Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Systembereinigung oder gleich formatieren? - Eine Grundsatzdiskussion... (https://www.trojaner-board.de/12784-systembereinigung-gleich-formatieren-grundsatzdiskussion.html)

Lutz 26.01.2005 12:23

Systembereinigung oder gleich formatieren? - Eine Grundsatzdiskussion...
 
In vielen Threads, diskutieren 'wir' über das Pro und Contra zum Thema
Systembereinigung oder gleich formatieren.

Wir sollten das imho aus den Hilferuf-Threads herauslösen und -wenn auch schon mehrfach in der Vergangenheit versucht- an konzentrierter Stelle diskutieren - und zwar hier. ;)

Alle Diskutanten sind herzlichst 'eingeladen', sich an dieser Stelle zum Thema zu äußern und werden gleichzeitig gebeten, dass nicht mehr über mehrere Threads verteilt zu machen. Gleichzeitig bitte ich alle, hier auch ON-TOPIC zu bleiben und keine allgemeinen Hilferufe (oder vgl.) in diesem Thread abzusetzen.

In gespannter Erwartung ob 'wir' die notwendige Diskussionsdisziplin hinbekommen, habe ich den Thread (zumindest vorübergehend) am Anfang des Boards festgepinnt und rufe aus: Los geht's... ;)

Rene-gad 26.01.2005 12:45

Hallo Lutz,
es gibt auch diese Seite: http://faq.underflow.de/
es gibt auch diese NG:news.microsoft.public.de.security.heimanwender
Wir können auch in dem Thread posten, was aber die Tatsache nicht ändern kann: ein kompromittiertes System muss neu aufgesetzt werden.

MountainKing 26.01.2005 12:46

Danke Lutz. :)


Ausgehend von der letzten Diskussion würde ich die Frage in den Raum stellen, ob es Sinn macht, verschiedene Grade der Infektion bzw. der Kompromittierung eines Rechners zu unterscheiden. Man könnte natürlich knallhart sagen, wird irgendwo eine Infektion (egal welche) festgestellt, heisst das, dass nicht alle Sicherheitsrichtlinien adäquat umgesetzt wurden, daher durch Neuinstallation wieder ein vertrauenswürdiger Zustand hergestellt werden und dann entsprechende Änderungen vorgenommen werden sollten. Das würde wahrscheinlich den absoluten Sicherheitsanforderungen entsprechen, scheint mir aber doch für die Praxis etwas zu starr zu sein. Ich wäre schon dafür, bestimmte Abstufungen anhand der identifizierten Schädlinge vorzunehmen, wobei man ja sowieso immer im Auge behalten muss, dass man, solange man nicht direkt davor sitzt, prinzipbedingt keinen absolut vollständigen Überblick des fremden Rechners hat.


Ich denke mal, am wenigsten wird strittig sein, dass man bei einem identifizierten Backdoor eine Neuinstallation ohne Kompromiss empfiehlt. Auf der anderen Seite scheinen mir beispielsweise Adware/Hijacker auch noch mit "normalen" Mitteln reparabel zu sein. Die letzte Diskussion entzündete sich ja an den Trojaner-Downloadern und das wäre für mich dann tatsächlich ein Grenzfall, zu dem ich weitere Meinungen gerne hören würde.

Lutz 26.01.2005 12:50

Hallo Rene-gad,
ich kenne 'natürlich' die von Dir genannten Seiten. Aber was spricht dagegen, dass die Leute hier auch darüber diskutieren. Und wenn - dann bitte an konzentrierter Stelle. Das war die Intention meines Posts.

Zitat:

...ein kompromittiertes System muss neu aufgesetzt werden.
Das ist für mich keine Diskussion, sonder eine Feststellung. Es mag ja sein, dass wir alle zum Schluß dieser Diskussion zu diesem Ergebnis kommen - sofern es denn überhaupt zu einer Diskussion kommt. Aber ein Ergebnis sollte es imho am Ende einer Diskussion geben und nicht am Anfang.

