bumat!rts (Trojaner)
Leider gibt das Netz nicht viel her, was der genau macht. Weiß jemand da was näheres?
Nebenbei wurde er von MS-Security Essentials entdeckt.
Gruß
luttyy
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Prosseco 
gelöscht_35042 „Habe ich doch tatsächlich so eine Wanze gefunden..)“
http://www.threatexpert.com/threats/trojan-win32-bumat-rts.html
http://www.microsoft.com/security/portal/Definitions/WhatsNew.aspx?Version=1.71.1397.0&Package=AM
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWin32%2fBumat%21rts&ThreatID=-2147341227
Tut mir leid das im Englischen ist, nur MS bietet keine uebersetzung an.
:-)
Sascha
gelöscht_35042 Prosseco „http://www.threatexpert.com/threats/trojan-win32-bumat-rts.html...“
Soweit war ich auch schon, sagt mir aber nichts...
Gruß
luttyy
Andreas42 gelöscht_35042 „Soweit war ich auch schon, sagt mir aber nichts... Gruß luttyy“
Hi!
Die Analysebeschreibung (Technische Info) aus dem dritten Link von Prosseco scheint mir die Möglichkeit eines Fehlalarms zu beinhalten.
"Technical Information (Analysis)
Trojan:Win32/Bumat!rts is a name used for trojan detections that have been added to our signatures after advanced automated analysis.
The generic nature of this detection means that the malicious behaviors exhibited by files detected as Trojan:Win32/Bumat!rts are highly variable and may vary from once instance of this detection to the next."
-------------------
Meine Übersetzung:
Trojan:Win32/Bumat!rts ist die Bezeichnung unter der wir die Trojaner Erkennung verstehen, die zu unseren Signaturen nach einer erweiterten automatischen Analyse hinzugefügt wurde.
Die generische Arbeitsweise dieser Erkennung bedeutet, dass das Schadverhalten von Dateien, die als Trojan:Win32/Bumat!rts erkannt wurden stark variieren kann, und sich von einem Auftreten zum nächsten (Auftreten) unterscheiden kann.
-------------------
Ich interpretiere das so: MS hat nach einer automatischen Analyse von verschiedenen Trojanern eine Sammlung von typischen Schadcode automatisch herausfiltern lassen und für diese so ausgewälten Schadcode-Routinen dann eine Erkennung in die Signatur eingefügt.
Alles was jetzt von dieser automaisch zusammengesammelten Schadcode-Routinen erkannt wird, wird als "Trojan:Win32/Bumat!rts" gemeldet.
Oder anders gesagt, das klingt nach einer Heuristik oder dem Versuch bisher unbekannte Schädlinge an typischen Verhalten bzw. Schadcode zuerkennen.
Ich würde da zuerst eine weitere ärztliche Meinung einholen. ;-)
Die c't hat ja aktuell wieder eine Virenscan-CD im Heft. Die würde ich mal drüberlaufen lassen.
Bis dann
Andreas
jueki gelöscht_35042 „Habe ich doch tatsächlich so eine Wanze gefunden..)“
bumat!rts auf Deinem PC?
Soviel mir bekannt ist, forscht dieser Trojaner nach von Dir angelegten Signaturen und Paßwörtern.
Wie Du den unsichtbar machen kannst, verraten Dir sicher die zuhauf anzutreffenden Digital- Voodoo- Priester.
Hätte ich das drauf, wäre ein hartes Ausschalten des Internet die Folge und eine Formatierung der Partition.
Mit anschließender Neuinstallation. Weil ich für Russisch Roulette nichts übrig hab.
Oder, in meinem Fall, die Wiederherstellung des letzten, garantiert virenfreien Images.
Jürgen
gelöscht_35042 jueki „bumat!rts auf Deinem PC? Soviel mir bekannt ist, forscht dieser Trojaner nach...“
Hallo Jürgen, das System wird sowieso neu aufgesetzt.
Eine saubere Spiegelung habe ich natürlich auch..
Hmm.., ich habe heute genau 2 Mails aus eigentlich sicherer Quelle bekommen und runtergeladen...
Angeschlagen hat dabei nichts.
Gruß
luttyy
jueki gelöscht_35042 „Hallo Jürgen, das System wird sowieso neu aufgesetzt. Eine saubere Spiegelung...“
Ohne das ich das in Einzelheiten und detailgetreu zu erklären imstande bin - aber mir wurde das von einem befreundeten Programmierer vorgemacht.
Es werden da kleine und vollkommen ungefährliche Dateistückchen auf den PC transportiert.
