Warum man bei Infektionen den Rechner neu installieren sollte

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von spotting, 26. August 2010 .

Schlagworte:
  1. 3. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Woher weiss man denn, ob die Datei, welche die Infektion ausgelöst hat kein Dropper war, der eben noch ein herkömmliches Rootkit (x86) oder Bootkit (x64) mitinstalliert, den Nutzer dann aber "in Sicherheit wiegt", indem dieser eine Malware vorgesetzt bekommt, die so ziemlich jedes AV erkennt?
    Die allermeisten User denken dann folgendes:
    "Puh, da hab ich aber grad nochmal Schwein gehabt, dass mein AV den Virus vor Exekution gefunden hat"
    Das wäre dann natürlich nur die halbe Wahrheit, denn die versteckte Malware, die darauf getrimmt ist, nicht erkannt zu werden, wird ja immer noch installiert...
    Ein Rechner ist ab dem Zeitpunkt der möglichen Kompromittierung nicht mehr als vertrauenswürdig einzustufen!
    Ein von mir beschriebenes Szenario ist nicht, wie einige hier wieder behaupten werden, unwahrscheinlich, sondern setzt nur ein gewisses Maß an Gerissenheit voraus.

    Mfg
    TuXiFiED
     
  2. 3. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Rootkits kann man inzwischen auch sehr gut erkennen, davon abgesehen sind die neuen Windows Kernel in der Hinsicht wesentlich sicherer. Bootkits kommen noch nicht zum Einsatz, zeig mir einen Fall, wo sich ein Virus mit Bootkit spreadet. Bei x64 bist du da auf ner ziemlich sicheren Seite (hier geht es übrigens wieder mit den Bedingungen für die Situationen los.)

    Das ist wieder so ein Gedankenspiel, das in der Realität tatsächlich noch auf viele Hindernisse stößt, aber in der Theorie leicht möglich scheint.

    Ich werde dazu auch erstmal nichts mehr schreiben. Das konnte ich allerdings nicht so stehen lassen.


    //
    Splifftastic gegen Rec-Z ist btw viel epischer (08)
     
  3. 3. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ach nein ?
    Was ist dann das hier ?
    Das Bootkit haben wir schon, nen Binder zu coden und irgend ne 0815-Malware daran zu binden ist für nen Coder wie den, der das dort gecodet hat wohl ein Witz...

    Mfg
    TuXiFiED
     
  4. 3. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ok, ihr seid alles so wahnsinns Theoretiker. (Bis auf Alex², der sieht die Dinge realistisch).

    Was mache ich denn, wenn ich ein BootKit habe, dazu ein FUD rootkit und nen Virus der mir es unmöglich macht , etwas auszuführen? Sollte ich dann Windows installieren? Aber was ist, wenn das BootKit mir den Plan vereitelt? Sollte ich mir dann ne neue HDD holen?

    Was ist, wenn das FBI oder die CIA meinen PC überwacht? Sollte ich dann umziehen oder doch lieber nen neuen Provider zulegen?

    Ihr diskutiert hier Fälle, die einer SinnFlut gleichkommen.
    Wieso net gleich den PC ins Feuer werfen und hoffen, das die Hexe aus meinem PC entweicht?

    Bleibt doch mal Sachlich und stellt net so scheiß Theorieren auf, von wegen BootKit + RootKit + Virus + Alles FUD.... -.-
     
  5. 3. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    So, dann mal eine kurze Lehrstunde für dich:

    Nur weil ein Rootkit auf x64 läuft macht es dies nicht automatisch zum Bootkit (von denen ich Sprach, die nicht zum Einsatz kommen.)
    Davon abgesehen ist die Menge dieser Rootkits verschwindend gering.

    Ich zitiere aus dem Artikel:

    Achja und hier ist der Hammer *hust*: Es gibt bereits removal Tools dazu:

    Anti-rootkit utility TDSSKiller


    Ihr habt einfach garkeine Vorstellung von den Dingen die im Umlauf sind. Sobald es irgendwas neues gibt, geht ihr davon aus, dass jeder Schädling das automatisch einsetzt. Dies ist nicht der Fall!

