Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

3 Seiten V   1 2 3 >  
Closed TopicStart new topic
> TDL-4
Hexo
Beitrag 30.06.2011, 11:26
Beitrag #1



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.165
Mitglied seit: 05.10.2010
Wohnort: Im Herzen: New York City
Mitglieds-Nr.: 8.211

Betriebssystem:
Win 10 Pro 64bit
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Windows 10 FW - NAT



Hoffe das ist der korrekte Bereich....

ZITAT
TDL-4: Nahezu unzerstörbares Botnetz entdeckt
Sicherheits-Experten haben ein Botnetz entdeckt, das durch sein spezielles Design nahezu unzerstörbar ist. Die Betreiber haben sich offenbar intensiv Gedanken gemacht, wie die es verhindern können, dass ihnen die Infrastruktur weggenommen werden kann, indem ihnen die Kontrolle über die Command-and-Controll (C&C)-Server entzogen wird.
(...)

Quelle: http://winfuture.de/news,64030.html

Wie könnte man den TDL-4 erkennen? Kennt ihr die Malware?

Gruß


--------------------
Blog
Notebook: Emsisoft Anti-Malware
LastFM Profil: Hier entlang
Go to the top of the page
 
+Quote Post
SLE
Beitrag 30.06.2011, 11:47
Beitrag #2



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Hexo @ 30.06.2011, 12:25) *
Wie könnte man den TDL-4 erkennen? Kennt ihr die Malware?

TDL = TDSS = Alureon.... wink.gif
Wird eigentlich nur immer spanned wenn ein Update des Rootkits kommt, zumindest die spezialisierten Tools haben mit der Erkennung derzeit keine großen Probleme, ebenso viele AVs nicht mehr.

Der Beitrag wurde von SebastianLE bearbeitet: 30.06.2011, 11:50


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 30.06.2011, 12:15
Beitrag #3






Gäste






Ich meine HitmanPro 3.5 hat damit kein Problem.
Go to the top of the page
 
+Quote Post
Clap
Beitrag 30.06.2011, 16:17
Beitrag #4



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 243
Mitglied seit: 04.12.2009
Mitglieds-Nr.: 7.866

Betriebssystem:
Windows 7/ Windows XP
Virenscanner:
NIS 2011
Firewall:
Fritzbox



Hallo,

überprüfen Programme wie NIS und KIS usw. eigentlich auch immer den Master Boot MBR?
Hatte ja früher Avira und da konnte man das aktivieren.
Hab da jetzt bei NIS so nichts gefunden.


--------------------
Gruß
Clap
Go to the top of the page
 
+Quote Post
SLE
Beitrag 30.06.2011, 16:31
Beitrag #5



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(florian5248 @ 30.06.2011, 13:14) *
Ich meine HitmanPro 3.5 hat damit kein Problem.

Na so allgemein kannst du es auch nicht sagen. Sagen wir so - sie haben immer schnell reagiert und waren oft mit die ersten bei Erkennung und Entfernung neuer Varianten.

ZITAT(Clap @ 30.06.2011, 17:16) *
überprüfen Programme wie NIS und KIS usw. eigentlich auch immer den Master Boot MBR?

Bei NIS kann ich es nicht genau sagen, beim letzten VM Test hat es eine TDL Infektion weder verhindert noch erkannt, aber ich bin dem nicht tiefer nachgegangen um hier eine verlässliche Aussage treffen zu können. KIS ja - es findet einen mittels TDSS infizierten MBR, zur Bereinigung braucht man aber oft den TDSS-Killer.



--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 30.06.2011, 18:10
Beitrag #6






Gäste






ZITAT
Bei NIS kann ich es nicht genau sagen, beim letzten VM Test hat es eine TDL Infektion weder verhindert noch erkannt, aber ich bin dem nicht tiefer nachgegangen um hier eine verlässliche Aussage treffen zu können.


Danke für die Info, es wäre schade, wenn NIS so rückläufig geworden ist, bezüglich MBR.

TDSS-Killer, der ist auch im Einsatz. thumbup.gif

Go to the top of the page
 
+Quote Post
markusg
Beitrag 30.06.2011, 19:31
Beitrag #7



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



ich verstehe sowieso nicht, warum man jetzt sagt, das netz sei "entdeckt" worden, wenn ich das im original artikel richtig lese ist es einfach ne analyse des tdss botnetzes, mehr nicht.
der bericht ist ja so ausgelegt, als währe tdl4 just diese woche entdeckt worden...
edit falls ich irre, koregiert mich :-)

Der Beitrag wurde von markusg bearbeitet: 30.06.2011, 19:36
Go to the top of the page
 
+Quote Post
SLE
Beitrag 30.06.2011, 19:53
Beitrag #8



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(markusg @ 30.06.2011, 20:30) *
der bericht ist ja so ausgelegt, als währe tdl4 just diese woche entdeckt worden...

