Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.10.2012, 09:15   #1
WellWhoKnows
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Hallo liebe Foren-Gemeinde, ich habe erstmal noch keine Logfiles erstellt, weil es sich hier um eine allgemeine Frage handelt, die PC-übergreifend zumindest auf allen Windows-Rechnern (in meinem Fall mehrere privat oder geschäftlich genutzte PCs / Laptops mit Windows XP oder Windows 7) Gültigkeit haben sollte.

Ich wüsste gerne, ob gegen die Verschlüsselungs-Trojaner Maßnahmen wie die Verwendung eines HDD Sheriffs bzw. PC Sheriffs Sinn machen (wenn ja, besser hardware- oder softwareseitig? - Für Laptops kommt wohl nur Softwarelösung in Frage), also etwaiger Hard- oder Software, die nach dem Neustart immer wieder den selben, zuvor definierten Zustand herstellt? Habe mir nämlich gerade erst vor wenigen Tagen in einem Internetcafé einen Trojaner von der Sorte eingefangen, die zwar nichts verschlüsselt, aber behauptet, eine Nachricht von der Bundespolizei zu sein, die einen gesetzlichen Verstoß (irgendwas mit Kinderpornografie und vor allem vielen grausigen Rechtschreibfehlern) aufgedeckt habe und zur angeblichen Freigabe des PCs um Eingabe eines Ukash-Codes im Gegenwert von 100 Euro "bittet". Im Internetcafé habe ich intuitiv mit dem Kaltstart des Computers reagiert und tatsächlich, vermutlich dank der (ich nenne sie jetzt mal allgemein gültig, weil ich's nicht besser weiß) Sheriff-Funktion des Internetcafé-Betreibers war die Erpresserseite danach nachhaltig verschwunden. Daher habe ich die Hoffnung, dass sich diese Methode auch auf privaten und/oder geschäftlichen PCs - und hoffentlich auch für Verschlüsselungs-Trojaner - bewähren könnte.

Wie sieht es alternativ mit der Verwendung eines virtuellen PCs aus? Würde im Angriffsfalle nur dieser verschlüsselt werden und der Haupt-PC unangetastet bleiben?

Vielen Dank im Voraus für alle netten Antworten!

Geändert von WellWhoKnows (02.10.2012 um 09:20 Uhr)

Alt 02.10.2012, 10:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Zitat:
Ich wüsste gerne, ob gegen die Verschlüsselungs-Trojaner Maßnahmen wie die Verwendung eines HDD Sheriffs bzw. PC Sheriffs Sinn machen (wenn ja, besser hardware- oder softwareseitig? -
Ist zwar nicht der primäre Einsatzzweck derartiger Software, aber ja, es kann auch als Backup im Hintergrund betrieben werden

Anderer Denkanstoß hier => http://www.trojaner-board.de/115678-...tml#post833432 bzw. auch meinen Beitrag beachten => http://www.trojaner-board.de/115678-...tml#post836661

Zitat:
Zitat von cosinus Beitrag anzeigen
Ist eh dringend zu empfehlen denn was nützt mir ein Backup, das ich erstellt habe um Datenverluste bei Plattendefekten zu vermeiden ich dieses Backup aber nur auf der internen Platte habe
Zitat:
Wie sieht es alternativ mit der Verwendung eines virtuellen PCs aus? Würde im Angriffsfalle nur dieser verschlüsselt werden und der Haupt-PC unangetastet bleiben?
Eine VM wäre ebenfalls möglich ebenso wie die Nutzung einer Sandbox ( Sandboxie als Beispiel )
Dass Schädlinge aus der VM bzw. Sandbox ausbrechen ist sehr unwahrscheinlich
__________________

__________________

Alt 02.10.2012, 11:32   #3
WellWhoKnows
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Danke soweit! Unter den von Dir angeregten Links habe ich etwas interessantes zum Thema Truecrypt gelesen: Im Juni 2012 wart Ihr noch auf dem Stand, dass möglicherweise der Verschlüsselungs-Trojaner nach Dateiheaderinfos sucht, die bei verschlüsselten Laufwerken, wie zum Beispiel mit Truecrypt, nicht vorhanden sind. Hat sich an diesem Informationsstand inzwischen etwas geändert bzw. kann man nun genau sagen, ob dem so ist?

