Generelle Frage zu Malware und deren Verbreitung
 

Hallo,

habe schon etliches hier im Forum gelesen und ist wirklich sehr informativ und hilfreich, aber ich hätte da noch ein, zwei Fragen die ich hier stellten möchte: (Das Unterforum ist hoffentlich das richtige, ansonsten möge man bitte meinen Thread bitte verschieben)

1. Ich hatte auf meinem alten Rechner einmal in Chrome diesen "Fake"-Polizeitrojaner, der nur das Browserfenster sperrt so dass man ihn im Taskmanager schließen muss, aber ansonsten (scheinbar) nichts weiter bewerkstelligt. bleibt diese Art von Malware wirklich im Browser oder wird der Rechner damit trotzdem infiziert?

2. In meinem Mailaccount hatte ich neben anderen Spam-Mails eine gefälschte Telekom-Rechung, die E-Mail war leer und es gab auch keinen Anhang, den ich hätte öffnen können. Kann dadurch bereits Malware auf den Rechner gelangt sein? Also durch das bloße lesen der Mail? wie gesagt Anhang gab es keinen den ich hätte öffnen können.

3. Sollte man einen Virus im MBR haben, reicht dann dieser Befehl aus um ihn zu beseitigen?

sudo dd if=/dev/zero of=/dev/sda count=10000 bs=512

bzw reicht dieser Befehl gefolgt von einer vollständigen Formatierung der Festplatte aus um sämtliche Malware zu beseitigen?

4. Welche Dateien sind wirklich von Malware betroffen, nur Ausführbare oder auch Spielstände, Libreoffice-Dokumente, Bilder, Mp3s und Projektdateien anderer Software (Ableton Live zb. falls es jemand hier kennen sollte)

Vielen Dank im Voraus, ich würde mich sehr freuen wenn ihr meine Fragen beantworten würdet.

Gruß Basti

hi,

ich schieb dich mal in den Diskussionsbereich, dann können mehrere antworten.

Nein, bleibt nicht nur im Browser.
nein.
keinen Schimmer was der Befehl macht :D
aber MBR neu schreiben reicht.
Kommt druaf an welche Infektion. Verschlüsselungstrojaner verschlüsseln alles. Fileinfector macht genau das was der Name schon sagt.

Den besagten Linux-Befehl hast du doch bestimmt aus irgendeinen meiner Beiträge aufgeschnappt oder? Wenn ja, welchen genau? Den komplett gelesen?

Jo, aus dem Thread: (#4)

http://www.trojaner-board.de/112973-...rmatieren.html


und ja, hab ich ganz gelesen ;) ich bin nur was das angeht ziemlich paranoid^^

Ganz gelesen bestimmt nicht, sonst hättest du gewusst was der Befehl macht...

Wie beschrieben hast du den Befehl wohl maximal mit "count=1" eingegeben. Das "sudo" deutet vor allem auf Ubuntu Linux hin. Alleine die Tatsache dass du einen Linux-Befehl (dd) benennst ist schon interessant. Schau hier:

hxxp://wiki.ubuntuusers.de/dd

Ich sage es dir und dem Rest dieser Community nur ungern: Malware ist vor allem ein Windows-Problem. Natürlich gibt es theoretische Möglichkeiten Schadcode unter Linux zu bekommen. Warum das aber in der Regel nicht der Fall ist kannst du hier lesen.

hxxp://wiki.ubuntuusers.de/Sicherheitskonzepte

Wie "sicher" Linux ist sieht man daran, dass ich unter Linux keinen Virenscanner nutze. Wobei selbst unter Windows bringen Virenscanner heutzutage auch nicht mehr wirklich viel. Stattt Virenscanner sollten die Anwender vielleicht besser selbst denken bzw. sich mal mit IT-Sicherheit beschäftigen. Wer nicht wirklich Windows-Anwendungen braucht könnte sich auch mal mit Linux beschäftigen. Sehr verbreitet ist Ubuntu Linux. Für eine Live-Version braucht man nicht mal einen eigenen Rechner. Eine CD-ROM/DVD bzw. USB-Stick reichen vollkommen zum testen und vor allem sicheren Surfen.

Iceweasel, ich schätze mal, es ist gemeint, den Befehl von einem Ubuntu-Live-System aus zu benutzen. Man kann ja wohl schlecht die Platte löschen, von der man gebootet hat, oder? Ich mein, wenn der MBR überschrieben ist, werden doch auch keine Partitionen mehr erkannt? Und auf die Platte soll hinterher evtl. auch wieder Windows drauf...

Das mit dem Linux-Befehl rührt wie schon vermutet daher dass ich von einem Livesystem aus die Festplatte formatiere.

Ich verwende auch parallel Linux, gerade weil es sicherer ist als Windows, nur leider bin ich auf Windows angewiesen, wegen dem ein oder anderen Spiel und Software die es so nur für Windows oder Mac gibt.

Wirklich schau ist der Befehl natürlich nicht. Normalerweise lässt man den MBR einfach neu schreiben. Geht sowohl von Windows als auch Linux bzw. Live-CD. Mag sein, dass es unter Windows nichts hilft, da der Befehl dafür auch bereits verseucht ist.

Was hat das mit schlau oder dumm zu tun?

Der Befehl soll einfach die Platte "blankmachen" und sicherstellen, dass Schadcode im MBR genullt wird. Steht auch alles als Kommentar nach dem Befehl da.

