TDL-4 |
Willkommen, Gast ( Anmelden | Registrierung )
TDL-4 |
30.06.2011, 11:26
Beitrag
#1
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.165 Mitglied seit: 05.10.2010 Wohnort: Im Herzen: New York City Mitglieds-Nr.: 8.211 Betriebssystem: Win 10 Pro 64bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 FW - NAT |
Hoffe das ist der korrekte Bereich....
ZITAT TDL-4: Nahezu unzerstörbares Botnetz entdeckt Sicherheits-Experten haben ein Botnetz entdeckt, das durch sein spezielles Design nahezu unzerstörbar ist. Die Betreiber haben sich offenbar intensiv Gedanken gemacht, wie die es verhindern können, dass ihnen die Infrastruktur weggenommen werden kann, indem ihnen die Kontrolle über die Command-and-Controll (C&C)-Server entzogen wird. (...) Quelle: http://winfuture.de/news,64030.html Wie könnte man den TDL-4 erkennen? Kennt ihr die Malware? Gruß -------------------- |
|
|
30.06.2011, 11:47
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Wie könnte man den TDL-4 erkennen? Kennt ihr die Malware? TDL = TDSS = Alureon.... Wird eigentlich nur immer spanned wenn ein Update des Rootkits kommt, zumindest die spezialisierten Tools haben mit der Erkennung derzeit keine großen Probleme, ebenso viele AVs nicht mehr. Der Beitrag wurde von SebastianLE bearbeitet: 30.06.2011, 11:50 -------------------- Don't believe the hype!
|
|
|
Gast_florian5248_* |
30.06.2011, 12:15
Beitrag
#3
|
Gäste |
Ich meine HitmanPro 3.5 hat damit kein Problem.
|
|
|
30.06.2011, 16:17
Beitrag
#4
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 243 Mitglied seit: 04.12.2009 Mitglieds-Nr.: 7.866 Betriebssystem: Windows 7/ Windows XP Virenscanner: NIS 2011 Firewall: Fritzbox |
Hallo,
überprüfen Programme wie NIS und KIS usw. eigentlich auch immer den Master Boot MBR? Hatte ja früher Avira und da konnte man das aktivieren. Hab da jetzt bei NIS so nichts gefunden. -------------------- Gruß
Clap |
|
|
30.06.2011, 16:31
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Ich meine HitmanPro 3.5 hat damit kein Problem. Na so allgemein kannst du es auch nicht sagen. Sagen wir so - sie haben immer schnell reagiert und waren oft mit die ersten bei Erkennung und Entfernung neuer Varianten. überprüfen Programme wie NIS und KIS usw. eigentlich auch immer den Master Boot MBR? Bei NIS kann ich es nicht genau sagen, beim letzten VM Test hat es eine TDL Infektion weder verhindert noch erkannt, aber ich bin dem nicht tiefer nachgegangen um hier eine verlässliche Aussage treffen zu können. KIS ja - es findet einen mittels TDSS infizierten MBR, zur Bereinigung braucht man aber oft den TDSS-Killer. -------------------- Don't believe the hype!
|
|
|
Gast_florian5248_* |
30.06.2011, 18:10
Beitrag
#6
|
Gäste |
ZITAT Bei NIS kann ich es nicht genau sagen, beim letzten VM Test hat es eine TDL Infektion weder verhindert noch erkannt, aber ich bin dem nicht tiefer nachgegangen um hier eine verlässliche Aussage treffen zu können. Danke für die Info, es wäre schade, wenn NIS so rückläufig geworden ist, bezüglich MBR. TDSS-Killer, der ist auch im Einsatz. |
|
|
30.06.2011, 19:31
Beitrag
#7
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
ich verstehe sowieso nicht, warum man jetzt sagt, das netz sei "entdeckt" worden, wenn ich das im original artikel richtig lese ist es einfach ne analyse des tdss botnetzes, mehr nicht.