Er hat mir das vorgemacht mit stinknormalen Mails - die allerdings alle html- formatiert waren.
Damit wurden kleine Teildateien auf den PC transportiert (und können weitertransportiert werden) die nur ein Ziel haben - ihre Fortsetzung zu finden. Mit der sie sich dann zu einem winzigen Programm verbinden, welches unangenehme Eigenschaften hat.
In dem demonstrierten Fall raste nur der Mauszeiger hin und her...
Jürgen
odin4 gelöscht_35042 „Habe ich doch tatsächlich so eine Wanze gefunden..)“
Das klingt nach Naniten, die sich selbst zu etwas Größerem verbinden ... ich hab' bis jetzt nicht für möglich gehalten, dass die Computerprogrammierung schon so weit ist.
Prosseco gelöscht_35042 „Habe ich doch tatsächlich so eine Wanze gefunden..)“
Es ist ein Backdor Trojan sonst nichts. Was macht ein Backdor. Die Hintertuer offen lassen, sonst nichts.
Gruss
Sascha
jueki Prosseco „Es ist ein Backdor Trojan sonst nichts. Was macht ein Backdor. Die Hintertuer...“
Natürlich vollkommen ungefährlich, stimmts?
Wie alle Trojaner, Backdoors und Viren mit einem "wönzig kleinen" Freewareprogrämmchen zu entfernen.
Ist doch piepsleicht, richtig?
Jürgen
Prosseco jueki „Natürlich vollkommen ungefährlich, stimmts? Wie alle Trojaner, Backdoors und...“
Natürlich vollkommen ungefährlich, stimmts?
Habe ich nicht gesagt.
Freewareprogrämmchen zu entfernen.
Habe ich auch nie gesagt.
Ist doch piepsleicht, richtig?
Ja ist es. Nur ihr seid ja angeblich die Experten und nicht ich.
Also macht es und zahlt kohle. Ich mache es nicht.
Gruss
Sascha
Habe ich nicht gesagt.
Freewareprogrämmchen zu entfernen.
Habe ich auch nie gesagt.
Ist doch piepsleicht, richtig?
Ja ist es. Nur ihr seid ja angeblich die Experten und nicht ich.
Also macht es und zahlt kohle. Ich mache es nicht.
Gruss
Sascha
jueki Prosseco „ Habe ich nicht gesagt. Habe ich auch nie gesagt. Ja ist es. Nur ihr seid ja...“
"Wir" zahlen keine Kohle.
"Wir" stellen unser sauberes Image wieder her.
Jürgen
Prosseco jueki „ Wir zahlen keine Kohle. Wir stellen unser sauberes Image wieder her. Jürgen “
Aha, fuer was muss man es denn machen, wenn man sich schon ein Viech einnisten laesst. Ward ihr nicht immer die, die hoechste Sicherheit einstuften oder andere preadigten.
Weil ich habe schon lange keins mehr gekriegt habe. Egal wie es auch sei.
Gruss
Sascha
P.S. Das es keine 100 %tige Sicherheit, das weiss ich selber. :-p
jueki Prosseco „Aha, fuer was muss man es denn machen, wenn man sich schon ein Viech einnisten...“
Ich für meinen Teil habe ebenfalls schon recht lange keinerlei Schädlinge mehr auf meinen PCs gehabt.
Jedenfalls konnte ich bislang nichts feststellen.
Warum?
Ich empfange Mails grundsätzlich nur im Textmode.
Ich habe mir eigens einen Server gebaut, mit dem ich mit berechtigten Personen Daten tauschen kann.
html- formatierte Mails oder Mails mit Dateianhängen werden schon auf dem Server gelöscht.
Ergibt es sich, das ich doch mal eine "kritische" Mail empfangen und öffnen muß, dann geschieht das mittels einer eigenen Festplatte im Wechselrahmen in einem nur zum Testen vorgesehenem PC.
Ebenfalls nur dort nehme ich im Bedarfsfall Kontakt mit Filesharingseiten auf.
Nun - und das Wichtigste - ich halte mich sehr konsequent an meine eigenen Empfehlungen:
http://www.computerhilfen.de/jueki/Image-Erstellung.pdf
Was da so umständlich, weil ausführlich beschrieben wurde, kostet mich in der Woche ca. 10 Minuten an Zeit, ist also vetretbar.
Ich bin der Meinung, das diese Methode sehr viel Sicherer ist, als alle diese Pseudo- Reinigungsprogramme. Und da sehe ich mich in einer Linie mit Microsoft und einigen Unis, die da streng wissenschaftlich Untersuchungen anstellten.