Ich hatte mir auch schon Gedanken über ein externes, mit Truecrypt komplett verschlüsseltes Laufwerk gemacht, denn die gesamte Partion enthält keinen einzigen Dateiheader und Außenstehende sollen ja angeblich auch nicht in der Lage sein können, eine mit Truecrypt verschlüsselte Partion als solche zu erkennen (zumindest dann nicht, wenn sie mit FAT formatiert wurde - im Gegensatz zum hierbei deutlich unsichererem NTFS). Selbst Truecrypt gibt sowohl bei falscher Passworteingabe als auch bei dem Versuch, ein Laufwerk zu mounten, das gar nicht mit Truecrypt verschlüsselt ist, stets die gleiche Fehlermeldung aus, aus der sich nicht erkennen lässt, ob die Partition nun Truecrypt-verschlüsselt ist oder nicht. Sollte der Verschlüsselungs-Trojaner soviel "intelligenter" sein und solch eine Partition tatsächlich erkennen und überschreiben bzw. verschlüsseln können?

Nach den bis jetzt gewonnenen Erkenntnissen scheint eine externe, mit Truecrypt verschlüsselte Speicherlösung die beste zu sein - und wenn man die Partition dann doch mal mounten muss, weil sie nicht nur dem Backup sondern auch relativ regelmäßigen Dateizugriffen dienen soll, dann kann es offenbar sehr hilfreich sein, alle Daten in einen Unterordner namens "Programme" verschoben zu haben.

Kann man das soweit unterschreiben?
__________________

Alt 02.10.2012, 12:44   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Zitat:
Im Juni 2012 wart Ihr noch auf dem Stand, dass möglicherweise der Verschlüsselungs-Trojaner nach Dateiheaderinfos sucht, die bei verschlüsselten Laufwerken, wie zum Beispiel mit Truecrypt, nicht vorhanden sind. Hat sich an diesem Informationsstand inzwischen etwas geändert bzw. kann man nun genau sagen, ob dem so ist?
Ich hab nichts neues dazu gehört ....
Eigentlich müsste man mal mit neueren Varianten herumexperimentieren, ob nun auch tatsächlich TC-Container zerstört werden - so ein TC-Container ist im Prinzip ja auch nur eine normale Datei und kann prinzipiell vom Verschlüsselungstrojaner "angegriffen" werden, also die ersten 12K werden zerwürfelt/verschlüsselt

Falls das so ist, wüsste ich aber nicht, ob ein TC-Container robust genug ist, diese Manipulation unbeschadet zu überstehen also ob man ihn danach noch problemlos mounten kann...

Vllt wissen markusg, undertaker oder so noch was dazu

Edit:

Natürlich kann der Verschlüsselungstrojaner die Dateien innerhalb des TC-Containers verschlüsseln, wenn man ihn gerade als Laufwerk gemappt hat, aber das sollte ja klar sein

Geändert von cosinus (02.10.2012 um 12:52 Uhr)

Alt 02.10.2012, 13:09   #5
WellWhoKnows
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Wenn eine komplette Partition mit Truecrypt verschlüsselt wird, sehe ich das Ergebnis persönlich nicht als einen "Container" an, denn ein Container ist ja eine durchaus sehr deutlich sichtbare Datei mit einer Dateiendung, während die Komplettverschlüsselung einer Partition mit Truecrypt keine visuell sichtbare Datei erzeugt. So gesehen dürfte es eigentlich nichts vom Verschlüsselungs-Trojaner zu erkennen und zerstören geben. Nun weiß ich aber auch - leider durch eigene Erfahrung - dass ein komplett via Truecrypt verschlüsseltes, externes Laufwerk, welches (versehentlich) über USB an ein Netbook mit dem Betriebsystem Android angeschlossen wird, danach nicht wieder zu mounten ist. Wahrscheinlicher Grund: Android "denkt", das Laufwerk sei leer, "sieht" nicht, dass es komplett verschlüsselt ist und schreibt fröhlich, wie üblich bei jedem neu angeschlossenen Laufwerk, seine Ordner LOST.DIR und DCIM auf's Laufwerk - und da das Laufwerk ja bis auf's letzte Cluster verschlüsselt war, wurde es durch diese Ordner zum Teil überschrieben und war fortan für immer verloren. Ob das nun eine Schlussfolgerung für die Möglichkeiten eines Verschlüsselungs-Trojaners zulässt, kann ich nicht sagen, denn Android ist ganz gewiss nicht künstlich intelligent sondern einfach nur stumpf.