    Bei gezielten Angriffen ist das kein Thema, aber nicht bei Malware, die Flächen decken soll. Und wenn etwas raus kommt, das tatsächlich Flächen deckt, wird sehr schnell dagegen vorgegangen.
     
  6. 3. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Dann hast du aber den Artikel nicht komplett gelesen, dass Rootkit != Bootkit ist ist mir durchaus bewusst:
    Die Tatsache, dass es Removal-Tools gibt hilft dir nur dann, wenn du weisst, dass du infiziert bist...
    Ansonsten hilft dir das recht wenig.
    Zudem ist das Bootkit noch im Beta-Stadium, was meinst du was der Autor damit macht, wenn es fertig ist?
    Richtig - er verkauft mit 99,9%-tiger Wahrscheinlichkeit private Versionen, die dann FUD sind.

    Woher willst du denn ganz genau wissen, ob die Infektion nun durch eine flächendeckend eingesetzte Malware oder eine individuell angepasste geschieht?
    Wie gesagt, wo ein Wille ist - da ist auch ein Weg.

    mfg
    TuXiFiED
     
  7. 3. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Wenn es diese Tools gibt, werden auch die Datenbanken der AVs dementsprechend aktualisiert...


    Wer hat Interesse daran, dir so was gezielt zu verpassen? Wir reden hier über den normalen User der keine Feinde hat o.ä. 99% der Maleware, die an den Mann gebracht wird ist darauf auslegent möglichst viele Leute zu erwischen.

    Leute die sowas programmieren sind nicht in der 1337Crew :lol: Das läuft ein wenig anders. Und selbst wenn, diese Versionen werden auch direkt wieder erkannt, wenn sie in hohem Maß gespreadet werden.

    Beweg dich ins Jabber, wenns dich wirklich interessiert. Das hier ist mir zu anstrengend. Besser noch TS.
     
  8. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Der Sinn dahinter ist, den halbaufmerksamen ungebildeten Benutzer in Sicherheit zu wägen.
    Und
    Es ist nicht die Information bekannt, ob genau diese Malware auch die Infektion ausgelöst hat.

    Und auch du hast einen Fehler, denn du unterstellst, dass die Antivirensoftware JEDE Malware auch finden kann. Dass aber eine gewisse Zeitspanne zwischen Der Verbreitung der Malware und dem Anpassen der Signaturendatenbanken besteht scheint dir nicht bewusst zu sein.
    genausowenig, dass die Malware auch die Möglichkeit hat in einem kompromitierten System

    Aber nach deiner Definition suchst du gar nicht danach.


    1. Festplatte Formatieren in einer Umgebung, die nicht Code, der auf der Festplatte ausgeführt wird nicht geladen werden kann.
    2. Woher willst du wissen, dass die CIA oder FBI deinene PC überwacht? Was hast du möglicherweise angestellt, dass die auf genau dich aufmerksam geworden sind


    Und Thema sachlich bleiben.

    JA - es gibt eine einzige Situation. - die in der Realität bei JEDEM Virus, bei JEDEM Rootkit, Dropper, Trojaner ... etc. der in Umlauf kommt auch eingetreten ist.
    Zwischen Verbreitung und Entdeckung gab es einen Zeitraum, in dem niemand außer dem Bastler diese Malware kennt. Wenn eine Malware, die zu diesem Zeitpunkt nicht bekannt ist euren PC infiziert habt ihr keine Chance. Jetzt kommt 5 Tage später ein Sicherheitsupdate und ein Signaturenupdate.

    Alex.
    Du hast den Namen "Joanna Rutkowska" in die Runde geworfen. Ziemlich am Anfang.
    Das Mädel bietet inzwischen auch eine Sicherheitslösung dafür an. Das Prinzip ist einfach.

