4. Was tun bei unterschiedlichen Virennamen und unterschiedlichen manuellen Anleitungen zum Entfernen des Virus?

Was tun bei unterschiedlichen Virennamen und unterschiedlichen manuellen Anleitungen zum Entfernen des Virus?

  • ?

    Ich habe hier eine Datei gescannt.

    10 von ca. 30 Antivierensoftwareprogrammen haben in der Datei einen Schadcode gefunden. Angeblich soll es ein Trojaner sein.

    Natürlich benennt jeder Antivirensoftwarehersteller diesen Schadcode anders.
    So weit so gut, unterschiedliche Namen müßte ja dennoch immer noch zur gleichen Anleitung führen, wie man ein befallenes System von diesem Virus manuell entfernt.

    Z.b. gleiche Registry Einträge usw.

    Tja, nur ist es jetzt so, dass z.B. das Microsoft Malware Detection Center eine Anleitung zum Entfernen dieses Virus anbietet.
    Aber auf der gleichen Seite mit der Anleitungen stehen auch noch Hinweise dabei,
    die aufzeigen, unter welchem Namen die anderen Antivirensoftawreprogramme diesen Schadecode führen.

    Vergleicht man nun aber den Schadcodenamen für das Antivirenprogramm von Avira, welches auf dieser Seite gelistet ist, mit dem eigentlichen Schadcodenamen von Avira auf der Webseite, auf der ich mit dutzenden Antivirenprogrammen diese Datei gescannt habe, dann ist der Name plötzlich unterschiedlich.

    Aber das ist noch nicht alles. Geht man jedem einzelner Schadcodebezeichnung nach, dann findet man auch völlig unterschiedliche Anleitungen den Virus zu entfernen.

    Bei der einen Anleitung wird z.b. gesagt, das der Virus einen svghost.exe Eintrag im Pfad xy der Registre anlegt und bei der anderen Anleitung wird gesagt, das der Virus einen Eintrag mit Namen XTray.exe irgendwo in der Registry anlegt.

    Wäre es der gleiche Virus, dann müßten doch beide Anleitungen die gleichen Registrieeinträge aufzeigen.

    Wie soll man da eigentlich Viren vernünftig entfernen können, wenn es gar keinen internationelen Standard für die Namenskennzeichnung von Schadsoftware und Standard Anleitungen gibt, diesen zu entfernen?

    Auch frage ich mich, wie man so als Nicht-Schadecodeforscher Malware von False Positives unterschieden soll?

    Bei einer Meldung von nur 10 von 30 Virenscannern wäre es nämlich auch möglich, das es sich nur um einen False Postiv handelt.

    Das wollte ich nun überprüfen, in dem ich in einer Virtuellen Maschine Windows installiere und dort den Schadecode ausführe.
    Echter Schadecode müßte dann sein unwesen treiben und z.b. die Registrieeinträge erstellen.

    Wie soll man die aber nun überprüfen, wenn jeder Antivirensoftware gänzlich andere Entfernungsroutinen und somit Anleitungen zum Nachgucken in der Registry anbietet, wo der Virus nach jeder verschiedenen Entfernungsanleitung völlig unterschiedliche Einträge erstellen soll?

    Man kann ja wohl kaum erwarten, dass man 30 verschiedene Anleitungen durchgeht und das alles prüft, und das auch noch bei Schadcode, der vom gleichen Antivirenhersteller laut Seiten von Dritten (also die MS Seite und die Scanseite) unter unterschiedlichem Namen geführt werden?

    So etwas ist doch echt ärgerlich.
    Warum einigen sich die Antivirenhersteller nicht auf eine internationale Kennzeichnung von Schadcode in einer Datenbank inkl. einer manuellen Entfernung dieses Schadcodes?

    0
  • ?

    Gibt es ein Programm mit dem man die Änderungen eines alten Registrie Abbild mit einer neuen Registrie vergleichen kann?

    Falls ja, dann könnte ich die Registrie ja zuerst sichern, dann diese verdächtige Datei ausführen und dann Anhand der Unterschiede in der Registrie feststellen,
    ob das überhaupt Schadcode ist.

    Idealerweise sollte es eines, das man auch auf einem anderen System, wie z.B. Linux ausführen kann. Wer weiß schon, ob es Viren gibt, die sich vor solchen Registrievergleichstools verbergen können?
    Daher wäre es sinnvoll, wenn ich den Vergleich dann unter Linux machen kann.

    Könnt ihr mir da irgendein Tool empfehlen, welches auch das Format der Windows Registrie versteht?

