Trojaner-Board - Einzelnen Beitrag anzeigen - Systembereinigung oder gleich formatieren?

Cidre · 30.01.2005, 17:57

@ Cobra

Full Ack!

Aus meiner Sicht:

Zunächst einmal halte ich es für sinnvoll, mit den von uns gegebenen Möglichkeiten bzw. Hilfe Tools wie z.B. HiJackThis, eScan AntiVirus usw., dass vermeintlich kompromittierte System zu analysieren.

Einem plumpen Verweis auf ein Neuaufsetzen des Systems oder auf eine eventuelle Bereinigung, Threads mit zusammengestellte Link Listen diverser AV Hersteller und deren Removal Tools wie in anderen Boards zusehen ist, halte ich keineswegs für das non plus ultra.
Es schadet dem TO, Board und den Helfenden.

Nach der Analyse dürfte in den meisten Fällen die Schadroutine der aktiven Malware klar sein und somit die weitere Vorgehensweise dem TO, hinsichtlich der Gefahren, dargelegt werden.

Die Hilfe sollte so aussehen:
Erläuterung des Problems -> Abwägung bzw. persönliche Einschätzung (daraus resultieren zwei Möglichkeiten)-> A)Symptome bekämpfen -> Ursache beseitigen oder B) Neuaufsetzen des Systems

Wann sollte formatiert werden?
Imho bei Trojaner/Würmer mit Backdoor Funktionalität, also immer dann wenn (rein theoretischer Natur) Zugriff durch Dritte ermöglicht wird!

Wann sollte nicht unbedingt formatiert werden bzw. das System bereinigt werden?
Bei Spyware, Adware oder Foistware, da dies aus meiner Sicht nicht verhältnismäsig ist.

Dabei ist zu beachten, dass die Grenzen der einzelnen Malware Arten immer mehr verwischen und manchmal, wie im Falle der Trojaner Downloader Small oder Agent, die Schadroutinen nicht immer klar definiert sind.
Letztlich ist es immer noch besser weil sicherer, dass nicht vertrauenswürdige System einmal zuviel Neuaufsetzen zu lassen, als mit diesem wirklich ein wirtschaftlicher und persönlicher Schaden entstehen zu lassen.

Ob das kompromittierte System manchmal besser bereinigt worden wäre, als meine Empfehlung des Neuaufsetzens, ist reine Spekulation und daran werde ich mich nicht beteiligen, denn im Vordergrund steht die Sicherheit und die dementsprechende Aufklärung des Themenerstellers dem gegenüber ich Verantwortung trage wenn ich auf dessen Thread antworte.

Wichtige Links hierzu:

Empfehlung Oliver Schad
http://oschad.de/wiki/index.php/Kompromittierung

Empfehlungen von Microsoft:
http://www.microsoft.com/technet/com...mt/sm0504.mspx http://www.microsoft.com/germany/ms/...?siteid=600230

Warum nach einer Kompromittierung der Rechner nicht mehr dir gehört:
http://www.microsoft.com/technet/arc.../10imlaws.mspx

Empfehlungen des CERT (engl.):
http://www.cert.org/security-improve...ices/p051.html

,,Users' Security Handbook``/ RFC 2504 (engl.):
ftp://ftp.rfc-editor.org/in-notes/rfc2504.txt

Warum Kompromittierungen nicht unvermeidbar sind:
http://www.mathematik.uni-marburg.de...ompromise.html

Microsoft Windows Intruder Detection Checklist
http://cert.uni-stuttgart.de/os/ms/w...-detection.php

30.01.2005, 17:57	#77 (permalink)
Cidre Administrator, a.D. Registriert seit: 07.08.2004 Beiträge: 6.215	AW: Systembereinigung oder gleich formatieren? - Eine Grundsatzdiskussion... @ Cobra Full Ack! Aus meiner Sicht: Zunächst einmal halte ich es für sinnvoll, mit den von uns gegebenen Möglichkeiten bzw. Hilfe Tools wie z.B. HiJackThis, eScan AntiVirus usw., dass vermeintlich kompromittierte System zu analysieren. Einem plumpen Verweis auf ein Neuaufsetzen des Systems oder auf eine eventuelle Bereinigung, Threads mit zusammengestellte Link Listen diverser AV Hersteller und deren Removal Tools wie in anderen Boards zusehen ist, halte ich keineswegs für das non plus ultra. Es schadet dem TO, Board und den Helfenden. Nach der Analyse dürfte in den meisten Fällen die Schadroutine der aktiven Malware klar sein und somit die weitere Vorgehensweise dem TO, hinsichtlich der Gefahren, dargelegt werden. Die Hilfe sollte so aussehen: Erläuterung des Problems -> Abwägung bzw. persönliche Einschätzung (daraus resultieren zwei Möglichkeiten)-> A)Symptome bekämpfen -> Ursache beseitigen oder B) Neuaufsetzen des Systems Wann sollte formatiert werden? Imho bei Trojaner/Würmer mit Backdoor Funktionalität, also immer dann wenn (rein theoretischer Natur) Zugriff durch Dritte ermöglicht wird! Wann sollte nicht unbedingt formatiert werden bzw. das System bereinigt werden? Bei Spyware, Adware oder Foistware, da dies aus meiner Sicht nicht verhältnismäsig ist. Dabei ist zu beachten, dass die Grenzen der einzelnen Malware Arten immer mehr verwischen und manchmal, wie im Falle der Trojaner Downloader Small oder Agent, die Schadroutinen nicht immer klar definiert sind. Letztlich ist es immer noch besser weil sicherer, dass nicht vertrauenswürdige System einmal zuviel Neuaufsetzen zu lassen, als mit diesem wirklich ein wirtschaftlicher und persönlicher Schaden entstehen zu lassen. Ob das kompromittierte System manchmal besser bereinigt worden wäre, als meine Empfehlung des Neuaufsetzens, ist reine Spekulation und daran werde ich mich nicht beteiligen, denn im Vordergrund steht die Sicherheit und die dementsprechende Aufklärung des Themenerstellers dem gegenüber ich Verantwortung trage wenn ich auf dessen Thread antworte. Wichtige Links hierzu: Empfehlung Oliver Schad http://oschad.de/wiki/index.php/Kompromittierung Empfehlungen von Microsoft: http://www.microsoft.com/technet/com...mt/sm0504.mspx http://www.microsoft.com/germany/ms/...?siteid=600230 Warum nach einer Kompromittierung der Rechner nicht mehr dir gehört: http://www.microsoft.com/technet/arc.../10imlaws.mspx Empfehlungen des CERT (engl.): http://www.cert.org/security-improve...ices/p051.html ,,Users' Security Handbook``/ RFC 2504 (engl.): ftp://ftp.rfc-editor.org/in-notes/rfc2504.txt Warum Kompromittierungen nicht unvermeidbar sind: http://www.mathematik.uni-marburg.de...ompromise.html Microsoft Windows Intruder Detection Checklist http://cert.uni-stuttgart.de/os/ms/w...-detection.php __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?