    Grundsätzlich ALLES mit dem der Benutzer interagiert oder mit dem das Internet interagiert wird in einer sicheren virtuellen Umgebung gestartet und bleibt auch in dieser umgebung. Keine direkte Verbindung zwischen dem System und dem Code innerhalb der VM. Ist der Verdacht groß, dass das System infiziert ist, empfiehlt sich das "neu installieren" der entsprechenden virutellen maschine.

    und nicht nur das. Microsoft scheint - ersten Roadmaps zufolge - den gleichen weg mit Windows 8 zu gehen.

    Ihr wollt also jetzt behaupten Dinge zu können, von denen Microsoft sagt, dass Sie auf einem Windows System nicht möglich sind und von denen Große Namen wie die Joanna schon Ein Prinzip aufzeigen, in dem die von euch abgelehnte Vorgehensweise der von euch genutzten alternative - die keine ist - vorgezogen wird?
     
  9. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Es geht hier nicht um spezial Fälle mit aber was wäre wenn.

    Außerdem wenn der Coder in der Lage ist die AV so auszutricksen bzw. seine Malware zu stealthen, dass diese ihn gar nicht erkennt, dann hat er es nicht nötig die AV mit falsch Informationen zu beliefern, damit der User verdacht schöpft. Der Coder versucht um allen Preis unentdeckt zu arbeiten.

    Ich nehme mal an, wenn dir ein Kumpel ein Scherz-Virus sendet und deine AV-Alarm schlägt, dann formatierst du dein Rechner sofort danach.



    Außerdem willst du mir jetzt klar machen, dass alle Malware auf der Welt nicht entfernbar ist?


    Also ist der Satz:
    fachlich gesehen einfach nur falsch.

    Bzw. Frage ich mich, ob der Autor beim formulieren dieses Satz besoffen war.


    Grüße
    Kirill
     
  10. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Doch, es geht in gewisser Weise schon um das was wäre wenn. Denn es geht um das ausschließen des was wäre wenn. Ihr sagt - das ist in den meisten Fällen nicht so. Dann wäre in den meisten Fällen ein Formatieren wirklich nicht notwendig. Aber Was wäre wenn. Was ist jetzt mit diesem einen 10 Fall oder diesem einen 100 Fall in dem nicht alles gefunden wurde. Dann wäre ein Neuinstallieren notwendig, aber ihr erkennt es nicht. Könnt es nicht erkennen. Das Konzept, dieser Removal Programme ist damit schon im Ansatz gescheitert. Und damit auch eure Versuche einen Infizierten Computer zu bereinigen.


    Und unter genau diesem Gesichtspunkt ist der Satz Kirill absolut richtig. Genau so wie er da steht. Aber mit dem Tunnelblick, den du ansetzt wirst du es wohl nie verstehen.
     
  11. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Für Anfänger mag der Satz stimmen bzw. ist er zu empfehlen. Aber sag das mal einem Computer-Geek, der lacht sich darüber nur kaputt.

    Wenn du dir jetzt mal "Eicar" runter lädst, dann formatierst du den PC gleich danach?


    Mir ist durchaus bewusst was du damit aussagen willst, aber es gibt Situationen, wo man mit Sicherheit sagen kann, dass der Rechner nicht infiziert worden ist (auch wenn dies in der Regel weniger auftritt).

    Bsp.:
    Ich sende dir jetzt "EICAR". So nun weiß du nicht, ob ich daran was modifiziert habe. Also würde ich an deiner stelle den MD5-Hash der gesendeten ".exe" und der originalen ".exe" von der "EICAR" Webseite vergleichen.

    Fall1:
    Hash ist gleich. Also brauchst du nicht formatieren

    Fall2:
    Hash ist nicht gleich. Dann Rechner formatieren.

    Fall3:
    Hash ist nicht gleich. Man ist ein Geek und nimmt die ".exe" auseinander und schaut sich an was das Ding macht bzw. führt die ".exe" wieder in einer VM aus. Diese VM ist total überwacht und protokolliert alles. Wenn man dann herausbekommt was das Ding macht und es wieder rückgängig machen kann, dann ist alles ok.