Hier meine laienhaften Gedanken zu diesem Thema:
http://www.computerhilfen.de/jueki/Trojaner.pdf
Jürgen
Prosseco jueki „Ich für meinen Teil habe ebenfalls schon recht lange keinerlei Schädlinge mehr...“
Meine es nicht boese.
Es wurde noch keine sicherere Methode vorgeschlagen.
Doch. Brain.exe benutzen beim Surfen. Nur viele wissen/koennen es noch nicht oder wollen es einfach nicht. Weil es ist lukrativer und schoener, beim Banner, das du der 999999ste Besucher bist, klick zu machen. Oder das ganze Internet ab zu grasen was es her gibt.
Gruss
Sascha
gelöscht_238890 jueki „ Wir zahlen keine Kohle. Wir stellen unser sauberes Image wieder her. Jürgen “
Und woher wissen "Wir" ob dieses Image wirklich sauber ist???
Solange MS selber noch nicht richtig weiß wonach man sucht und was diesen Teil, welches man im Verdacht hat etwas zu tun, wirklich tut, weiß auch keiner ab wann ein Image evtl. kontaminiert ist.
Wer also nach der Erstellung eines neuen Images das alte Image vorschnell killt, könnte da Probleme bekommen.
Gruß
hatterchen45
jueki gelöscht_238890 „Und woher wissen Wir ob dieses Image wirklich sauber ist??? Solange MS selber...“
"Und woher wissen "Wir" ob dieses Image wirklich sauber ist???"
Du hast meinen Sermon gelesen?
Ich erstelle das neue, das Sicherheits- Image immer aus einen vollkommen sauberen System heraus. Muß natürlich von Anfang an so gehalten werden.
Nun installiere ich ja nicht im Tages- oder Wochentakt neue Programme - und ich lagere ja auch alle meine variablen Daten aus dem System aus.
Also kann ich ziemlich sicher sein.
Mach dir doch einmal die Mühe und lese meinen Sermon von Anfang bis Ende durch.
Wenn Du auch eine andere Vorgehensweise pflegst - vielleicht kannst du feststellen, das die meinige wohl auch etwas für sich hat.
Habs ja übrigens auch geschrieben - bei den heutigen Festplattengrößen ist es tatsächlich kein Problem, mehrere Images aufzubewahren. Die ja bei der von mir favorisierten Installationsmethode recht klein und schnell sind.
Hier meine "Arbeitsimages" des PC1-XP1:
http://www.juekirs.de/Foren/nickles/images-xp1.jpg
Jürgen
gelöscht_238890 jueki „ Und woher wissen Wir ob dieses Image wirklich sauber ist??? Du hast meinen...“
"Nun installiere ich ja nicht im Tages- oder Wochentakt neue Programme - und ich lagere ja auch alle meine variablen Daten aus dem System aus."
Daran wirds wohl liegen, da ist der Durchsatz bei mir sicher etwas höher.
Und mit den Daten mag das ja bei einigen Programmen funktionieren, aber nicht bei allen.
Da ich keine Muße habe das jedesmal zu testen, erspare ich mir gleich die Mühe.
Ob ich aber das so mache wie Du, oder wie ich, ist für mich Jacke wie Hose.
Und nicht zu vergessen, es gibt viele Programme die sich ohne Internetverbindung erst gar nicht installieren lassen. Also das mit dem sauberen Image, von vorne herein, ist da eher eine Glaubensfrage.
Aber ich will Niemanden bekehren, es ist halt meine Sicht der Dinge.
Viele Wege führen nach Rom.
Gruß
hatterchen45
jueki gelöscht_238890 „ Nun installiere ich ja nicht im Tages- oder Wochentakt neue Programme - und ich...“
Und mit den Daten mag das ja bei einigen Programmen funktionieren, aber nicht bei allen
Wenn Du mal ein Programm nennnen kannst, was Dir die Wahl des Zielpfades überläßt und dann nicht mehr funktioniert, wenn Du Dein Image wiederhergestellt hast, informiere mich bitte.
Ich hab bisher noch keines gefunden, möchte das aber gerne mal testen.
Jürgen
Wenn Du mal ein Programm nennnen kannst, was Dir die Wahl des Zielpfades überläßt und dann nicht mehr funktioniert, wenn Du Dein Image wiederhergestellt hast, informiere mich bitte.
Ich hab bisher noch keines gefunden, möchte das aber gerne mal testen.