    0

  • Exportier' die Registry als Textfile, und nimm zum Vergleichen ein normales Diff-Tool.

    Wobei das Exportieren als Textfile vermutlich nur unter Windows möglich sein wird.
    Allerdings kannst du es trotzdem "offline" machen, also von einer anderen Windows Installation aus, während die Installation deren Registry du exportieren möchtest gerade nicht läuft.

    Dazu musst du nur die Hive-Files der "fremden" Registry in einem Sub-Key "einblenden". Wie das geht kannst du dir ergoogeln, der zuständige Menupunkt in "regedit" heisst "Load Hive...".

    Ich persönlich würde das ganze in einer VM machen, z.B. mit VirtualBox.

    0
  • ?

    hustbaer schrieb:

    Exportier' die Registry als Textfile, und nimm zum Vergleichen ein normales Diff-Tool.

    Wobei das Exportieren als Textfile vermutlich nur unter Windows möglich sein wird.
    Allerdings kannst du es trotzdem "offline" machen, also von einer anderen Windows Installation aus, während die Installation deren Registry du exportieren möchtest gerade nicht läuft.

    Dazu musst du nur die Hive-Files der "fremden" Registry in einem Sub-Key "einblenden". Wie das geht kannst du dir ergoogeln, der zuständige Menupunkt in "regedit" heisst "Load Hive...".

    Das ist ne gute Idee, werde ich mal machen.

    Ich persönlich würde das ganze in einer VM machen, z.B. mit VirtualBox.

    Ja, auf mein normales Windows System würde ich das Zeugs sicher nicht loslassen.
    Allerdings soll es inzwischen ja schon Schadecode geben, die merken, wenn sie in einer virtuellen Maschine laufen.
    Für solche Fälle hätte ich hier aber noch nen alten Drittrechner zur Verfügung. 😃

    0
  • ?

    Bezüglich der Virennamen und einer Standardisierung der Namen habe ich folgendes gefunden:

    http://www.wildlist.org/naming.htm

    Okay, das leuchtet alles ein.
    Aber ärgerlich ist, dass einige Antivirensoftwarehersteller ihre Aliase von doppelten Einträgen aus der Virendatenbank entfernen.

    Beispiel, in der Wildlist gibt es für den Schadcode:
    WL-e7e4c7a0840961ed8e563aa356f4d5a8-0

    einen passenden Alias bei Avira:
    Worm/Donked.A.1

    Siehe auf dieser Seite:
    http://www.avira.com/de/support-wildlist-details/wv_page/66

    Gibt man diesen aber in das Suchenfeld der Avira Hauseigenenschadcodedatenbank ein, dann wird er nicht gefunden.
    Das kann jeder hier selber testen:

    http://www.avira.com/de/support-virus-lab?sq=Worm%2FDonked.A.1

    Wie soll man da Informationen zu Schadcode finden können, wenn die Aliasnamen von doppelt Einträgen entfernt werden und die Suche dann ins Leere läuft?

    Außerdem stört es auch enorm, dass diese Liste:
    http://www.avira.com/de/support-wildlist-details

    Nicht als einfache Textdatei zum Download zur Verfügung steht.
    Denn offenbar stehen in dieser veralte Aliasnamen drin, mit dem Verweis auf die Wildlistbezeichnung.
    Würde man also diese Liste nach dem alten Aliasnamen absuchen können, dann hätte man wenigstens über die Wildlistbezeichnung eine Chance an weitere Informationen zu kommen, wenn schon bei Avira die ganzen alten Aliasnamen von Doppelteinträgen entfernt werden.

    0
  • ?

    Noch etwas entdeckt.

    Offenbar scheint Avira Humor zu haben:

    Spam-Emails:

    Bitte leiten Sie keine Spam-Emails an unsere Analyse-Systeme weiter. Spam ist Werbung, die keinen schädlichen Inhalt enthält.

    https://analysis.avira.com/de/submit

    😃

    0
  • ?

    Hm, das Avira Rescue System, eine Linux Live CD enhält einen Registry Editor für Windows, wie ich gerade feststellen konnte, allerdings funktioniert der nicht. 😞

    D.h. der stürtz beim Starten einfach ab.
    Mal schauen ob ich den von der Konsole aus starten kann, eventuell werden ein paar Fehlermeldungen angezeigt.

    Siehe:

    http://www.avira.com/files/support/FAQ_KB/DE/howto_avira_rescue_system_de.pdf

    0

  • Mein Tip: Infizierte Systeme setzt man am besten direkt neu auf und infizierte Dateien löscht man am besten so schnell wie nur irgendwie möglich...

