Hallo,

habe schon etliches hier im Forum gelesen und ist wirklich sehr informativ und hilfreich, aber ich hätte da noch ein, zwei Fragen die ich hier stellten möchte: (Das Unterforum ist hoffentlich das richtige, ansonsten möge man bitte meinen Thread bitte verschieben)

1. Ich hatte auf meinem alten Rechner einmal in Chrome diesen "Fake"-Polizeitrojaner, der nur das Browserfenster sperrt so dass man ihn im Taskmanager schließen muss, aber ansonsten (scheinbar) nichts weiter bewerkstelligt. bleibt diese Art von Malware wirklich im Browser oder wird der Rechner damit trotzdem infiziert?

2. In meinem Mailaccount hatte ich neben anderen Spam-Mails eine gefälschte Telekom-Rechung, die E-Mail war leer und es gab auch keinen Anhang, den ich hätte öffnen können. Kann dadurch bereits Malware auf den Rechner gelangt sein? Also durch das bloße lesen der Mail? wie gesagt Anhang gab es keinen den ich hätte öffnen können.

3. Sollte man einen Virus im MBR haben, reicht dann dieser Befehl aus um ihn zu beseitigen?

sudo dd if=/dev/zero of=/dev/sda count=10000 bs=512

bzw reicht dieser Befehl gefolgt von einer vollständigen Formatierung der Festplatte aus um sämtliche Malware zu beseitigen?

4. Welche Dateien sind wirklich von Malware betroffen, nur Ausführbare oder auch Spielstände, Libreoffice-Dokumente, Bilder, Mp3s und Projektdateien anderer Software (Ableton Live zb. falls es jemand hier kennen sollte)

Vielen Dank im Voraus, ich würde mich sehr freuen wenn ihr meine Fragen beantworten würdet.

Gruß Basti

hi,

ich schieb dich mal in den Diskussionsbereich, dann können mehrere antworten.

Zitat:

1. Ich hatte auf meinem alten Rechner einmal in Chrome diesen "Fake"-Polizeitrojaner, der nur das Browserfenster sperrt so dass man ihn im Taskmanager schließen muss, aber ansonsten (scheinbar) nichts weiter bewerkstelligt. bleibt diese Art von Malware wirklich im Browser oder wird der Rechner damit trotzdem infiziert?

Nein, bleibt nicht nur im Browser.

Zitat:

2. In meinem Mailaccount hatte ich neben anderen Spam-Mails eine gefälschte Telekom-Rechung, die E-Mail war leer und es gab auch keinen Anhang, den ich hätte öffnen können. Kann dadurch bereits Malware auf den Rechner gelangt sein? Also durch das bloße lesen der Mail? wie gesagt Anhang gab es keinen den ich hätte öffnen können.

nein.

Zitat:

3. Sollte man einen Virus im MBR haben, reicht dann dieser Befehl aus um ihn zu beseitigen?

sudo dd if=/dev/zero of=/dev/sda count=10000 bs=512

keinen Schimmer was der Befehl macht
aber MBR neu schreiben reicht.

Zitat:

4. Welche Dateien sind wirklich von Malware betroffen, nur Ausführbare oder auch Spielstände, Libreoffice-Dokumente, Bilder, Mp3s und Projektdateien anderer Software (Ableton Live zb. falls es jemand hier kennen sollte)

Kommt druaf an welche Infektion. Verschlüsselungstrojaner verschlüsseln alles. Fileinfector macht genau das was der Name schon sagt.

Den besagten Linux-Befehl hast du doch bestimmt aus irgendeinen meiner Beiträge aufgeschnappt oder? Wenn ja, welchen genau? Den komplett gelesen?

Jo, aus dem Thread: (#4)

http://www.trojaner-board.de/112973-...rmatieren.html


und ja, hab ich ganz gelesen ich bin nur was das angeht ziemlich paranoid^^

Ganz gelesen bestimmt nicht, sonst hättest du gewusst was der Befehl macht...

Zitat:

Zitat von cosinus

Code: Alles auswählenAufklappen

ATTFilter

sudo dd if=/dev/zero of=/dev/sda count=10000 bs=512
         

Löscht die ersten 10.000 Sektoren auf der internen Platte => /dev/sda
Das reicht dicke um die Platte als "fabrikneu" d.h. völlig unpartitioniert und leer aussehen zu lassen. Es reicht sogar wenn man statt count=10000 nur count=1 angibt, also nur den ersten Sektor überschreibt. Der erste Sektor der Platte beinhaltet MBR und Partitionstabelle.