der bericht ist ja so ausgelegt, als währe tdl4 just diese woche entdeckt worden... edit falls ich irre, koregiert mich :-) Der Beitrag wurde von markusg bearbeitet: 30.06.2011, 19:36 |
|
|
30.06.2011, 19:53
Beitrag
#8
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
der bericht ist ja so ausgelegt, als währe tdl4 just diese woche entdeckt worden... Ja, eben nach journalistischen Standards dramatisch und effekthascherisch aufbereitet. Machen doch auch einige AV-Anbieter so, die so tuen als wäre TDL was ganz neues... @florian: ??? Wieso im Einsatz - infizierst du dich so oft, weil zur Prävention bringt es ja 0. -------------------- Don't believe the hype!
|
|
|
Gast_florian5248_* |
01.07.2011, 06:39
Beitrag
#9
|
Gäste |
|
|
|
01.07.2011, 06:45
Beitrag
#10
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
KIS ja - es findet einen mittels TDSS infizierten MBR, zur Bereinigung braucht man aber oft den TDSS-Killer. Könntest du mir ein Sample, wo man den TDSS-Killer braucht, mal zukommen lassen? Bisher hat KIS 12 bei mir nämlich noch jede TDSS-Infektion erkannt und bereinigt. -------------------- |
|
|
01.07.2011, 07:46
Beitrag
#11
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Könntest du mir ein Sample, wo man den TDSS-Killer braucht, mal zukommen lassen? Bisher hat KIS 12 bei mir nämlich noch jede TDSS-Infektion erkannt und bereinigt. Da müssten wir auf neue Varianten warten - derzeit erkennt und bereinigt KIS auch hier alle mir bekannten. -------------------- Don't believe the hype!
|
|
|
01.07.2011, 10:31
Beitrag
#12
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
so ein quark jede woche den tdss killer laufen zu lassen.
vernünftiges av, eingeschrenktes konto, windows up to date, drittanbieter software up to date, zum täglichen surfen sandboxie, dann instaliert sich kein tdl und auch keine andere malware. vor allem woher willst du den wissen das du nicht grad ne variannte hast, die nicht erkannt wird, konzequenter weise müsstest du dann allerhöchstens jede woche nen sauberes backup einspielen. zumal ich die panik von dir eh nicht verstehen kann, gibt ja noch viele andere verbreitete malware familien, da müsstest du jede woche ne ganze latte von removern laufen lassen.. |
|
|
Gast_florian5248_* |
01.07.2011, 10:54
Beitrag
#13
|
Gäste |
so ein quark jede woche den tdss killer laufen zu lassen. Ich esse nu mal gerne Quark. ZITAT vernünftiges av, eingeschrenktes konto, windows up to date, drittanbieter software up to date, zum täglichen surfen sandboxie, dann instaliert sich kein tdl und auch keine andere malware. vor allem woher willst du den wissen das du nicht grad ne variannte hast, die nicht erkannt wird, konzequenter weise müsstest du dann allerhöchstens jede woche nen sauberes backup einspielen. Spiele regelmäßig mein Image zurück, na und........ ZITAT zumal ich die panik von dir eh nicht verstehen kann Da hast du mächtig was falsch verstanden. Panik?? Könnte mich eher köstlich amüsieren. Möchte nicht jetzt Beleidigend werden, daher spare ich mir den Rest. Der Beitrag wurde von florian5248 bearbeitet: 01.07.2011, 10:56 |
|
|
01.07.2011, 11:07
Beitrag
#14
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Komisch das jetzt auf die doch inhaltlichen Punkte von markus irgendwie nichts kam...
-------------------- Don't believe the hype!
|
|
|
01.07.2011, 12:13
Beitrag
#15
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Image zurück spielen hilft aber nicht zwangsweise wenn der MBR infiziert ist , der MBR wird zb bei Acronis nur auf Anfrage überschrieben beim Zurückschreiben eines Image.