    0
  • ?

    dot schrieb:

    Mein Tip: Infizierte Systeme setzt man am besten direkt neu auf und infizierte Dateien löscht man am besten so schnell wie nur irgendwie möglich...

    Klar, ist aber nicht das Thema hier.
    Einfach mal Thread lesen, dann weißt du worum's geht. 😃

    0
  • ?

    Schadcode schrieb:

    dot schrieb:

    Mein Tip: Infizierte Systeme setzt man am besten direkt neu auf und infizierte Dateien löscht man am besten so schnell wie nur irgendwie möglich...

    Klar, ist aber nicht das Thema hier.
    Einfach mal Thread lesen, dann weißt du worum's geht. 😃

    du willst einfach nur n bisschen rumfrickeln, darum geht es.
    stimmts oder hab ich recht?

    0
  • V

    Schadcode schrieb:

    Wäre es der gleiche Virus, dann müßten doch beide Anleitungen die gleichen Registrieeinträge aufzeigen.

    Ist es ja nicht.

    Logischerweise bauen Virenbauer ihre Viren so, daß es NICHT genau eine Exe-Datei gibt, die den Virus darstellt und man den mit der eindeutigen MD5-Summe der Exe-Datei sicher identifizieren könnte. Das war vor 30 Jahren. Damals hat die Virus-Exe einfach sich selbst über eine andere Exe kopiert, und wenn der Benutzer die andere aufrufen wollte, hat er dadurch aus Versehen die Virus-Exe aufgerufen, die hat eine weitere Exe infiziert und sich beendet. Der Benutzer hat sich gewundert. Komisch. MS-Word geht nicht mehr. Er hat aber noch Monate weiter mit dem Rechner gearbeitet, bis irgendwann eher gar nichts mehr ging. Und die Monate lang hat er noch fleißig auf Disketten den Virus verbreitet, wie ihm möglich war.

    Dann hatten langsam die Benutzer kapiert: Wenn auch nur ein einziges wichtiges Programm weg ist, könnte es an einem Virus liegen. Dann wird jemand aus dem Verwandtenkreis geholt, der Viren suchen kann. Die Virenprogrammierer rüsteten nach! Die haben die gute exe nur verschoben, haben sich selber hingelegt und bei Aufruf (wie immer) eine weitere exe infiziert (ausgetauscht und verschoben) und dann die verschobene aufgerufen. Dann gab es Virenscanner, die haben sich zu jeder Exe-Datei auf dem System die Größe gemerkt und beim nächsten Aufruf verglichen. Größenänderung => Virus!

    Die nächsten Viren haben die infizierte exe in der Größe gelassen! Haben nur ihren Code drübergeschrieben, reingeschrieben. Das war lange lange gut.

    Noch sind wie bei DOS 6

    Hat gereicht, daß MS selber zum Beispiel infizierte Windows-Disketten verkauft hat.

    Einige interessante und Trarige Entwicklungen zu dieser Zeit lasse ich mal aus.

    Also der Virus muss die infizierte Exe-Datei ändern und doch volle Funktionalität erhalten, damit der Benutzer nicht misstrausch wird. Dazu fügt er ein Stück Code ein, wo er auf eine andere versteckte Exe weiterspringt.

    Diesen Weiterspringcode kann man erkennen! Er ist ja immer gleich, bis auf den Dateinamen, wohin gesprungen wird. Es werden Virenscanner verkauft, die auf so Code überprüfen.

    Und dann geschah es!
    Retroviren, die schalten einfach das Virenschutzprogramm ab.
    Polymorphe Viren, die schreiben jedesmal leicht anderen Code.
    Stealth-Viren, die hauen einen Treiber unters Betriebssystem, der sie selber versteckt.

    Insbesondere die polymorphe Viren sind eine Pest, was die Virenerkennung angeht. Der Kumpel kann ja, wenn er schlau ist, voll komplett anderen Assemblercode mit de, gleichen Zweck bauen jedesmal. Das Virenschutzprogramm kann kaum alle Kombinationen speichern. Auch kaum alle finden. Muss sich auf Heuristiken verlassen. Supi schlaue Leute von den Virenschutzfirmen stellen Regeln auf, woran man diesen Virus im Exe-Code höchst wahrscheinlich meistens erkennt. Und sie sind unglaublich gut darin, keine false negatives zu machen und kaum false positives.