cacatoa 26.01.2005 12:58

Lutz, das war eine gute Idee, verschiedene Meinungen an "einen Tisch" zu bringen!
Ich bin der Ansicht, bereinigen ja, es sei denn, es finden sich Hinweise auf Backdoors. Oftmals ist es aufwendig, mitzuhelfen, ein System wieder hinzubekommen; wenn man das nicht möchte oder kann (als Helfender), dann soll man aus dem thread draußen bleiben oder sich durch andere Hilfe holen.
Kompromittiert oder nicht - das ist ja oft die Frage; und was es wirklich bedeutet, kann man ja herausfinden - durchaus auch außerhalb des boards. Die Leute, die an verschiedenen Unis arbeiten und sich damit beschäftigen, geben durchaus sinnvolle Hilfestellungen.
Wenn es so wäre, daß man gleich jedes System neu aufsetzen müßte, dann wäre unter anderem die wertvolle Arbeit (Suchen und Finden, Ausprobieren und Umsetzen von Tools etc.) z.B. cidre´s, MK´s oder auch Deine, um nur ein paar zu nennen, vergebens.
Außerdem ist ja auch nicht jeder User gleich bereit, wegen eines BHO´s sein System neu aufzusetzen.
Ich für meinen Teil mache in diesem Sinne weiter und freu´ mich, immer wenn ich Zeit habe, auf das board.
cacatoa

big_surfer 26.01.2005 13:00

Diese Frage ist gar nicht so einfach zu beantworten, wie es scheint. :crazy:

Für die Formatierung (sprich Neuaufsetzen) des Systems spricht, dass es die einmalige Gelgenheit ist "tabula rasa" zu machen und alle (auch versteckten Schädlinge) los zu werden. Sie macht natürliche nur Sinn, wenn bei einer Neuaufsetzung des Systems auch die Regeln für ein sicheres System konsequent umgesetzt werden, sonst geht der ganze Spass wieder vorn vorne los. Das heisst, vor dieser Aktion muss eine Phase der gründlichen Information zum Thema Computersicherheit liegen und eine Erforschung der Ursachen der bisherigen Infektion(en) stattfinden.

Gegen die Formatierung spricht der immense Zeitaufwand, den eine Neuinstallation eines Computersystems einschliesslich der Einrichtung aller Programme mit sich bringt. Hier muss man eher in Tagen als in Stunden rechnen.

Ich würde es deswegen immer erst mit einer (intensiven) Systembereinigung probieren, wohl wissend, dass damit evtl. nicht alle Schädlinge entfernt werden. Die Systembereinigung sollte aber nicht nur mit einem Programm durchgeführt werden, sondern sie sollte auch eine gründlichen Überprüfung des Systems durch ein anderes Programm nach sich ziehen. Diese Überprüfung sollte am besten im abgesicherten Zustand von Windows erfolgen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

Ist ein Neuaufsetzen des Systems unvermeidlich, so empfiehlt es sich, zu verschiedenen Zeitpunkten der Installationsphase Systemchecks vorzunehmen und dann Images der Systempartition zu erstellen. Damit kann man später auf einem definierten, sicheren, Zustand wieder aufsetzen. Das spart für die nächste Neuinstallation eine Menge Zeit.

Lutz 26.01.2005 13:01

Zitat:

Man könnte natürlich knallhart sagen (...) durch Neuinstallation wieder ein vertrauenswürdiger Zustand hergestellt werden und dann entsprechende Änderungen vorgenommen werden sollten. Das würde wahrscheinlich den absoluten Sicherheitsanforderungen entsprechen...
Müssten wir nicht -wenn wir so knallhart sein wollten- sogar soweit gehen und sagen, nach Neuinstallation und Einspielung aller Patches, u. dgl. muss zwingend ein Image gemacht werden, welches bei jedem Start des Rechners als erstes (automatisch) zurückgeladen wird und dieses Image nur durch zukünftige Patches u. dgl. verändert werden darf?
Das wäre für mich dann die notwendige Konsequentz, in der Realität aber imho kaum machbar.

Lutz 26.01.2005 16:10

Dann will ich mal etwas weiter ausholen...

Ich geh von dem Grundsatz der Verhälnismäßigkeit aus. Sprich: Bereinigung wenn möglich - Neuinstallation wenn nötig
Kaum jemand wir Spaß daran haben, sein System neu aufzusetzen, dann sollte dies wenn sinnvoll auch vermieden werden.

Gut, jetzt kann man hergehen und sagen, eine Bereinigung ist nie sinnvoll oder vertrauenswürdig möglich. Dann braucht man auch nicht weiter zu diskutieren. Aber ich möchte es mir nicht so einfach machen. Auch dieses Thema hat imho mehr zu bieten als schwarz-weiß-denken. Unterstellt man zurecht Malware einen 'bösen' Zweck, so sehe ich hier durchaus auch Abstufungen in der Bedrohung.