Ja, eben nach journalistischen Standards dramatisch und effekthascherisch aufbereitet. ph34r.gif Machen doch auch einige AV-Anbieter so, die so tuen als wäre TDL was ganz neues...

@florian: ??? Wieso im Einsatz - infizierst du dich so oft, weil zur Prävention bringt es ja 0.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 01.07.2011, 06:39
Beitrag #9






Gäste






ZITAT(SebastianLE @ 30.06.2011, 20:52) *
@florian: ??? Wieso im Einsatz - infizierst du dich so oft, weil zur Prävention bringt es ja 0.


biggrin.gif

Ne, lasse den TDSS-Killer 1-2mal in der Woche drüber laufen. Ist ja kein Kondom. biggrin.gif
Go to the top of the page
 
+Quote Post
Julian
Beitrag 01.07.2011, 06:45
Beitrag #10



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.794
Mitglied seit: 28.06.2007
Mitglieds-Nr.: 6.287

Betriebssystem:
Windows 7 x64
Virenscanner:
Sandboxie
Firewall:
NAT|Comodo (HIPS)



ZITAT(SebastianLE @ 30.06.2011, 17:30) *
KIS ja - es findet einen mittels TDSS infizierten MBR, zur Bereinigung braucht man aber oft den TDSS-Killer.

Könntest du mir ein Sample, wo man den TDSS-Killer braucht, mal zukommen lassen?
Bisher hat KIS 12 bei mir nämlich noch jede TDSS-Infektion erkannt und bereinigt.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 01.07.2011, 07:46
Beitrag #11



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Julian @ 01.07.2011, 07:44) *
Könntest du mir ein Sample, wo man den TDSS-Killer braucht, mal zukommen lassen?
Bisher hat KIS 12 bei mir nämlich noch jede TDSS-Infektion erkannt und bereinigt.

Da müssten wir auf neue Varianten warten - derzeit erkennt und bereinigt KIS auch hier alle mir bekannten.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
markusg
Beitrag 01.07.2011, 10:31
Beitrag #12



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



so ein quark jede woche den tdss killer laufen zu lassen.
vernünftiges av, eingeschrenktes konto, windows up to date, drittanbieter software up to date, zum täglichen surfen sandboxie, dann instaliert sich kein tdl und auch keine andere malware. vor allem woher willst du den wissen das du nicht grad ne variannte hast, die nicht erkannt wird, konzequenter weise müsstest du dann allerhöchstens jede woche nen sauberes backup einspielen.
zumal ich die panik von dir eh nicht verstehen kann, gibt ja noch viele andere verbreitete malware familien, da müsstest du jede woche ne ganze latte von removern laufen lassen..
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 01.07.2011, 10:54
Beitrag #13






Gäste






ZITAT(markusg @ 01.07.2011, 11:30) *
so ein quark jede woche den tdss killer laufen zu lassen.


Ich esse nu mal gerne Quark. wink.gif
ZITAT
vernünftiges av, eingeschrenktes konto, windows up to date, drittanbieter software up to date, zum täglichen surfen sandboxie, dann instaliert sich kein tdl und auch keine andere malware. vor allem woher willst du den wissen das du nicht grad ne variannte hast, die nicht erkannt wird, konzequenter weise müsstest du dann allerhöchstens jede woche nen sauberes backup einspielen.


Spiele regelmäßig mein Image zurück, na und........ wink.gif

ZITAT
zumal ich die panik von dir eh nicht verstehen kann


Da hast du mächtig was falsch verstanden. Panik?? Könnte mich eher köstlich amüsieren. biggrin.gif

Möchte nicht jetzt Beleidigend werden, daher spare ich mir den Rest. whistling.gif

Der Beitrag wurde von florian5248 bearbeitet: 01.07.2011, 10:56
Go to the top of the page
 
+Quote Post
SLE
Beitrag 01.07.2011, 11:07
Beitrag #14



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Komisch das jetzt auf die doch inhaltlichen Punkte von markus irgendwie nichts kam...


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 01.07.2011, 12:13
Beitrag #15



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



Image zurück spielen hilft aber nicht zwangsweise wenn der MBR infiziert ist , der MBR wird zb bei Acronis nur auf Anfrage überschrieben beim Zurückschreiben eines Image.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 01.07.2011, 12:19
Beitrag #16






Gäste






ZITAT(Voyager @ 01.07.2011, 13:12) *
Image zurück spielen hilft aber nicht zwangsweise wenn der MBR infiziert ist , der MBR wird zb bei Acronis nur auf Anfrage überschrieben beim Zurückschreiben eines Image.



Selbstverständlich wird das von mir gemacht. Hatte angenommen, das Acronis_Anwender das als selbstverständlich ansehen, das
ZITAT
der MBR wird zb bei Acronis nur auf Anfrage überschrieben beim Zurückschreiben eines Image.
wird.