    Naja, so mancher Scanner hat mich schon schlimm geärgert, nur weil ich mal GetAsyncKeystate oder so in einer eigenen Anwendung einbauen wollte. Gut, als Entwickler kann ich es auf meinem Rechner ausmachen. Aber in Kleinserie das an die Kunden zu bringen, schon ärgerlich. Das sind dann die "Heuristiken", die man beim Virenscanner einschalten kann. Wer GetAsyncKeystate benutzt, ist ein Keylogger oder steht auf der Whitelist.

    Im Zuge, konkrete Viren zu erkennen, die aber jedesmal in der exe doch anders aussehen, müssen die Virenerkenner leider Kompromisse eingehen. Egal, wie sie ihren Assemblercode jedesmal umschreiben, sie werden doch bestimmte kritische Win-API-Funktionen aufrufen, bestimmte Registry-Keys ändern, bestimmte Thread-Flags abfragen, damit kriegt man sie, und erkennt sie automatisiert als Virus, naja, recht gut halt. Der andere Virus benutzt aber auch diese Techniken alle, um zum Beispiel Admin-Rechte zu kriegen, aber setzt als Keimling sich wo ganz anders ab. Supi supi supi, daß beide erkannt werden als Virus, weil sie sich so schäbig die Admin-Rechte ergaunern.
    Nu kann aber nicht noch verlangt werden, dass der Virenscanner die konkreten Viren immer unterscheiden kann. Das zu verlangen, würde dazu führen, dass viel weniger Viren überhaupt erkannt werden würden.

    Also Du hast stets damit zu leben, daß positives korrkete positives sind, aber nicht genau erkannt werden kann, welcher Virus das genau war. Dazu schreiben die Virenscannerseiten doch genau, was der Virus macht, den sie unter Verdacht haben.

    Bei der einen Anleitung wird z.b. gesagt, das der Virus einen svghost.exe Eintrag im Pfad xy der Registre anlegt und bei der anderen Anleitung wird gesagt, das der Virus einen Eintrag mit Namen XTray.exe irgendwo in der Registry anlegt.

    Daran erkennst Du, welcher genau es ist.

    Aber aus Erfahrung sage ich mal, die Seiten sagen 30%, was wirklich passierte. Die finden nur die alten und die Großen. Ich hatte im letzten Jahr etliche Verwandte und Freunde mit dem "Bundestrojaner"-Virus. Der Benutzer bekam einen Login-Screen, wo er 100€ oder so zahlen musst, um seinen Rechner wiederzubekommen. Einer davon wurde vorher von Avira gemeldet, Avira und der Virus zankten sich kurz, dann war Avira aus. Anfange benutze ich noch Offline-Virenscanner. Kein einziger der Viren entsprach genau dem, den der Virenscanner gemeldte hatte.

    Später machte ich nur noch mit einer Boot-CD den Zugriff auf den Taskmanager auf und löschte ein paar dubiose Autostart-Dinge aus der Registry. Wenn nach dem Reboot der Taskmanager wieder geht, ist der Virus (zwar noch irgendwo auf der Platte) inaktiv.

    0
  • S

    Ich frage mich allerdings, was das ganze Tohuwabohu mit Viren eigentlich soll.

    Ich hatte in den letzten 4-5 Jahren (anders gesagt, seit ich einen eigenen PC habe) nie einen Virus. Wie bekommt man die Dinger eigentlich? Ich höre öfters von Leuten, die auch Windows wieder neu aufspielen müssen, weil der Virus ihnen den PC zerschossen hat (Bluescreen und so), dabei passiert mir so etwas buchstäblich nie.

    0
  • ?

    Sone schrieb:

    Ich frage mich allerdings, was das ganze Tohuwabohu mit Viren eigentlich soll.

    Ich hatte in den letzten 4-5 Jahren (anders gesagt, seit ich einen eigenen PC habe) nie einen Virus. Wie bekommt man die Dinger eigentlich? Ich höre öfters von Leuten, die auch Windows wieder neu aufspielen müssen, weil der Virus ihnen den PC zerschossen hat (Bluescreen und so), dabei passiert mir so etwas buchstäblich nie.

    Das geht heutzutage ganz einfach. Es reicht im Internet zu surfen, oder z.B. sich ein Video auf youtube anzugucken. Die Viren verbreiten sich über Sicherheitslücken im Brower oder Flash-Player. Und wer guckt schon jeden Tag, ob es da ein Update gibt?