Wie beschrieben hast du den Befehl wohl maximal mit "count=1" eingegeben. Das "sudo" deutet vor allem auf Ubuntu Linux hin. Alleine die Tatsache dass du einen Linux-Befehl (dd) benennst ist schon interessant. Schau hier:

hxxp://wiki.ubuntuusers.de/dd

Ich sage es dir und dem Rest dieser Community nur ungern: Malware ist vor allem ein Windows-Problem. Natürlich gibt es theoretische Möglichkeiten Schadcode unter Linux zu bekommen. Warum das aber in der Regel nicht der Fall ist kannst du hier lesen.

hxxp://wiki.ubuntuusers.de/Sicherheitskonzepte

Wie "sicher" Linux ist sieht man daran, dass ich unter Linux keinen Virenscanner nutze. Wobei selbst unter Windows bringen Virenscanner heutzutage auch nicht mehr wirklich viel. Stattt Virenscanner sollten die Anwender vielleicht besser selbst denken bzw. sich mal mit IT-Sicherheit beschäftigen. Wer nicht wirklich Windows-Anwendungen braucht könnte sich auch mal mit Linux beschäftigen. Sehr verbreitet ist Ubuntu Linux. Für eine Live-Version braucht man nicht mal einen eigenen Rechner. Eine CD-ROM/DVD bzw. USB-Stick reichen vollkommen zum testen und vor allem sicheren Surfen.

Iceweasel, ich schätze mal, es ist gemeint, den Befehl von einem Ubuntu-Live-System aus zu benutzen. Man kann ja wohl schlecht die Platte löschen, von der man gebootet hat, oder? Ich mein, wenn der MBR überschrieben ist, werden doch auch keine Partitionen mehr erkannt? Und auf die Platte soll hinterher evtl. auch wieder Windows drauf...

Das mit dem Linux-Befehl rührt wie schon vermutet daher dass ich von einem Livesystem aus die Festplatte formatiere.

Ich verwende auch parallel Linux, gerade weil es sicherer ist als Windows, nur leider bin ich auf Windows angewiesen, wegen dem ein oder anderen Spiel und Software die es so nur für Windows oder Mac gibt.

Wirklich schau ist der Befehl natürlich nicht. Normalerweise lässt man den MBR einfach neu schreiben. Geht sowohl von Windows als auch Linux bzw. Live-CD. Mag sein, dass es unter Windows nichts hilft, da der Befehl dafür auch bereits verseucht ist.

Was hat das mit schlau oder dumm zu tun?

Der Befehl soll einfach die Platte "blankmachen" und sicherstellen, dass Schadcode im MBR genullt wird. Steht auch alles als Kommentar nach dem Befehl da.

Ok. Wenn man sowieso die gesamte Platte löschen wollte war es wohl der richtige Ansatz.
Dann hätte man es aber auch so machen können:

Code: Alles auswählenAufklappen

ATTFilter

dd if=/dev/zero of=/dev/sda
         

mit der optionalen Angabe einer Blocksize, damit es schneller geht. Auch könnte man eine Acronis-CD dafür bemühen wenn man gerade kein Linux rumliegen. Wobei Acronis ist ja auch eine Linux-Live-CD.

Die Platte sollte ja nur komplett blank" gemacht werden, da reicht es dicke aus nur die ersten Sektoren zu nullen...komplette Platte dauert länger

Naja. Aus Sicht der IT-Forensik zwar eher nicht aber das war hier wohl nicht die Frage.

hxxp://www.heise.de/security/meldung/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt-198816.html

Es ging mir damals um eine einfache/schnelle Möglichkeit, dem User zu zeigen, wie er mit jedem Live-Linux die Platte komplett zurücksetzen kann...und dd ist bei jedem Linux vorhanden

Außerdem hatte ich damals Fälle erlebt, wo User recovert haben, manche Recovery-Medien den MBR/Bootloader aber offensichtlich nicht neu geschrieben haben, wenn sie was scheinbat Intaktes vorfanden

Mit Forensik hat das weniger was zu tun, es ging ja nicht darum, dass man keine Daten mehr von der Platte wiederherstellen soll, aber dafür kann man ja auch mit dd oder pv die Platten komplett nullen (pv /dev/zero > /dev/$targetdevice)

Abschließend vielleicht noch folgende Information.

Theoretisch kann man fast jede Linux-Live-Version nutzen. Ein paar Beispiele.

1.) das Beispiel bezieht sich aufgrund von "sudo" wahrscheinlich auf Ubuntu
(Ubuntu-Installations-Medien sind in der Regel Live-Linux-Systeme)
2.) eine kommerzielle Version wäre Acronis True Image
3.) kostenlos kann man sich http://gparted.org/livecd.php anschauen
(Anleitung mit Screenshots: http://gparted.org/display-doc.php?name=gparted-live-manual )

Als Debian-Anwender nutze ich jedoch eher
4.) http://www.grml.org
5.) http://crunchbang.org
("gparted" und "dd" sind in der Regel überall direkt enthalten)