Jürgen
Prosseco jueki „ Wenn Du mal ein Programm nennnen kannst, was Dir die Wahl des Zielpfades...“
Ich bin auch gegen sowas von Imagerei. Nehmen wir mal an man installiert alles sauber, ohne Internet zugang. Mit SP3 und allen drum und dran. Man macht ein Image. Nur das Problem dabei, das das Internet und die Software sich taeglich aendert. Geschweige seit dem SP3 sind auch schon ein haufen updates am Markt. sicherlich kann man seine Persoenliche Daten speichern auf Extern. Nur was nuetzt es wenn du von ein 6 Monates sauberes erstelltes Image, leider was neues gibt. Alle Monate kommen immer neue Software raus. Dazu noch was passiert wenn irgendwas am PC unvorsehbar, abraucht.
Dann musst du haargenau, alles wieder installieren. Was genauso dauert. Sicherlich langsamer als ein Image zurueck spielen. Nur ich halte mein XP sauber und sonst nichts und vergeude kein Platz fuer unnuetzes.
Aber wie hatterchen es sagte. Es ist alles ansichts Sache und jeder kann sein XP oder BS Hand haben wie er es fuer richtig haelt.
Gruss
Sascha
gelöscht_238890 jueki „ Wenn Du mal ein Programm nennnen kannst, was Dir die Wahl des Zielpfades...“
Also ganz so blöd bin ich ja nun auch nicht.
Es geht nicht um Programme die dich fragen wohin du sie denn gerne verschieben möchtest.
Es geht um Programme die erst gar nicht fragen.
Und es gibt Programme die sich ohne Internet erst gar nicht installieren lassen.
Und da stoßen diese "jungfräulichen" Images an ihre Grenze.
Ich mache mein Image wenn die Kiste richtig läuft, mit allem Zipp und Zapp, und das bleibt auch so. Denn so ein Image enthält immer alles, da muss ich erst gar nicht überlegen und ich brauche auch nichts testen.
Aber wie ich schon früher schrieb, ein jeder nach seiner Facon.
Gruß
hatterchen45
gelöscht_35042 gelöscht_238890 „Also ganz so blöd bin ich ja nun auch nicht. Es geht nicht um Programme die...“
Hehe, jetzt streitet mal nicht welche Images die besten sind!
Hier gibt es massenhaft Leute die sowas überhaupt nicht haben und belämmert aus der Wäsche schauen, wenn ihr System abgekackt oder verseucht ist..:))
Denen gehört es aber auch dann nicht besser...
Gruß
luttyy
gelöscht_238890 gelöscht_35042 „Hehe, jetzt streitet mal nicht welche Images die besten sind! Hier gibt es...“
Ich würde das nicht als Streiten bezeichnen, eher als angeregte Diskussion über Leichtigkeit der Image Erstellung.
Das darüber evtl. einige, selbst ernannte "Systemadministratoren", ins Grübeln ob ihrer "abgekackten" Systeme kommen ist mir nach Deinen mahnenden Worten soeben aufgegangen.
Aber wenn ich das recht lese, liegt in Deinen Zeilen nicht ein leiser Hauch von Schadenfreude?
Gruß
hatterchen45
gelöscht_35042 gelöscht_238890 „Ich würde das nicht als Streiten bezeichnen, eher als angeregte Diskussion...“
Schadenfreude entwickele ich nur dann, wenn User in teure Grakas investieren inkl. ihrer Spiele, aber keinen Cent für eine 2.Platte ausgeben und somit neu installieren müssen!
Da habe ich wirklich kein Mitleid...
Gruß
luttyy
gelöscht_238890 gelöscht_35042 „Schadenfreude entwickele ich nur dann, wenn User in teure Grakas investieren...“
Na klar, das sind die selben Geister die mich fragen -2 Systeme auf einem Rechner, so eine Platzverschwendung.
Mitleid? Doch mit Neulingen, man muss das Rad ja nicht täglich neu erfinden.
Gruß
hatterchen45
gelöscht_35042 gelöscht_238890 „Na klar, das sind die selben Geister die mich fragen -2 Systeme auf einem...“
Stimmt, aber wenn man Porsche fahren will, sollte man sich über die Kiste auch vorher mal schlau machen.
So mancher hat schon das Zündschloss nicht gefunden..:)
Gruß
luttyy
jueki gelöscht_238890 „Also ganz so blöd bin ich ja nun auch nicht. Es geht nicht um Programme die...“
Es geht um Programme die erst gar nicht fragen
- da gebe ich Dir doch vollkommen Recht!