    Wenn du keine Viren hast surfst du entweder immer nur auf den gleichen, vertrauenswürdigen Seiten und recherschierst nie etwas im Netz. Oder du hast es noch nicht gemerkt, dass du viren hast ;-). Ein guter Virus tötet seinen Wirt nicht.

    0
  • S

    Ein guter Virus tötet seinen Wirt nicht.

    Das ist mir durchaus klar. Aber Keylogger und Spione werden vom Antivirenprogramm aufgespürt... in den meisten Fällen.

    Und wer guckt schon jeden Tag, ob es da ein Update gibt?

    Chrome macht silent updates. Dazu gehört auch sein (Pepper-based) Flash Player. Das heißt, Exploits dürften wohl weniger eine Ursache bei mir sein.

    Dazu downloade ich nie unbekannte PEs von nicht vertrauenswürdigen Seiten. Nur halbwegs bekannte Softwares von ihren Websites (oder von Chip).

    Wenn du keine Viren hast surfst du entweder immer nur auf den gleichen, vertrauenswürdigen Seiten und recherschierst nie etwas im Netz.

    Ich bin auch schon oft auf nicht vertrauenswürdigen Seiten gewesen.

    Das sind dann die "Heuristiken", die man beim Virenscanner einschalten kann. Wer GetAsyncKeystate benutzt, ist ein Keylogger oder steht auf der Whitelist.

    Jup, genauso war es bei mir auch.

    0
  • V

    Sone schrieb:

    Ich hatte in den letzten 4-5 Jahren (anders gesagt, seit ich einen eigenen PC habe) nie einen Virus. Wie bekommt man die Dinger eigentlich?

    Am Wichtigsten: Benutze ein Win-XP bei dem das automatische Update abgeschaltet ist, weil mam es ohne Seiriennummer geklauft hat oder weil man Angst vor dem Bundestrojaner hat.
    Auch sehr gut: Lege keinen eingeschränkten Benutzer für die Tägliche Arbeit an, sondern mache alles als Admin.
    Und zuguterletzt: Öffne jede wichtige Mail, die vergessene Rechnung, die Mahnung, die Abmahnung, die Virenschutzwarnung, alles halt.

    An die Sicherheitslückenhypothese vom Inselbewohner glaube ich hingegen nicht. Sonst müßte es mich regelmäßig erwichen, tut es aber nicht. Kein Virenscanner installiert. Ja, ist mir klar, er behauptet jetzt, ich hätte Viren. Da gehts aber ins Esoterische.

    0
  • S

    Öffne jede wichtige Mail, die vergessene Rechnung, die Mahnung, die Abmahnung, die Virenschutzwarnung, alles halt.

    Bei mir kommt sowas praktisch wöchentlich vor. (Damit beziehe ich mich auf die Spam-Mails)

    Lege keinen eingeschränkten Benutzer für die Tägliche Arbeit an, sondern mache alles als Admin.

    Das ist tatsächlich der Punkt, an dem ich mich outen muss. Allerdings habe ich Comodo installiert, daher relativiert sich das.

    0
  • V

    Sone schrieb:

    Lege keinen eingeschränkten Benutzer für die Tägliche Arbeit an, sondern mache alles als Admin.

    Das ist tatsächlich der Punkt, an dem ich mich outen muss. Allerdings habe ich Comodo installiert, daher relativiert sich das.

    Das verhindert aber nur, daß Deine Viren/Würmer/Trojaner andere Rechner anstecken, oder?

    0
  • S

    volkard schrieb:

    Sone schrieb:

    Lege keinen eingeschränkten Benutzer für die Tägliche Arbeit an, sondern mache alles als Admin.

    Das ist tatsächlich der Punkt, an dem ich mich outen muss. Allerdings habe ich Comodo installiert, daher relativiert sich das.

    Das verhindert aber nur, daß Deine Viren/Würmer/Trojaner andere Rechner anstecken, oder?

    Moment mal, wenn Comodo einen Virus bemerkt, dann tut er das doch sicher, bevor dieser signifikanten Schaden anrichten kann?

    Auf Linux habe ich kein Antiviren-Programm, bin aber auch immer als normaler User angemeldet (in der Wheels-Gruppe)...

    0
  • V

    Sone schrieb:

    Moment mal, wenn Comodo einen Virus bemerkt, dann tut er das doch sicher, bevor dieser signifikanten Schaden anrichten kann?

    Stimmt. Hatte irgendwie in erinnerung, comodo sei nur eine Firewall.
    Ist aber ein echter Virenschutzt.
    http://www.av-test.org/tests/privatanwender/windows-8/janfeb-2013/

    0
Anmelden zum Antworten