    Es kommt von Fall zu Fall drauf an. Aber im Fall1 hat man sich ein Format erspart. Und da viele wie im Fall3 nicht in der Lage sind so eine Analyse durchzuführen, dann würde ich auch jedem zu Fall2 empfehlen.

    Darum geht es mir.

    Grüße
    Kirill
     
  12. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    FALSCH

    Ich führe deine Eicar.exe gar nicht erst aus. Auch wenn ich dir vertraue, ich führe Sie nicht aus.

    Denn - Fall 1 und Fall 2 haben den Nachteil, dass man die Eicar.exe nicht braucht. Und Fall 3 weiß, dass man diese Dateien nicht ausführt - nicht im Produktivsystem ausführt. Vielleicht in einer Virtuellen Umgebung. Du hast also die falschen Angaben in deiner Theorie zu Grunde gesetzt.

    Denn - wenn man das Testfile wirklich brauchen würde, nimmt man gleich das Original von der Webseite.

    Ach und bytheway
    Kannst du mir bitte auf der Webseite den MD5 Hashwert für die Eicar.exe geben?
     
  13. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Achso auf einmal sind wir bei dem Thema: Wie man eine Infektion verhindert? Wusste ich gar nicht. Ich dachte wir sind beim Thema: "Warum man bei Infektionen den Rechner neu installieren sollte...". Da ist es ja egal wie "EICAR" auf dein Rechner gekommen ist. Wir gehen ja von einer Infektion aus.

    Das ein Fachmann so was in seiner Produktivumgebung nicht startet, ist klar. Ich könnte dir aber trotzdem Beispiele nennen, wie du "EICAR" von mir auf dein Rechner bekommst, aber das ist nun mal nicht das Thema. Wie gesagt wir gehen von einer Infektion aus, sei es "EICAR" im original oder eine modifizierte.

    Nun stellt sich halt die Frage, ob original oder nicht, ob Format oder nicht.

    Ich habe dir Beispiele genannt, wie man es herausfindet und wo sich ein Format lohnt oder nicht.


    Hier der Hash:

    44d88612fea8a8f36de82e1278abb02f


    Grüße
    Kirill
     
  14. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Äh - jetzt bin ich etwas verwirrt ... das ist also der Hash einer EICAR.EXE? Kannst du bitte diesen Hash mit einer Quellenangabe Verifizieren? Welche Version? Wo geladen? Wo steht der Hash?

    Denn - Das Eicar Testfile wir im Original nicht in einer EXE Version angeboten. Es gibt diesen Textstring in 4 Versionen.

    .txt / .com / .zip / die .zip innerhalb einer .zip

    Keinen in einer EXE Version. Ein GEEK wüsste das. Ein GEEK würde da stutzig werden.

    Und jetzt unterstellen wir einmal, dass es sich bei der Eicar.exe tatsächlich um eine Malware handelt. Du diese Malware ausführst und hinterher stutzig wirst, weil dein Antivirenprogramm die Eicar.exe als "Eicar TEST Virus File - not a Virus" meldet.

    Jetzt gehst du hin und schaust dir im Antiviruscontainer die Datei nocheinmal an - vergleichst den Hashwert und stellst fest, jo es passt. das ist wirklich die Eicar Test Datei. Denn was ist passiert?

    Die Malware - diese falsche Eicar.exe hatte zwei Aufgaben.

    1. Errichte auf dem betroffenen PC einen Remote Zugriff
    2. Ändere den Dateianhang der Email - lösche den ursprünglichen Dateianhang und speichere die bekannte Eicar.exe / oder Eicar.txt als neuen Dateianhang.

    Fazit - du bist deinem Kumpel tierisch auf den Leim gegangen.
    Dabei ist es egal, ob es sich hierbei um eine eigentlich harmlose eicar.exe handelt oder um einen 10 Jahre alten Wurm.
     
  15. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ihr könnt doch nichts posten, wenn ich noch am schlafen bin. Wie soll ich die Diskussion so verfolgen

    Eben genau das könnte aber auch nicht der Fall sein. Du gehst aber immer davon aus, dass der "worst-case" eintrifft. Es ist potentiell keine schlechte Sache so zu denken, allerdings bewegt sich das weit weg von jedem Realismus.