Ohne jetzt eine der vielen im Web auffindbaren Definitionen von verschiedener Malware zu zitieren, sollte imho erster Ansatzpunkt sein zu wissen, was der Inifzierende (also derjenige, welcher die Malware in umlauf bringt) damit bezwecken will. Ohne dieses Wissen kann ich nicht unter Einhaltung der Verhältnismäßigkeit problemorientiert handeln.

Unstrittig dürften für uns alle sämtliche Trojaner mit Backdoorfunktionalität sein (Fälle eines bewusst installierten RAT klammere ich hierbei einmal bewusst aus). Hier muss der Betroffene davon ausgehen, dass ein mittelbarer oder sogar unmittelbarer (oftmals finanzieller) Schaden für den Betroffenen oder einen Dritten 'erreicht' werden soll.

Bei einem Backdoor-Trojaner unterschreibe ich die Notwendigkeit einer Neuinstallation qausi 'blind'.

Schwieriger wird es für mich -wie es auch MountainKing bereits schrieb- bei den Trojaner-Downloadern. Hier muss man zunächst feststellen (können), was dieser Downloader herunterzuladen versucht. Leider ist dies meiner Erfahrung nach gerade bei dieser Spezies nicht immer einfach herauszufinden, da die div. AV-Hersteller der Malware die unterschiedlichsten Namen und sogar 'Typbezeichnungen' zuordnen, auch wenn dieser Unsinn vielleicht irgendwann demnächst eine Ende haben wird.
Einige als Downloader identifizierte Dateien laden eher 'harmlosere' Malware (z.B. Hijacker) nach, während andere da richtig ans Eingemachte gehen. Bei letzterem oder bei Restzweifeln würde ich zu einer Neuinstallation tendieren.

Bei Spy- und Adware stufe ich eine weitere Gefährdung nach einer Bereinigung als eher gering ein. Schlimmer ist es hier schon, dass u. U. vertrauliche Informationen (Passwörter, Bankverbindung, Kreditkartennummern...) weitergereicht worden sein können. Dieser Umstand wird aber auch durch eine Neuinstallation des Systems nicht rückgängig gemacht. Insofern habe ich dadurch nicht viel gewonnen.

Unsere neuen Freunde, die Browser-Hijacker zielen auf etwas ganz anderes ab. Sie wollen uns weder belauschen noch bestehlen oder gar unser System zerstören. Ihr 'Sinn und Zweck' besteht darin, den betroffenen Anwender bestimmte Webseiten unterzujubeln, da sie (bzw. die Autoren) hierdurch Geld verdienen. Bei einem Browser-Hijacker ist in der Regel der Spuk vorbei, sobald ich diesen entfernt habe. Was zugegebener Maßen manchmal schwierig genug ist.... ;)

Auch dem klassischen Massmailer-Wurm ist in der Regel durch saubere Entfernung beizukommen, ohne dass ich das System neu aufsetze.

...to be continued...

Also bleibt für mich vorerst die Neuinstallation eines kompromitierten (urgs - ich liebe dieses Wort... ;) ) Systems nicht das Mittel der allzeit richtigen Wahl.

Shadow 26.01.2005 18:09

Da will ich mich mal zitieren, quelle: http://www.trojaner-board.com/showthread.php?t=1540
"seltsame" Codes dazwischen, weil es noch aus dem alten Forum stammt.
Heise-Link (und auch meine Meinung) gilt immer noch
Zitat:

http://www.heise.de/security/artikel/47520

Mal für alle die zum Lesen, die nach jedem Schädlingsbefall immer ein System sofort neu aufsetzen wollen und für die, die auch nach zwei dutzend gefundener Schädlinge davon immer noch nichts wissen wollen.