Gerade Scanprogramme von Epson gehören dazu. Die fragen nicht, die wollen nach C - bitteschön, des Programmes Willen ist sein Himmelreich.
Genau deshalb, hatterchen45, genau deshalb hab ich mich doch in meinem Aufsatz dazu klar und eindeutig gegen die generelle Verlegung des Installationspfades ausgesprochen. Das kann man nämlich schon vor der Installation mit nLite - und auch danach mit einem Registry- Eintrag machen.
Und das geht dann natürlich ab und an schief.
Nein, mir geht es auschließlich um Programme, die mir bei der Installation die Wahl des Pfades lassen. Hab ich aber auch gesagt, stimmts?
Ich mache mein Image wenn die Kiste richtig läuft, mit allem Zipp und Zapp
- und ich bin überzeugt davon, das Deine Maschinchen gut damit laufen und Du im Falle eines Absturzes oder Fehlers keine Magenschmerzen bekommst.
Sind eben zwei etwas unterschiedliche Wege, die wir verfolgen - und wir kommen letztlich beide zum gleichen Ziel.
Und dort angekommen sagen wir uns freundlich "Guten Tag". Ok?
Jürgen
- da gebe ich Dir doch vollkommen Recht!
Gerade Scanprogramme von Epson gehören dazu. Die fragen nicht, die wollen nach C - bitteschön, des Programmes Willen ist sein Himmelreich.
Genau deshalb, hatterchen45, genau deshalb hab ich mich doch in meinem Aufsatz dazu klar und eindeutig gegen die generelle Verlegung des Installationspfades ausgesprochen. Das kann man nämlich schon vor der Installation mit nLite - und auch danach mit einem Registry- Eintrag machen.
Und das geht dann natürlich ab und an schief.
Nein, mir geht es auschließlich um Programme, die mir bei der Installation die Wahl des Pfades lassen. Hab ich aber auch gesagt, stimmts?
Ich mache mein Image wenn die Kiste richtig läuft, mit allem Zipp und Zapp
- und ich bin überzeugt davon, das Deine Maschinchen gut damit laufen und Du im Falle eines Absturzes oder Fehlers keine Magenschmerzen bekommst.
Sind eben zwei etwas unterschiedliche Wege, die wir verfolgen - und wir kommen letztlich beide zum gleichen Ziel.
Und dort angekommen sagen wir uns freundlich "Guten Tag". Ok?
Jürgen
gelöscht_238890 jueki „ - da gebe ich Dir doch vollkommen Recht! Gerade Scanprogramme von Epson...“
Wir wissen doch beide das wir`s können, es führen halt viele Wege nach Chemnitz;-)
Also Freundschaft.
vg hatterchen45
gelöscht_238890 Prosseco „Es ist ein Backdor Trojan sonst nichts. Was macht ein Backdor. Die Hintertuer...“
Aber Sascha,
Du gibst uns hier immer tolle Links (Vorsicht englisch) und interpretiert die dann etwas sehr großzügig.
Microsoft schreibt da nichts von Backdoor Trojanern, schlimmer noch, MS hat selbst keine Ahnung um was es sich genau handelt.
Solange NUR das MS-Programm den Schlingel findet, halte ich die Füße ruhig.
Fehlalarme hat es ja schon häufiger in der Branche gegeben, aber aufpassen sollte man natürlich.
Es gibt ja etliche Sachen vor denen MS warnt, die aber teilweise nützliche Dienste leisten können;-)
Gruß
hatterchen45
Prosseco gelöscht_238890 „Aber Sascha, Du gibst uns hier immer tolle Links Vorsicht englisch und...“
Hallo hatterchen45,
Microsoft schreibt da nichts von Backdoor Trojanern
Doch es schreibt er, zwar nicht als Backdor, aber diese Seite tut es. Jeder Antivir Hersteller nennt die Fiesslinge nach seinen Geschmack.
Zum beispiel:
Symantec kennt es nicht als Burmat, aber als Trojan-Horse. Welcher es ist, kann er auch nicht sagen. Ikarus sagt was anderes. Man muss richtig lesen.
http://www.threatexpert.com/threats/trojan-win32-bumat-rts.html
Trojan:Win32/Bumat!rts [Microsoft] is also known as: Der Trojan Burmat ist bekannt auch unter dieser Alias.
Gruss
Sascha
P.S. Der Security von MS arbeitet gut. Nur das ist ja der Springende Punkt. Seit MS das Patent gekriegt hat, laeuft halt alles anders.