    Das habe ich nie geschrieben. Oder welchen teil meiner Argumentation reißt du gerade auf dem Zusammenhang?

    Richtig, aber genau da liegt mein Punkt. Wegen einer möglichen Situation (die sehr selten bis gar nicht eintrifft) pauschal jedem eine Neuinstallation aufzudrücken ist in meinen Augen Schwachsinn.

    Ja, hatte ich. Und zwar um zu belegen, dass eine reine Neuinstallation des OS dich in manchen Fällen nicht weiter bringt und hier ein Zitat von dir:

    Du verlangst das von mir, aber sobald es deine Argumentation stützt enthält jeder Virus ein Bootkit? Dieses Zitat von dir, gibt sehr gut meinen Standpunkt wieder (was zeigt, dass du zumindest Ansatzweise eine grobe Idee hast wovon ich rede).

    Richtig, das neu installieren der virutellen Maschine nicht des ganzen Systems. Das unterstützt mehr meinen "Virus-Entfernen"-Standpunkt als deinen "Alles platt machen"-Standpunkt. Hier wird dann ein Teil gesäubert (entfernt) und NICHT alles entfernt.

    Diesen Absatz verstehe ich absolut nicht, da weder ich (noch irgendein anderer) das jemals behauptet hat. Und das Entfernen ist nicht unmöglich, sondern nur die anschließende Erfolgskontrolle (und das nur bedingt, wie du selber sagtest -> Vergleichssystem)

    Wenn du nun Antwortest bitte ich dich auf _jeden_ der Punkte einzugehen und nicht (wie du es oft tust) die Hälfte übergehst.
     
  16. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Der frühe Vogel fängt den Wurm


    Ich zitiere mich dazu mal selbst:



    Nicht direkt, aber ich zitiere jetzt einmal dich:

    Und dazu noch einmal mich selbst:
    Tausche in diesem quote "eicar" mit 10 Jahre alten Wurm und wir haben genau diese Situation.


    Aber damit riskierst du den Computer in den letzten Fällen eben doch mit Malware infiziert weiter zu benutzen - und unabhängig wie hoch die Wahrscheinlichkeit ist im Zweifelsfall als Server für Kinder os benutzen zu lassen.

    Das möchte ich gerne von dir belegt bekommen.
    Denn - überlegen wir uns mal was ein bootkit ist: Etwas, das VOR dem eigentlichen Betriebssystem geladen wird. Versteckt entweder im MBR der Partitionstabelle, im Bootloader oder im Zweifelsfall auch im Bios. Wird bei einer Neuinstallation die Partition gelöscht, der Bootloader neu erstellt und das Bios zurück gesetzt sollte man auch den Bootloader entfernt haben.


    Es muss kein Bootkit sein. einfach nur ein bisher unbekannter Virus reicht. Finden kann den auch kein Antivirus Programm. Und wieder ein Zitat von mir:

    Nein, er unterstützt den Standpunkt des "Virus Entfernen" nicht.

    Vergleichen wir einmal Malware mit Krebs. Der Krankheit. Handelt es sich um Hautkrebs wird der Krebs rausgeschnitten und gut ist. Dauert zwar ein wenig bis die Haut nachgewachsen ist, aber ansonsten ist nichts passiert. Meistens.
    Handelt es sich um Lymphdrüsenkrebs ist eine Heilungschance sehr gering, sehr aufwendig und führt nicht immer zum Erfolg.

    Ist die Malware in einer Virtuellen Maschine ausgeführt - und kann dort nicht ausbrechen - schneidet man diese infizierte Maschine heraus. Ist aber das ganze System infiziert ist die Heilungschance sehr gering und sehr aufwendig und führt nicht immer zum erfolg. - denn auch wenn die chemotherapie erfolgreich war kann man sich nicht sicher sein alles vernichtet zu haben. und bleibt nur eine der mutierten zellen zurück fängt sie wieder von vorne an zu wachsen und das system zu infizieren.


