Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

TDL-4 mit Bootsektor-Malware - Botnetz unzerstörbar?

Olaf19 am 02.07.2011, 12:37 / 7 Antworten / Baumansicht

Hallo zusammen!

Da können einem wirklich die Schuhe zu eng werden, wenn man so etwas liest: http://www.stern.de/digital/online/gefaehrliches-bot-netzwerk-tdl-4-es-ist-praktisch-unzerstoerbar-1701583.html

Es wäre ja ein Leichtes, seinen eigenen Rechner aus dem Botnetz auszuklinken, wenn man denn wüsste, dass man dabei ist. "FIXMBR" von der Wiederherstellungkonsole einer beliebigen Windows-CD würde es schon richten. Aber in der gleichen Zeit, in der Rechner neu aufgesetzt werden und damit wieder sauber sind, kommen mindestens so viele neu infizierte dazu.

Na, schauen wir mal... wie sagt Schadsoftware-Experte Roger Grimes am Ende des Artikel: "Die Guten werden siegen" - sein Wort in Gottes Gehörgängen.

FYI
Olaf

    
        Maybe Olaf19 „TDL-4 mit Bootsektor-Malware - Botnetz unzerstörbar?“
      
        02.07.2011, 14:08 Optionen
      
          Moin Olaf,

          das siehst Du jetzt aber ein wenig zu ernst! Wenn man Dich das nächste mal fragt, ob man Teil einer Community ist, kann man wenigstens sagen, man ist Teil vom Botnetz xyz (z.B. Zeus)! ;-)

          Ein PC-Führerschein wäre manchmal schon angebracht, damit meine ich aber nicht den ECDL!

          Von Seiten der Botnetz-Betreiber ist es schon eine klevere Sache, wenn man die verfügbare Rechenleistung und Kapazität sieht.

          Gruß

          Maybe

         "Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
      
             bei Antwort benachrichtigen
        
        Olaf19 Maybe „Moin Olaf, das siehst Du jetzt aber ein wenig zu ernst! Wenn man Dich das...“
      
        02.07.2011, 14:23 Optionen
      
          *LOL*... das Botnetz als Konkurrent zu Facebook, Twitter oder neuerdings Google+ - das ist doch mal ne ganz andere Perspektive :-D

          Ja, clever sind diese Leute, das muss man ihnen lassen. Jetzt auch noch Peer-2-Peer-Technik, somit komplett dezentralisiert - es hat schon seinen Grund, dass die Pessimisten unter uns das ganze Konstrukt als "unkaputtbar" erachten.

          Ein PC-Führerschein wäre manchmal schon angebracht, damit meine ich aber nicht den ECDL!

          Gut, dass du den letzten Halbsatz noch hinzugefügt hast ;-)

          CU

          Olaf
        
         Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
      
             bei Antwort benachrichtigen
        
        REPI Olaf19 „TDL-4 mit Bootsektor-Malware - Botnetz unzerstörbar?“
      
        03.07.2011, 16:56 Optionen
      
          Den Bootsektor zu infizieren ist die eine Seite. Dazu muss doch wohl irgendeinem Programmteil unter einem laufenden Betriebssystem dies ausführen! Welche Betriebssysteme sind denn betroffen? Wird die MBR Infektion eventuell von einem Script via Browser ausgeführt? Auch gibt es doch diverse Bios Versionen, die das Verändern des prinzipiell MBR verhindern!
        
         Es empfiehlt sich immer, etwas Linux im Hause zu haben.
      
             bei Antwort benachrichtigen
        
        Olaf19 REPI „Den Bootsektor zu infizieren ist die eine Seite. Dazu muss doch wohl irgendeinem...“
      
        03.07.2011, 22:53 Optionen
      
          HI repi, dieser Punkt ist auch mir nicht klar:

          Dazu muss doch wohl irgendeinem Programmteil unter einem laufenden Betriebssystem dies ausführen!

          - leider habe ich dazu nichts endgültig Beantwortendes gefunden, vielleicht weiß von den anderen noch jemand Rat. Dieser Thread hier ist ganz interessant:

          http://extreme.pcgameshardware.de/kommentare-zu-internet-und-netzwerk/162595-botnetzwerk-tdl-4-unzerstoerbar-raffiniert-dezentralisiert.html

          - nur wird mir aus den Antworten nicht klar, auf welchem Wege der Virus im MBR zum Leben erweckt wird.

          CU

          Olaf
        
         Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
      
             bei Antwort benachrichtigen
        
        REPI Olaf19 „HI repi, dieser Punkt ist auch mir nicht klar: - leider habe ich dazu nichts...“
      
        04.07.2011, 12:44 Optionen
      
          Hallo Olaf!

          Hier mal was Prinzipielles zu Bootsektorvieren: http://de.wikipedia.org/wiki/Bootvirus

          Schon zu Diskettenzeiten vor 10 und mehr Jahren, gab es Bootsektorvieren, die beim Booten, noch vor dem Start des eigentlichen BS in den RAM geladen wurden und von dort sich vermehrten und ihr Unwesen trieben. Damals wurde dann beim Einlegen einer Diskette, welche diesen Virus trug, auch der MBR der HD verseucht und dann alle weiteren "unverseuchten" Disketten, welcher im Rechner benutzt wurden.

          Soweit damals. Heute nmuss das Grobzeug ja wohl über das Internet kommen und somit einen Binärcode installieren, welcher die Verseuchung des MBR vornimmt. Diese erste Installation des Schädlings in den MBR muss ja von irgendeinem BS unterstützt werden. Hier nur Windows oder andere BS auch? Desweiteren wird ja wohl das kleine Stück Binärcode, welches sich im MBR unterbringen lässt noch weitere Programmteile aus dem Internet nachladen müssen und diese auf der HD ablegen, um überhaupt was bewirken zu können. Welche BS sind denn nun davon betroffen?

          Gruß

          repi

         Es empfiehlt sich immer, etwas Linux im Hause zu haben.
      
             bei Antwort benachrichtigen
        
        Olaf19 REPI „Hallo Olaf! Hier mal was Prinzipielles zu Bootsektorvieren:...“
      
        05.07.2011, 00:12 Optionen
      
          Wenn es tatsächlich so ist, dass auf dem eigentlichen Betriebssystem noch ein Trojaner o.ä. Malware herumwerkeln muss, damit der im Bootsektor gespeicherte Code zum Leben erweckt werden kann, dann wird wohl nur das System betroffen sein, das die allermeisten User hat - also wieder Windows.

          Aber vielleicht meldet sich noch jemand, der dazu einen genaueren Background hat.

          CU

          Olaf
        
         Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
      
             bei Antwort benachrichtigen
        
        REPI Olaf19 „Wenn es tatsächlich so ist, dass auf dem eigentlichen Betriebssystem noch ein...“
      
        05.07.2011, 08:53 Optionen
      
          Eine eindeutige BS Aussage konnte ich noch nicht finden. Um das Teil in den MBR zu hieven, benötigt es aber einen s.g. TDL-4 Installer und der scheint für Windows BS zu sein! Was sonst! Bei einem Standardlinux würde der Installer mit großer Wahrscheinlichkeit schon an den Benutzerrechten scheitern, insofern man nicht mit root-Rechten surft. Auch sollte doch bei einem Windows 7 zumindest vom BS eine Warnung kommen, wenn der Installer aktiv werden will. Jedenfalls bin ich das bei meinen virtuellen W7 Maschinen so gewöhnt, wenn ich dort was installieren will?
        
         Es empfiehlt sich immer, etwas Linux im Hause zu haben.
      
             bei Antwort benachrichtigen