Noch als Ereiterung zum Kommentar: Da in Unternehmen quasi "immer" Daten wieder von einem Backup zurückgespielt werden müssen, bzw. auf ein Server zugegriffen wird und es einfach unmöglich ist zu garantieren dass diese Daten 100% "rein" sind, ist ein überhastetes "plattmachen" ganz sicher kein Allheilmittel und auch nicht einmal in sich logisch.
schon damals hat Lutz "komprimittieren" geliebt http://www.trojaner-board.com/images...es/biggrin.gif

chaosman 26.01.2005 18:23

Zitat:

Zitat von Lutz
Müssten wir nicht -wenn wir so knallhart sein wollten- sogar soweit gehen und sagen, nach Neuinstallation und Einspielung aller Patches, u. dgl. muss zwingend ein Image gemacht werden, welches bei jedem Start des Rechners als erstes (automatisch) zurückgeladen wird und dieses Image nur durch zukünftige Patches u. dgl. verändert werden darf?
Das wäre für mich dann die notwendige Konsequentz, in der Realität aber imho kaum machbar.

Genau, das Problem fängt dann bei der AVupdates schon an.
Wobei ich Images für sehr wichtig halte. Ich würde jedem empfehlen in regelmäßige Abständen Images anzulegen, jedoch Vielen machen es aus bequemheid(?) nicht.


chaosman

Lutz 26.01.2005 18:57

Zitat:

Zitat von Shadow
schon damals hat Lutz "komprimittieren" geliebt

Kennst Du diese innere Stimme die da ruft: Schreib es nicht - und wenn doch dann wenigstens falsch.... :D

Oh - shit, jetzt werde ich selbst OFF...

Shadow 26.01.2005 19:04

Zitat:

Zitat von Lutz
Müssten wir nicht -wenn wir so knallhart sein wollten- sogar soweit gehen und sagen, nach Neuinstallation und Einspielung aller Patches, u. dgl. muss zwingend ein Image gemacht werden, welches bei jedem Start des Rechners als erstes (automatisch) zurückgeladen wird und dieses Image nur durch zukünftige Patches u. dgl. verändert werden darf?
Das wäre für mich dann die notwendige Konsequentz, in der Realität aber imho kaum machbar.

Wo liegt das Problem für diese Lösung?
Richtig, Chaosman hat es gesagt, schon das AV-Update verändert ja das Image.

Ansonsten habe sowas bei einem Schulungsunternehmen installiert. Kleine Hardwaresteckkarte die automatisch mit einem Image arbeitet bzw. alle Änderungen woanders hin schreibt.
Ausgeschaltet, neu gestartet und der PC ist so wie vorher. Da kann DAU (mit Heidi Dumm) machen was er will! Das System ist nachher wieder so wie vorher http://www.trojaner-board.com/images...es/biggrin.gif

Nachteil: für ein AV-Update müsste der Admin mal die Funktion aussetzen und/oder Windows XP SP2 mosert halt immer wegen alter oder fehlender AV-Programme/versionen.

Shadow 26.01.2005 19:08

Zitat:

Zitat von Lutz
Kennst Du diese innere Stimme die da ruft: Schreib es nicht - und wenn doch dann wenigstens falsch.... :D

Mein Satz war keine Anspielung auf die Schreibweise, ich hatte es glatt überlesen!
<schleimmodus an> Bei deinen Beiträgen interessiert mich immer NUR der Inhalt<schleimmodus aus>
(nein, habe ich wirklich überlesen. Hallo Herr Fielmann ich bräuchte da ne neue Brille)

Lutz 26.01.2005 19:16

Zitat:

Ansonsten habe sowas bei einem Schulungsunternehmen installiert. Kleine Hardwaresteckkarte die automatisch mit einem Image arbeitet bzw. alle Änderungen woanders hin schreibt.
Ausgeschaltet, neu gestartet und der PC ist so wie vorher.
Das haben wir in unserem Schulungsraum auch. Ich hätte anstatt Realität besser Alltag geschrieben, also den 'ganz normalen' Rechner von Frau Y. und Herrn X meinend. Wer mit soetwas umgehen kann, ist meistens auch so in der Lage, sein System sauber zu halten.

Shadow 26.01.2005 19:24

Wird aber jetzt OT
Richtig, für den Alltag ist es eher nichts, obwohl...
Eigentlich schon! Zumindest in Unternehmen (oder haben die keinen Alltag?)
Mitarbeiter XY darf/soll sowieso nichts ändern und gespeichert wird alles auf dem Server.
Dass der "Verlauf" in Word, Browser & Co. nicht stimmt, ist nicht so schlimm.

Besser wie Virus oder Neuinstallation jedenfalls http://www.trojaner-board.com/images/smilies/smile.gif

Für Privatmenschens PC oder sonstige serverlose Kiste ist es aber nix


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:02 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129