    Ich bringe mal ein Zitat aus dem Technet

    Auf dieses Zitat wirst du wahrscheinlich antworten, dass zwischen Infiltration und Kompromittierung ein Unterschied bestehen würde. Und ich frage dann wieder, wie du diesen Unterschied erkennen kannst?

    Du hast recht, wenn du sagst, dass ich nicht auf alles von dir eingehe. Weil schon im Ansatz von dir ein Fehler ist. Diesen Fehler habe ich versucht durch gezielte Fragen bei dir heraus zu locken. Aber leider weichst du diesen Fragen aus, sobald sie unangenehm werden.

    Und hier kommst du mit "in der praxis ist das zu komplex" ...
    Wenn es zu Komplex wäre, warum arbeiten Menschen wie die Joanna an eben diesen Theoretischen Lücken? Eben weil die Gefahr besteht, jemand könnte diese Lücke doch ausnutzen. unbemerkt. Und am Ende steht das BKA vor der Tür und kassiert deinen Computer wegen Kinder os ein. Selbst wenn das Risiko bei 1 zu 80 Mio. steht wäre mir das Risiko zu groß. Denn dann würde wohl ein Deutscher doch das Opfer spielen. Und ich will das nicht sein. Und ich würde Nie jemanden empfehlen das vielleicht - möglicherweise - doch sein zu wollen.

    Das ist wie die Rote Ampel Nachts um 04:00 Uhr. Man weiß, da ist außer mir niemand. Aber vielleicht wird man beim überfahren halt doch geblitzt. Man hat zwar niemanden in Gefahr gebracht, aber Zahlen muss man trotzdem.

    Edit -- blaue Zitate sind Zitate von mir, Schwarz bist du - und schwarz in Englisch ist Microsoft.
     
  17. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Oh man, geh mal auf die Webseite von EICAR und lade dir mal die "eicar.com" oder "eicar.com.txt" herunter. Dies geht einfach mit Rechtsklick und speichern unter ... Du kannst natürlich auch die gepackten Dateien herunterladen. Dann kannst du dir von denen den Hash ziehen. Was du noch machen kannst, ist die "eicar.com" in "eicar.exe" umbenennen und bekommst trotzdem den gleichen Hash.


    Wie sollte bitte dann der Hash-Wert stimmen? Wenn du nur ein Buchstaben, Zahl oder Symbol veränderst, dann verändert sich der Hash-Wert der Datei. Also würde ich das sofort bemerken.

    Also wüsste ich nun, dass er die Datei verändert hat bzw. mit einer anderen ersetzt hat. Wäre es nicht der Fall, dann wüsste ich, dass es sich um die tatsächliche "EICAR" handelt und müsste man PC nicht untersuchen und nicht formatieren.

    Natürlich kann man dann noch versuchen eine Kollision hinzu bekommen, aber danach garantiere ich dir, dass du keine lauffähige Malware hin bekommst.


    Es macht einfach kein Sinn mehr irgendwas zu schreiben. Wir haben einfach unsere Meinung nun geäußert bzw. unsere Theorien und die Leser können sich dann ihre eigene Meinung bilden.

    Grüße
    Kirill
     
  18. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Der Hashwert stimmt, weil die Kontrolle von dir erst NACH dem Austauschen der Datei vorgenommen wird. Es ist also die ECHTE Originale Eicar Datei im Antiviruscontainer bzw. im Email Anhang Aber das, was du da siehst ist NICHT das, was dein Kumpel dir geschickt hat.
     
  19. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Du machst Haar genau das selbe, du hast nicht mal im Ansatz verstanden, was ich dir eigentlich sagen möchte. Das sieht man schon daran, dass du meine These als "Ansatz" bezeichnest. Ich will hier gar keinen Ansatz liefern um irgendwas zu entfernen. Ich sage nur, dass der von dir genannte Ansatz in der Realität oft (aus guten Gründen) nicht angewendet wird. Sobald ich dies tue erschaffst du irgendein fiktives Szenario, dass ich dir dann erklären soll (ich bin leider oft genug darauf eingegangen). Aber eben darum geht es nicht. Du scheinst auch der einzige in der Diskussion zu sein, der es nicht einmal Ansatzweise begreifst wovon ich Rede. Der einzige, der hier mit einem Tunnelblick durch die Gegend läuft bist du.