Aber die Idee, mit neueren Varianten herumzuexperimentieren, ob nun auch tatsächlich TC-Container zerstört werden, würde ich gutheißen.

Gerne weitere Infos / Erkenntnisse von weiteren klugen Köpfen :-)


Geändert von WellWhoKnows (02.10.2012 um 13:16 Uhr)

Alt 02.10.2012, 13:28   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Wenn man von einer komplett verschlüsslten Partition ausgeht ist das natürlich eine andere Sache, aber wie gesagt, beachte meinen Kommentar im Strang Verschlüsselungstrojaner und Backups

Zitat:
Zitat von cosinus Beitrag anzeigen
Ich warte aber ja darauf, dass es bald noch destruktivere Schädlinge gibt. Die zB willd nicht gemappte Partitionen löschen. Da hilft eigentlich nur noch regelmäßig Backups auf externe Medien zu erstellen, die halt eben nur dann angeschlossen und gemountet sind, wenn man auch wirklich das Backup macht

Ist eh dringend zu empfehlen denn was nützt mir ein Backup, das ich erstellt habe um Datenverluste bei Plattendefekten zu vermeiden ich dieses Backup aber nur auf der internen Platte habe
Wirklich wichtige Daten hat man also min. 2x gesichert => auf externes Medium, dass nur dann angschlossen wird, wenn es benötigt wird
Zudem muss man um keinen Datenverlust durch Plattendefekte zu haben ja eh auf ein externes Medium backuppen
__________________
--> Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?

Alt 02.10.2012, 15:51   #7
Undertaker
/// Helfer-Team
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



moin moin,
mit TC habe ich keine Versuche angestellt, kann also nicht mit Fakten argumentieren.
TC kann ja nach drei verschiedenen Modi verschlüsseln.
  1. Ein ganzes Gerät, dass vom Betriebssysteme als nichtinitialisiert angesehe wird, solange es nicht gemountet ist.
  2. Eine bestehende Partition wird verschlüsselt, die aber als LW gemountet ist.
  3. Container, bei denen der Zugriffe auf das Laufwerk/den Ordner nicht von Zugriffen auf andere unterschieden wird.
Aus dem hohlen Bauch heraus behaupte ich mal, dass nur bei Variante eins von Sicherheit gesprochen werden kann.
Eine HD, die vom System nicht initialisiert ist, ist auch für den Angreifer nicht da, ähnlich der SecureZone von Acronis, die ja bis jetzt sicher ist.

Bei den anderen beiden Varianten sind die Daten zwar gegen Einsicht durch Dritte gesichert, aber die Partition ist im System sichtbar.
Dem Virus ist es doch egal ob die Daten (Bitfolgen) Sinn machen oder nicht.
Solange er Zugriff hat und irgendwo 12k vertauschen kann, wird er das tun.


Gruß Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 04.10.2012, 08:12   #8
WellWhoKnows
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Zitat:
Zitat von Undertaker Beitrag anzeigen
  1. Ein ganzes Gerät, dass vom Betriebssysteme als nichtinitialisiert angesehe wird, solange es nicht gemountet ist.
Damit ist dann doch auch beispielsweise ein externer USB-Stick oder eine externe USB-Festplatte gemeint, die ich via TC komplett verschlüssel, nicht? Habe wohl ein wenig zu sehr die Begriffe "Verschlüsselung einer Partition" und "Komplettverschlüsselung" zusammengeworfen und mir damit fragetechnisch selbst ein Bein gestellt, denn mir geht es natürlich nicht um eine einzelne Partition sondern um die komplette Verschlüsselung eines via USB angeschlossenen Laufwerkes. Und dabei kann es sich dann doch nur um den hier zitierten Verschlüsselungs-Modus 1 handeln?!

