Trojaner-Board - Einzelnen Beitrag anzeigen - Systembereinigung oder gleich formatieren?

30.01.2005, 16:48

Im Prinzip ist die Sache ganz einfach.

Einen Hijacker oder dummen Wurm wird niemand durch ein Neuaufsetzen kurieren wollen. Ganz einfach deshalb, weil das Schadenspotential¹ klar definiert ist.

Ganz anders sieht das mit rbot/agobot/phatbot aus. Diese Schadprogramme gestatten prinzipiell eine weitreichende Manipulation des befallenen Systems, ganz so, wie es auch rootkits unter Unix tun.² Im Prinzip (das dies selten geschieht, spielt keine Rolle) kann z.B. ein ProcessExplorer mit Backdoor untergeschoben werden, der dem System grünes Licht gibt, aber undetectable ist und fröhlich eine Leitung frei halt. Oder schlimmeres.

Auch wenn ich noch so gründlich suche, und mich für ach so kompetent halte: niemand kann es mir garantieren, daß mir der Cracker nicht doch voraus ist. Wer anderer Meinung ist, ist entweder Gott, leicht überheblich

, oder betreibt professionelle Malwareanalyse und hat damit alle Zeit der Welt.

Es hilft hier auch nicht, über Wahrscheinlichkeiten zu argumentieren. Natürlich ist es beliebig unwahrscheinlich, daß mein Cracker-Gegenüber wirklich so "gut" ist, oder Interesse an meinem Rechner hätte, wäre er so gut. Alles Firlefanz, denn ausschließen kann man das nicht.

Schließlich kommt noch der zeitliche Aufwand ins Spiel. Ein Image, sofern vorhanden, ist schnell eingespielt. Selbst eine Neuinstallation ist ein vergleichsweise geringer Aufwand, vergleicht man sie mit einer kompletten Analyse des Betriebssystems (wozu die wenigsten von uns im Stande sein werden).

Ich würde in so einem Fall jedenfalls immer neuinstallieren. Das ist (a) der einzige Weg, um sicher zu sein, daß das System wieder auf dem ursprünglichen und sauberen Stand ist, und kostet (b) am wenigsten Zeit.

Beispiele für allzu optimistische Systemadministratoren kenne ich übrigens zur Genüge. Wie den, der ein rootkit hatte, es entfernte und sich großartig fühlte, bis die User sich beschwerten, daß ihre quotas immer kleiner werden. Jaja. ;D

Cobra

¹: das man durch Informationen von Kaspersky und Konsorten erfährt.
²: man lese die Links auf www.chkrootkit.org

30.01.2005, 16:48	#73 (permalink)
Cobra Gast Beiträge: n/a	AW: Systembereinigung oder gleich formatieren? - Eine Grundsatzdiskussion... Im Prinzip ist die Sache ganz einfach. Einen Hijacker oder dummen Wurm wird niemand durch ein Neuaufsetzen kurieren wollen. Ganz einfach deshalb, weil das Schadenspotential¹ klar definiert ist. Ganz anders sieht das mit rbot/agobot/phatbot aus. Diese Schadprogramme gestatten prinzipiell eine weitreichende Manipulation des befallenen Systems, ganz so, wie es auch rootkits unter Unix tun.² Im Prinzip (das dies selten geschieht, spielt keine Rolle) kann z.B. ein ProcessExplorer mit Backdoor untergeschoben werden, der dem System grünes Licht gibt, aber undetectable ist und fröhlich eine Leitung frei halt. Oder schlimmeres. Auch wenn ich noch so gründlich suche, und mich für ach so kompetent halte: niemand kann es mir garantieren, daß mir der Cracker nicht doch voraus ist. Wer anderer Meinung ist, ist entweder Gott, leicht überheblich , oder betreibt professionelle Malwareanalyse und hat damit alle Zeit der Welt. Es hilft hier auch nicht, über Wahrscheinlichkeiten zu argumentieren. Natürlich ist es beliebig unwahrscheinlich, daß mein Cracker-Gegenüber wirklich so "gut" ist, oder Interesse an meinem Rechner hätte, wäre er so gut. Alles Firlefanz, denn ausschließen kann man das nicht. Schließlich kommt noch der zeitliche Aufwand ins Spiel. Ein Image, sofern vorhanden, ist schnell eingespielt. Selbst eine Neuinstallation ist ein vergleichsweise geringer Aufwand, vergleicht man sie mit einer kompletten Analyse des Betriebssystems (wozu die wenigsten von uns im Stande sein werden). Ich würde in so einem Fall jedenfalls immer neuinstallieren. Das ist (a) der einzige Weg, um sicher zu sein, daß das System wieder auf dem ursprünglichen und sauberen Stand ist, und kostet (b) am wenigsten Zeit. Beispiele für allzu optimistische Systemadministratoren kenne ich übrigens zur Genüge. Wie den, der ein rootkit hatte, es entfernte und sich großartig fühlte, bis die User sich beschwerten, daß ihre quotas immer kleiner werden. Jaja. ;D Cobra ¹: das man durch Informationen von Kaspersky und Konsorten erfährt. ²: man lese die Links auf www.chkrootkit.org