    Deine "gezielten Fragen" sind eben genau das. Sie berücksichtigen nur die Umstände, die du berücksichtigen willst, um meinen vermeintlichen Fehler aufzuzeigen.
    Du hast einfach nicht begriffen, dass ich dir potentiell zustimme, was diese Theorie angeht. Ich sage dir nur wie es in der Realität abläuft, was du wiederum immer als Angriff auf deinen Copy&Paste Text siehst.

    Entweder fehlt es dir an Intelligenz oder Vernunft, meinen Standpunkt auch nur Ansatzweise zu begreifen oder richtig einzuordnen.

    Weil diese Malware sicherlich eingesetzt werden wird. Die Frage ist:
    Wann und in welchem Maße. Und ich sage dir, dass das momentan prozentual gesehen noch viel zu gering ist.

    Dann stützt er deinen (nach deiner Argumentation) noch viel weniger.

    Es genügt auf dieser theoretischen Ebene, dass es diesen Unterschied gibt.

    Q: http://www.coresecurity.com/content/Persistent-Bios-Infection

    Vergleichen wir einmal einen Kreis mit deinem Quadrat....

    Es ist möglich, dass mir etwas entgangen ist, weil ich diesen Teil eurer Diskussion nicht verfolgt habe aber: Wenn sich die echte (unmodfizierte) Datei im Anhang der Mail befindet. Wo kommt dann die Schädliche her?
     
  20. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Also ich hab ja echt schon viel Schwachsinn gelesen und mich darüber aufgeregt.
    Aber das hier ist wohl echt mal die Krönung!

    Kommst da her, als hättest du die Weißheit mit Löffeln gefressen, hast scheinbar selbst nur n Bruchteil Ahnung davon, bist netmal der Autor und dennoch bekommst du es nicht gebacken dir deine eigene Meinung zu bilden.

    Aber nochmal zu dem Quote, der Vergleich ist sowas von beschissen. N PC Virus mit ner tödlichen Krankheit zu vergleichen zeugt nicht gerade von gesunden Menschenverstand...

    //Weißt du, die Diskussion wäre hier eigtl. zu Ende, sobald du einsehen würdest, und solangsam solltest du das, denn Alex² und die anderen haben dir genug gute Gründe geliefert, warum eine Neu-Installation NICHT immer von Nöten ist....
     
  21. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Hää?????????????????????

    Ich wollte eigentlich nichts mehr schreiben, aber das möchte ich noch wissen bzw. was du dir da mal hinzugedichtet hast?

    Schön, dass es einer auch noch bemerkt hat. Diese Frage stellt sich mir auch. Er muss mir doch gleich die infizierte Datei senden und dann merke ich das. Außerdem überprüfe ich den Hash und nicht meine AV.

    Irgendwie scheint spotting es wirklich gar nicht zu verstehen oder er dichtet sich immer was dazu.

    Man könnte nun meinen, dass er einen eigenen Computerladen besitzt und möchte, dass jeder Benutzer immer zu seinem Laden kommt, um sein PC neu aufzusetzen.

    Grüße
    Kirill
     
  22. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Das ist genau das, dass ich dir vorwerfe. du akzeptierst die potentielle Gefahr.

    Es sind nicht die Umstände, die ich berücksichtigen will. Es sind die Umstände, die berücksichtigt werden müssen.
    Und ich gehe einen Schritt weiter. In der Realität ist "Computersicherheit" ein Milliarden Geschäft. geprägt durch Marketing und Fehlinformation um Produkte, deren Sinnhaftigkeit nicht vorhanden ist an den Mann zu bringen. Es wird nicht Sicherheit sondern die Illusion von Sicherheit verkauft. Und du rechtfertigst diese Illusion.