Alt 06.10.2012, 13:17   #9
Undertaker
/// Helfer-Team
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Zitat:
Zitat von WellWhoKnows Beitrag anzeigen
Damit ist dann doch auch beispielsweise ein externer USB-Stick oder eine externe USB-Festplatte gemeint, die ich via TC komplett verschlüssel, nicht?
Wenn die HDD oder der Stick im System als gemountet und formatiert erkannt werden, dann sind sie nicht gegen einen Angriff gesichert.
Es ist unerheblich, ob die darauf befindlichen Daten nur mit TC sinnvoll interpretiert werden können.
Es ist auch unwichtig, ob der aktuelle Verschlüsselungstrojaner die Daten angreift oder nicht.
Allein die Tatsache, dass das Speichermedium für das System verwendbar, sprich beschreibbar ist, macht es unsicher.
Erst wenn das System vorschlägt, die HDD/Stick zu formatieren um sie benutzen zu können, kann man von Sicherheit sprechen.

Wie gesagt, das ist alles theoretisch.
Mal sehen, vielleicht werde ich an einem ruhigen Winterabend mal den Verschlüsseler auf ein System mit TC loslassen, dann werden wir sehen was passiert.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 08.10.2012, 07:46   #10
WellWhoKnows
 
Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Standard

Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?



Zitat:
Zitat von Undertaker Beitrag anzeigen
Erst wenn das System vorschlägt, die HDD/Stick zu formatieren um sie benutzen zu können, kann man von Sicherheit sprechen.
Das lässt doch schonmal hoffen, denn diesen Vorschlag macht Windows (XP, 7) bei nicht gemounteten, mit TC komplett verschlüsselten Laufwerken immer.

Zitat:
Zitat von Undertaker Beitrag anzeigen
Mal sehen, vielleicht werde ich an einem ruhigen Winterabend mal den Verschlüsseler auf ein System mit TC loslassen, dann werden wir sehen was passiert.
Und ich dachte schon, es gäbe keinen Grund, sich auf den Winter zu freuen...

Antwort

Themen zu Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?
alter, antworten, besser, eingabe, eingefangen, erstellt, euro, frage, gültigkeit, hdd sheriff, interne, logfiles, nachhaltig, nachricht, nenne, netten, neustart, nichts, pc sheriff, pcs, privat, private, reagiert, schreibfehler, schutz, verschlüsselungs-trojaner, virtueller, virtueller pc, windows 7, windows xp, worte



Ähnliche Themen: Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?


  1. GVU TROJANER (abgesichert Modus ohne Funktion) OTLPE
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (19)
  2. Bundespolizei-Trojaner mit Webcam-Funktion
    Log-Analyse und Auswertung - 08.11.2012 (19)
  3. Trojaner PUPVShare - Antivirenprogramme ohne Funktion
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (7)
  4. Selbstgebastelter Trojaner? Funktion unbekannt?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2011 (12)
  5. Trojaner-Board Nachrichten-Funktion
    Diskussionsforum - 23.02.2010 (2)
  6. Virtueller Computer
    Alles rund um Windows - 09.10.2009 (15)
  7. Spy Sheriff - Boardsuche und Google bringen mich nciht weiter
    Plagegeister aller Art und deren Bekämpfung - 01.12.2007 (2)
  8. Virtueller PC
    Alles rund um Windows - 10.11.2007 (6)
  9. viel zu hoher virtueller Speicher(>2GB)
    Log-Analyse und Auswertung - 15.04.2007 (2)
  10. viel zu hoher virtueller speicher(>2GB)
    Mülltonne - 13.04.2007 (1)
  11. Virtueller PC - Hackerangriff sicher?
    Überwachung, Datenschutz und Spam - 07.04.2007 (1)
  12. Spy Sheriff, Folgeprobleme: kein System32-Ordner, winlogon-prob?
    Plagegeister aller Art und deren Bekämpfung - 29.04.2006 (11)
  13. Spy Sheriff erfolgreich entfernt - bitte trotzdem mal die Log`s anschaun!
    Plagegeister aller Art und deren Bekämpfung - 31.01.2006 (6)
  14. Spy Sheriff
    Plagegeister aller Art und deren Bekämpfung - 13.12.2005 (1)
  15. Virtueller Speicher
    Alles rund um Windows - 27.02.2005 (2)
  16. I-Net Connect -> Virtueller Speicher voll..
    Plagegeister aller Art und deren Bekämpfung - 18.11.2003 (0)

Zum Thema Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? - Hallo liebe Foren-Gemeinde, ich habe erstmal noch keine Logfiles erstellt, weil es sich hier um eine allgemeine Frage handelt, die PC-übergreifend zumindest auf allen Windows-Rechnern (in meinem Fall mehrere privat - Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?...
Archiv
Du betrachtest: Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.