möglich, so muss das System neu aufgesetzt werden.
  
  
• Neuaufsetzen des Systems: Zuerst muss das System vom LAN/Internet getrennt werden. Dann empfiehlt es sich die Festplatte, die das Betriebssystem enthielt, vorher zu formatieren, deren Bootsektor zu überschreiben und anschließend das Betriebssystem neu zu installieren. Wichtig ist, dass nur von garantiert sauberen Installationsmedien die Installation des Betriebssystems vorgenommen werden darf. Es darf nichts mehr verwendet werden, was zuvor auf der Festplatte lagerte (Programme, Treiber, Dateien mit ausführbarem Inhalt). Mit einem Linux wie Knoppix lässt sich beispielsweise prima eine Festplatte komplett leeren, auf der Kommandozeile einfach mal dd if=/dev/zero of=/dev/hda eintippen, sofern es sich um eine IDE-Festplatte handelt. Man sollte aber wissen, was man tut. Hat man mehrere Festplatten eingebaut und erwischt die falsche, wäre das nicht so günstig.
  
  
• Die Passwörter, die zur Anmeldung an das Betriebssystem verwendet wurden, müssen neu ausgewählt werden, da die alten Passwörter als bekannt angesehen werden müssen.
  
  
• Nun sollten alle für das Betriebssystem sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Da das neue System noch Sicherheitslücken hat, müssen die Patches von einem weiteren sauberen System (z.B. wieder mit Knoppix) heruntergeladen werden. Hilfreich ist hier http://winpatches.freewww.info/ und der Microsoft Baseline Security Analyzer, den man auch offline betreiben kann. Anschließend muss das System sicher konfiguriert werden. Für Windows 2000/XP siehe Dienste sicher konfigurieren, grundsätzlich sollten alle überflüssigen Dienste beendet werden, um offene Ports zu schließen. Umfangreiches Wissen über das Thema Sicherheit gibt es im Linkblock der Newsgroups de.comp.security.misc und de.comp.security.firewall. Anzumerken sei, dass man bei Google prima in alten Newsgroup-Postings suchen kann in der Rubrik Groups, bitte erst dort suchen, bevor man fragt und die FAQs bzw. den Linkblock lesen.
  
  
• Wenn das Betriebssystem neu installiert wurde, können die benötigten Anwendungen installiert werden. Auch hierbei ist peinlich genau darauf zu achten, dass nur von garantiert sauberen Installationsmedien, die Installation vorgenommen werden darf. Desweiteren gilt auch für Anwendungen, dass Sicherheitslücken mit Patches geschlossen werden müssen. Teilweise bietet die ein oder andere Anwendung automatische Updates an, teilweise muss man auf den Webseiten des Programmierers/Herstellers Ausschau halten. Es ist zu empfehlen bei Google mal die Begriffe "vulnerable", "exploit", "malware" und "spyware" nacheinander zusammen mit dem Software-Namen einzutippen, um einen groben sicherheitstechnischen Überblick über die Software zu erhalten, bevor man diese Software installiert.
  
  
• Um das System zu komplettieren, müssen nun die Daten (Datenbanken, Bilder, Schriftstücke etc.) aus einem sauberen Backup eingespielt werden. Gibt es kein Backup, das garantiert nicht veränderte Daten enthält, oder Prüfsummen über einen garantiert sauberen Datenbestand, so kann nur mit Einschränkungen mit dem alten Datenbestand weitergearbeitet werden. Lässt sich der Zeitpunkt der Kompromittierung nicht feststellen, so müssen alle Daten als manipuliert angesehen werden.
  
  
• Geht man von Manipulationen aus, müssen alle Dateien, die auch ausführbare Inhalte haben können, als schädlich angesehen werden. Eine Aufzählung von Dateitypen mit ausführbarem Inhalt für Windows gibt es hier. Dateien, die wirklich ausschließlich Daten und keinen ausführbaren Code enthalten, müssen, sofern der Inhalt wichtig ist, verifiziert werden, entweder durch Durchsicht oder automatisiert durch geeignete Algorithmen.
  
  
• Lassen sich Daten nicht verifizieren und sind trotzdem wichtig, so hat man Pech. Da angenommen werden muss, dass diese Daten manipuliert sind, sind diese ein Fall für die Mülltonne.
  
  
• Dateien, die ausführbaren Inhalt haben können, müssen genauer analysiert werden. Dies erfordert unter Umständen einen sehr hohen Aufwand. Wird die Analyse nicht durchgeführt, so kann auch ein Programm zur Ansicht der Daten herangezogen werden, das garantiert keine Inhalte ausführen kann, um die Daten gesondert von den ausführbaren Inhalten speichern zu können. Ist beides nicht möglich, so sind diese Dateien ebenfalls ein Fall für die Mülltonne.

(via)

[Apex]

Wenn du es ausführlicher schreibst und übersichtlich machst, dann ersetz ich das durch die beiden Stickys. Am besten noch schreiben, wie man sich am besten davor schützen kann, was man vermeiden soll und so weiter, kennste ja.

[XX]

Apex, ursprünglich habe ich den Text im Trojaner Board gefunden und hier lediglich die Originalquelle verlinkt. Im TrojanerBoard bin ich zwar selber aktiv, aber der Text stammt nicht von mir. Eine Sticky-Liste, wie es sie im Trojaner-Board gibt, ist unglaublich gut und wichtig für jedes Board. Ich vermute allerdings, dass es den Rahmen von F-H sprengt und Hilfesuchende sich besser im TJBoard registrieren sollten, wenn sie Probleme haben. Nichts gegen F-H, aber Du wirst mir zustimmen, dass das zwei Welten sind. Man könnte natürlich alles per Copy&Paste nach F-H verschieben, aber das halte ich für falsch.

[Apex]

Meinte damit garnicht dich XX, mal abgesehen wie du schon sagtest:

Man könnte natürlich alles per Copy&Paste nach F-H verschieben, aber das halte ich für falsch.

[Alter-Ego]

Ich werde es mal "ausbauen" wenn ich etwas mehr freie zeit finde, denke das es sich bei dem Thema lohnt