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_florian5248_* |
01.07.2011, 12:19
Beitrag
#16
|
Gäste |
Image zurück spielen hilft aber nicht zwangsweise wenn der MBR infiziert ist , der MBR wird zb bei Acronis nur auf Anfrage überschrieben beim Zurückschreiben eines Image. Selbstverständlich wird das von mir gemacht. Hatte angenommen, das Acronis_Anwender das als selbstverständlich ansehen, das ZITAT der MBR wird zb bei Acronis nur auf Anfrage überschrieben beim Zurückschreiben eines Image. wird.Gut aufgepasst. |
|
|
06.07.2011, 15:21
Beitrag
#17
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 411 Mitglied seit: 31.12.2008 Wohnort: Deutschland Mitglieds-Nr.: 7.302 Betriebssystem: Windows 10 64-Bit Virenscanner: Emisoft/NOD 32 - Sboxie Firewall: Windows /NAT |
so ein quark jede woche den tdss killer laufen zu lassen. vernünftiges av, eingeschrenktes konto, windows up to date, drittanbieter software up to date, zum täglichen surfen sandboxie, dann instaliert sich kein tdl und auch keine andere malware. vor allem woher willst du den wissen das du nicht grad ne variannte hast, die nicht erkannt wird, konzequenter weise müsstest du dann allerhöchstens jede woche nen sauberes backup einspielen. zumal ich die panik von dir eh nicht verstehen kann, gibt ja noch viele andere verbreitete malware familien, da müsstest du jede woche ne ganze latte von removern laufen lassen.. @ markusg Das kann ich bestätigen, das ist auch mein Sicherheitskonzept und es hat sich bewährt. Gruß Firefox -------------------- Erst denken, dann handeln.
|
|
|
06.07.2011, 20:31
Beitrag
#18
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 243 Mitglied seit: 04.12.2009 Mitglieds-Nr.: 7.866 Betriebssystem: Windows 7/ Windows XP Virenscanner: NIS 2011 Firewall: Fritzbox |
hab das mit dem eingeschränkten Konto bei xp auch gemacht.
Bei Win 7 find ich es nicht so gelungen. Kann aber auch an meiner Unwissenheit liegen. Hab mir auch mal einen Standardbenutzer eingerichtet. Ist soweit auch ok. Wenn ich dort aber zb. Sandboxie übernehme, schreibt sich dieser in den Autostart vom Standartbenutzer. Wenn ich dann Msconfig öffne, fehlen mir natürlich die Rechte. Also öffne ich das als Admin. Und das klappt, nur bin ich dann im Autostart von meinem Admin Konto. Jegliche Änderung des St.Benutzers bleibt unangetastet.? Aber wie gesagt, vielleicht bin ich zu blöd Sinn macht das Konto auf jeden Fall -------------------- Gruß
Clap |
|
|
07.07.2011, 02:43
Beitrag
#19
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 567 Mitglied seit: 13.11.2010 Mitglieds-Nr.: 8.251 Betriebssystem: Win 10 Pro x64 | Mac OS X Virenscanner: G Data Firewall: G Data |
r. Wenn ich dann Msconfig öffne, fehlen mir natürlich die Rechte. Also öffne ich das als Admin. Und das klappt, nur bin ich dann im Autostart von meinem Admin Konto. Jegliche Änderung des St.Benutzers bleibt unangetastet.? Aber wie gesagt, vielleicht bin ich zu blöd Sinn macht das Konto auf jeden Fall Hallo Clap, bin gerade über dein Posting 'gestolpert' und weils mich spontan selbst interessiert hat hab ich mich mal auf die Suche gemacht. Wenn du msconfig startest (bspw über "Ausführen" wirst du über UAC nach dem Admin-Konto gefragt und erteilst damit, soweit ich das gesehen habe dem Standard-Konto das Recht seine Autostart-Einträge zu verändern. Sollte dem nicht so sein, bleibt wohl nur ein Eingriff in die Registry. Die Autoruneinträge findest du unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und hier: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Quelle: PC-Welt.de-Forum -------------------- "Freiheit ist der Abstand zwischen Jäger und Gejagtem"
-Rainer von Vielen - Der Abstand- Be a part of the Universe - Star Citizen. Enlist now! |
|
|
07.07.2011, 08:43
Beitrag
#20
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 243 Mitglied seit: 04.12.2009 Mitglieds-Nr.: 7.866 Betriebssystem: Windows 7/ Windows XP Virenscanner: NIS 2011 Firewall: Fritzbox |
Hallo
danke für die Antwort. (Off Topic sorry) Aber bei mir gibt es nur eine Admin Auswahl, und dann lande ich in den Einstellungen des Admin Kontos. Mit dem Programm Autoruns geht es ohne Probleme, auch ohne Rechte. Liegt wahrscheinlich daran, das die Programme vom Admin Konto übernommen wurden. -------------------- Gruß
Clap |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 27.05.2024, 02:58 |