Ok. Wenn man sowieso die gesamte Platte löschen wollte war es wohl der richtige Ansatz.
Dann hätte man es aber auch so machen können:

mit der optionalen Angabe einer Blocksize, damit es schneller geht. Auch könnte man eine Acronis-CD dafür bemühen wenn man gerade kein Linux rumliegen. Wobei Acronis ist ja auch eine Linux-Live-CD.

Die Platte sollte ja nur komplett blank" gemacht werden, da reicht es dicke aus nur die ersten Sektoren zu nullen...komplette Platte dauert länger

Naja. Aus Sicht der IT-Forensik zwar eher nicht aber das war hier wohl nicht die Frage.

hxxp://www.heise.de/security/meldung/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt-198816.html

Es ging mir damals um eine einfache/schnelle Möglichkeit, dem User zu zeigen, wie er mit jedem Live-Linux die Platte komplett zurücksetzen kann...und dd ist bei jedem Linux vorhanden

Außerdem hatte ich damals Fälle erlebt, wo User recovert haben, manche Recovery-Medien den MBR/Bootloader aber offensichtlich nicht neu geschrieben haben, wenn sie was scheinbat Intaktes vorfanden

Mit Forensik hat das weniger was zu tun, es ging ja nicht darum, dass man keine Daten mehr von der Platte wiederherstellen soll, aber dafür kann man ja auch mit dd oder pv die Platten komplett nullen (pv /dev/zero > /dev/$targetdevice)

Abschließend vielleicht noch folgende Information.

Theoretisch kann man fast jede Linux-Live-Version nutzen. Ein paar Beispiele.

1.) das Beispiel bezieht sich aufgrund von "sudo" wahrscheinlich auf Ubuntu
(Ubuntu-Installations-Medien sind in der Regel Live-Linux-Systeme)
2.) eine kommerzielle Version wäre Acronis True Image
3.) kostenlos kann man sich http://gparted.org/livecd.php anschauen
(Anleitung mit Screenshots: http://gparted.org/display-doc.php?name=gparted-live-manual )

Als Debian-Anwender nutze ich jedoch eher
4.) http://www.grml.org
5.) http://crunchbang.org
("gparted" und "dd" sind in der Regel überall direkt enthalten)

Praktisch kann man jedes Linux nehmen, in dem auch die GNU core utilities stecken ;)

Scheint sogar eine Windows-Version zu geben:

http://uranus.chrysocome.net/linux/rawwrite/

Wobei von einem verseuchten System aus das durchzuführen mag nicht schlau sein. Auch weiß ich nicht ob man die Aktion auf eine gebootete Festplatte durchführen kann. Unter Linux ist das aber soweit ich mich erinnere kein Problem. Schon schlimm wenn man /dev/sdb (USB-Platte) mit /dev/sda (normale Festplatte) mal verwechselt. Da kann man dann gleich neu installieren.

Ok, vielen Dank für eure Antworten!

zwei Fragen hätte ich noch und zwar:

1. Wie genau kann diese Fake-Polizeitrojaner-Seite Malware installieren ? Hab in diversen Foren und in einem Statement von F-Secure gelesen dass es sich wirklich nur um eine Browsersperre handelt.

2. Ist ein wenig komplizierter: Angenommen ich hatte auf Rechner A einen Trojaner, Virus whatever, habe davon Daten gesichert und den Rechner anschließend neu aufgesetzt. Jetzt Stecke ich die Festplatte auf der die Sicherung liegt an Rechner B an um auch von diesem etwas zu sichern, können nun Dateien auf Rechner B infiziert sein wenn sich kein Autorun-Virus auf der Externen Festplatte befindet bzw. befand und ich von der Platte auch nichts auf Rechner B kopiert habe ?

3. Wie kann ich bei wichtigen Dateien, Projektdaten usw. sicher gehen dass diese nicht infiziert sind? Wenn eine Löschung auch nicht in Frage kommt.

Danke !

1.)
Ich glaube es gibt den Polizei-Trojaner sowohl als reine Webseite als auch als echte Malware. Musst mal nach verschiedenen Arten suchen. Als reine Webseite kann man ihn leicht umgehen. Bei einer echten Verschlüsselung der Platte sieht das ganz anders aus. Tipp: immer ein aktuelles Backup vorhalten. Niemals bezahlen. Die Daten werden trotzdem nicht entschlüsselt.

2.)
Schadcode muss meiner Meinung nach immer irgendwie ausgeführt werden. Das ist in deinem Szenario eher nicht der Fall. Wichtig ist jedoch vom sauberen System inkl. Virenscanner die externe Festplatte erneut zu scannen bevor du sie an Rechner B nutzt.

3.)
Die Daten per Virenscanner scannen und hoffen, dass
a.) das scannende System nicht vereucht ist
b.) der Virenscanner korrekt arbeitet
c.) der Virenscanner auch den gesamten Schadcode erkennt

Sobald ein System einmal verseucht ist wird dir dein Virenscanner nicht mehr helfen können. Da dir dann niemand den Befall meldet macht es Sinn die Daten von einem weiteren, hoffentlich sauberen Rechner erneut zu scannen. Da auch das System verseucht sein kann vielleicht die Daten nur lesbar bereitstellen (z.B. DVD).

stimmt zu 95% :)

"1.)
Ich glaube es gibt den Polizei-Trojaner sowohl als reine Webseite als auch als echte Malware. Musst mal nach verschiedenen Arten suchen. Als reine Webseite kann man ihn leicht umgehen."

Es geht mir ja genau um diese Website, da reicht es ja auch den Browser im Taskmanager zu killen und gut ist, die Frage ist ob trotzdem Malware auf den Rechner gelangt sein kann und wie das die Website macht.