grizzly999 11 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Nein, wie bereits von Velius gesagt, ein Root it ist kein "normaler" Virus, der einfach erkannt werden kann. Es gibt u.U. auch ganz verschiedene Versionen von RootKits. Hier kurz was dazu: Rootkits: The Obscure Hacker Attack: Tip of the Month - October 2005 Bei einem Offline Scan kann ein Rootkit Revelaer durch Datei-Vergleich u.U. ein Root Kit finden, muss aber nicht so sein, da die Programmierer solcher Software absolute Experten sind und was die sich haben neues einfallen lassen weiss keiner. Schwierig kann das insbesondere dann werden, wenn der vermeintlich verseuchte Rechner nicht eine original Version war, das ist wohl immer der Fall, den irgendwas ist immer daarauf installiert oder konfiguriert gewesen. Was dann dort gegenüber einer original CD/OS Konfiguration oder normale Software ist, oder wo ein Rootkit was eingetragen hat, ist dann kaum auszumachen. grizzly999 Zitieren Link zu diesem Kommentar
Herbert Leitner 10 Geschrieben 22. November 2006 Autor Melden Teilen Geschrieben 22. November 2006 Ein Rootkit ist insofern anders da es nicht wie ein typischer Virus verhält (an eine Datei anhängen & kopieren/sonstige Befehle ausführen), sondern sich for dem OS Kernel versteckt. Mit dem MBR hat das meist nicht viel zu tun, dann eher mit dem Filesystem, denn das Rootkit interagiert ja mit dem OS und vom MBR aus ohne wissen vom FS wäre das schwer möglich. Hallo! Ich sagte ja, daß ich die (versaute) Festplatte in eine andere Maschine gesteckt habe. Da kann sich (auf der sauberen Festplatte) sicher keine Schicht zwischen OS und Filesystemtreiber laden Also muss e so prinzipiell möglich sein, das Ding zu finden! So long! Herbert Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Hallo! Ich sagte ja, daß ich die (versaute) Festplatte in eine andere Maschine gesteckt habe. Da kann sich (auf der sauberen Festplatte) sicher keine Schicht zwischen OS und Filesystemtreiber laden Also muss e so prinzipiell möglich sein, das Ding zu finden! So long! Herbert Gewagte Aussage! Was ist, wenn sich das Ding im Bootstrap deiner 2. Platte einnistet (ähnlich einem Bootmanager), und sich dann so ausführt? Der Kommt mit der 2. Platte mit! Virtualised Virtualised rootkits are the lowest level of rootkit currently produced. These rootkits work by modifying the boot sequence of the machine to load themselves instead of the original operating system. Once loaded into memory a virtualised rootkit then loads the original operating system as a Virtual Machine thereby enabling the rootkit to intercept all hardware calls made by the guest OS. The SubVirt laboratory rootkit developed jointly by Microsoft and University of Michigan researchers is an example of a Virtual Machine based rootkit or VMBR. Rootkit - Wikipedia, the free encyclopedia Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 ...ok, du bootest ja nicht vom infizierten System, das stimmt, aber dennoch: There is a body of opinion that holds this to be forbiddingly impractical. Even if the nature and composition of a rootkit is known, the time and effort of a system administrator with the necessary skills or experience would be better spent re-installing the operating system from scratch. Since drive imaging software (see Disk cloning) makes the task of restoring a “clean” OS installation almost trivial, there is no good reason to try to dig a rootkit out directly. FACK!:cool: Zitieren Link zu diesem Kommentar
onewayticket 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Hallo, nun muss ich ja doch meinen Senf dazu geben. @Herbert Leitner Deine Aussage ist schon krass ich würde dem Rechner keine Sekunde lang trauen. Du kannst den Vorrednern schon glauben mach den Rechner Platt! Wenn die Installation so lange dauert solltest Du eventuell dein Datensicherungskonzept überdenken. MfG Onewayticket Zitieren Link zu diesem Kommentar
Herbert Leitner 10 Geschrieben 22. November 2006 Autor Melden Teilen Geschrieben 22. November 2006 Hallo, Wenn die Installation so lange dauert solltest Du eventuell dein Datensicherungskonzept überdenken. MfG Onewayticket Hallo! Hast denn Du so ein Konzept für mich. Die Rücksicherung ist fast immer mit ein paar Stunden Aufwand verbunden. Mir ist schon klar was alle hier sagen wollen. Vertreue keinem verseuchtem System. Ich mache eine Risikoanalyste und dazu eine Kostenrechnung. Und dann komme ich immer wieder zu dem Schuss: 1.) nimm ein gutes Antivren programm 2.) sei dir immer des Risikos bewußt 3.) Schütze dich so gut es geht 4.) suche die Lösung mit dem besten Verhältnis von Preis/Leistung/Ausfallzeit/Ärger Ich halte die meisten der hier getätigten Aussagen für begründet - aber für überzogen. Du kannst nicht jede Maschine neu installieren, "nur" weil da mal ein Virus drauf war. Such mal mit "Spybot Sarch & Destroy", Ewido, Lavasoft, BPSoft oder sonstwas und du findest auf 99% der Rechner irgendwelche virenartigen Programme. Jede Maschine neu zu installiern ist absurd. Danke für die Hilfe! Herbert Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Such mal mit "Spybot Sarch & Destroy", Ewido, Lavasoft, BPSoft oder sonstwas und du findest auf 99% der Rechner irgendwelche virenartigen Programme. Jede Maschine neu zu installiern ist absurd. Gut, wir reden hier aber von einem Rootkit, und nicht von Spyware! Auch ich setzte nicht jeden Rechner neu auf, der sein RAM erfolgreich von einem Virus befreien konnte. Zitieren Link zu diesem Kommentar
strex 10 Geschrieben 29. November 2006 Melden Teilen Geschrieben 29. November 2006 Auch wenn es nicht so aktuell ist, aber man muss auch bedenken, wenn er jetzt den Rechner platt macht, weis man nicht woher die bösartige Software kommt. Dann kann er sich schnell immer und immer wieder das gleiche einfangen...:suspect: Läuft den auf der Maschine ein MSSQL Server? Zitieren Link zu diesem Kommentar
Herbert Leitner 10 Geschrieben 30. November 2006 Autor Melden Teilen Geschrieben 30. November 2006 Auch wenn es nicht so aktuell ist, aber man muss auch bedenken, wenn er jetzt den Rechner platt macht, weis man nicht woher die bösartige Software kommt. Dann kann er sich schnell immer und immer wieder das gleiche einfangen...:suspect: Läuft den auf der Maschine ein MSSQL Server? Halle! Vorige Woche war eine total verrückte Woche! Jede zweite Maschine ide ich in die Finger gekriegt habe, hatte das Problem - und damit den Virus. Plötzlich popt ein Fenster auf und dort wird Zeichen für Zeichen ein Befehl eingegeben, der per FTP eine Datei irgendwo abholt und lokal speichert. Eine EXE - Datei! Alle großen Antiviren - Programme (Kaspersky, Trendmicro, Mcafee, ...) haben versagt. Ewido oder Spabot Search & Destroy - weiß jetzt nicht mehr wer - haben das Problem gelöst. Gruß! Herbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.