    Mag sein, aber darüber zu urteilen liegt nicht im Rahmen deiner Vernunft. Denn: du zugibst:


    Dass es bereits jetzt möglich ist und Vielleicht auch umgesetzt wird Denn dann ist es schlicht unvernünftig diese Möglichkeit in seinen Gedanken unberücksichtigt zu lassen.

    Begründe das bitte. Denn das verstehe ich nicht.


    Ganz genau, es gibt diesen Unterschied. In der Praxis ist er aber nicht anwendbar. Und auch in der Theorie gibt es keine Ansätze oder Konzepte die ohne Vorbereitung diesen Unterschied messbar machen können. Ihr behauptet, Ihr könnt entscheiden. Ich frage wie. Ihr behauptet auf Identifikation der "ur-Malware". Ich behaupte, dass diese Identifikation durch Vorspielung falscher Tatsachen zu einfach zu manipulieren ist.

    Und dann werde ich in meiner Person kritisiert.




    Vielleicht ist der Vergleich unpassend. Aber die Vergleichbarkeit ist in einem Punkt gegeben. Es ist nicht messbar, ob die Heilung erfolgreich war. Man versucht die Infizierten Bereich zu entfernen. Sofern es möglich ist. Oder habt ihr schoneinmal versucht Hautkrebs durch Chemotherapie zu behandeln? Nein? Würde vielleicht auch zum Erfolg führen. Macht aber keinen Sinn.


    Sein Kumpel schickt im diese infizierte Datei. Er führt diese infizierte Datei im Dateianhang aus. Oder die Mail wird durch eine nicht gepatchte Lücke im Mailprogramm automatisch ausgeführt. Die Datei ist Neu Antivirenprogramme erkennen Sie nicht als Virus.
    Die Datei macht folgendes.

    1. Mögliche bestehende Schutzmechanismen wie Antivirensystem kurzfristig deaktivieren.
    2. Eine Remote Verbindung auf dem System erstellen.
    3. Verbindung mit dem Server aufnehmen.
    4. Die Originale "Eicar" Datei nachladen.
    5. Die Originale Email mitsamt bösem Dateianhang im Posteingang mit einer vorgefertigten Kopie überschreiben. Und die Originale Eicar als Dateianhang ablegen.
    6. Die Schutzmechanismen wieder reaktivieren und die Email scannen lassen.

    Das Antivirenprogramm meldet jetzt die Eicar als "Eicar Test Datei - not a virus"


    Mag sein, dass der Vergleich unpassend ist. Der Knackpunkt ist, IHR könnt nicht definieren, WANN eine Neu-Installation nicht von Nöten ist. Ihr verlasst euch dabei auf "raten" oder auf Gefühl. Und das werfe ich euch vor.



    Darauf wird von euch in keinster Weise eingegangen. Es heißt dann immer "ja aber in der praxis ist das nicht so" Gebt aber gleichzeitig zu, dass es vielleicht irgendwann oder vielleicht auch jetzt in kleiner anzahl möglich ist.
     
  23. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Er überprüft doch den Hash der geschickten Datei und erkennt somit, dass es nicht die echte ist. Außerdem läd er die Datei aus dem Browser runter, ohne ein verwundbares Mail-Programm.
     
  24. 4. September 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Tja, aber dann erkennt er die Gefahr, bevor er infiziert ist. Zumindest, wenn er konsequent ist und die mail direkt auf dem server löscht.

    Sein Beitrag hier:

    Warum man bei Infektionen den Rechner neu installieren sollte - Seite 3 - RR:Board

    suggeriert, dass er die potentielle Bedrohung auch auf seinem Rechner hat.

    Diese mögliche Auslegung seiner Worte wird von ihm hier auch noch einmal unterstrichen.

    Warum man bei Infektionen den Rechner neu installieren sollte - Seite 3 - RR:Board

    Oder mit anderen Worten: der Email Anhang - oder die per ICQ übersendete Datei ... oder die von irgendwo irgendwie auf den Rechner gekommene Datei wurde auch ausgeführt.
     
  25. 4. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Und hat sein Ziel erreicht.
     
  26. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.