Gut aufgepasst. wink.gif
Go to the top of the page
 
+Quote Post
Firefox 1947
Beitrag 06.07.2011, 15:21
Beitrag #17



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 411
Mitglied seit: 31.12.2008
Wohnort: Deutschland
Mitglieds-Nr.: 7.302

Betriebssystem:
Windows 10 64-Bit
Virenscanner:
Emisoft/NOD 32 - Sboxie
Firewall:
Windows /NAT



ZITAT(markusg @ 01.07.2011, 11:30) *
so ein quark jede woche den tdss killer laufen zu lassen.
vernünftiges av, eingeschrenktes konto, windows up to date, drittanbieter software up to date, zum täglichen surfen sandboxie, dann instaliert sich kein tdl und auch keine andere malware. vor allem woher willst du den wissen das du nicht grad ne variannte hast, die nicht erkannt wird, konzequenter weise müsstest du dann allerhöchstens jede woche nen sauberes backup einspielen.
zumal ich die panik von dir eh nicht verstehen kann, gibt ja noch viele andere verbreitete malware familien, da müsstest du jede woche ne ganze latte von removern laufen lassen..


@ markusg

Das kann ich bestätigen, das ist auch mein Sicherheitskonzept und es hat sich bewährt.

Gruß Firefox


--------------------
Erst denken, dann handeln.
Go to the top of the page
 
+Quote Post
Clap
Beitrag 06.07.2011, 20:31
Beitrag #18



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 243
Mitglied seit: 04.12.2009
Mitglieds-Nr.: 7.866

Betriebssystem:
Windows 7/ Windows XP
Virenscanner:
NIS 2011
Firewall:
Fritzbox



hab das mit dem eingeschränkten Konto bei xp auch gemacht.
Bei Win 7 find ich es nicht so gelungen. Kann aber auch an meiner Unwissenheit liegen.

Hab mir auch mal einen Standardbenutzer eingerichtet. Ist soweit auch ok.
Wenn ich dort aber zb. Sandboxie übernehme, schreibt sich dieser in den Autostart vom Standartbenutzer.
Wenn ich dann Msconfig öffne, fehlen mir natürlich die Rechte.
Also öffne ich das als Admin. Und das klappt, nur bin ich dann im Autostart von meinem Admin Konto.
Jegliche Änderung des St.Benutzers bleibt unangetastet.?

Aber wie gesagt, vielleicht bin ich zu blöd whistling.gif
Sinn macht das Konto auf jeden Fall


--------------------
Gruß
Clap
Go to the top of the page
 
+Quote Post
Damnatus
Beitrag 07.07.2011, 02:43
Beitrag #19



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 567
Mitglied seit: 13.11.2010
Mitglieds-Nr.: 8.251

Betriebssystem:
Win 10 Pro x64 | Mac OS X
Virenscanner:
G Data
Firewall:
G Data



ZITAT(Clap @ 06.07.2011, 21:30) *
r.
Wenn ich dann Msconfig öffne, fehlen mir natürlich die Rechte.
Also öffne ich das als Admin. Und das klappt, nur bin ich dann im Autostart von meinem Admin Konto.
Jegliche Änderung des St.Benutzers bleibt unangetastet.?

Aber wie gesagt, vielleicht bin ich zu blöd whistling.gif
Sinn macht das Konto auf jeden Fall


Hallo Clap,

bin gerade über dein Posting 'gestolpert' und weils mich spontan selbst interessiert hat hab ich mich mal auf die Suche gemacht.
Wenn du msconfig startest (bspw über "Ausführen" wirst du über UAC nach dem Admin-Konto gefragt und erteilst damit, soweit ich das gesehen habe dem Standard-Konto das Recht seine Autostart-Einträge zu verändern.
Sollte dem nicht so sein, bleibt wohl nur ein Eingriff in die Registry.
Die Autoruneinträge findest du unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

und hier:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Quelle: PC-Welt.de-Forum


--------------------
"Freiheit ist der Abstand zwischen Jäger und Gejagtem"
-Rainer von Vielen - Der Abstand-

Be a part of the Universe - Star Citizen. Enlist now!
Go to the top of the page
 
+Quote Post
Clap
Beitrag 07.07.2011, 08:43
Beitrag #20



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 243
Mitglied seit: 04.12.2009
Mitglieds-Nr.: 7.866

Betriebssystem:
Windows 7/ Windows XP
Virenscanner:
NIS 2011
Firewall:
Fritzbox



Hallo

danke für die Antwort.
(Off Topic sorry)
Aber bei mir gibt es nur eine Admin Auswahl, und dann lande ich in den Einstellungen des Admin Kontos.
Mit dem Programm Autoruns geht es ohne Probleme, auch ohne Rechte.
Liegt wahrscheinlich daran, das die Programme vom Admin Konto übernommen wurden.



--------------------
Gruß
Clap
Go to the top of the page
 
+Quote Post

3 Seiten V   1 2 3 >
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 11:15
Impressum