Trojaner ATRAPS / Sirefef

Internet Internet Sicherheit
#1

hi,
hatte gestern von Avira erkannte aber immer wiederkehrende infektionen (oder infektionsversuche?) von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35. ein gleichzeitig laufender scan von Avira meldete ein „sicheres“ system und „korrekt arbeitende“ dienste.
???
ich bin mir nicht sicher: waren das bereits erfolgte infektionen oder waren das immer wiederkehrende infektionsversuche? wie kann ich das unterscheiden?
recherchen zeige, dass die o.a. trojaner offenbar akut sind. hat jemand positive erfahrung mit der beseitigung? (im web werden z.t. sehr komplizierte und unsichere verfahren genannt.)

tia
m.

#2

Hallo!

Lade dir ersteinmal eine Antiver-Live-CD herunter:

http://scareware.de/download/rescue-boot-cds/

brenne die CD und starte das System von dieser.

Melde dich dann noch einmal wegen des Ergebnisses.

Grüße

godam

#3

hi,

http://scareware.de/download/rescue-boot-cds/

brenne die CD und starte das System von dieser.

gemacht mit dr.web (startet nicht) und avira. avira-linux-boot-cd fand einen trojaner (Dldr.Cutwail), löschte ihn, aber beseitigte damit das problem nicht. Atraps und Sirefef werden immer wieder mit angriffsversuchen gemeldet, die ich anscheinend untersagen kann (avira bietet ignorieren, in quarantäne verschieben, löschen, überschreiben mit löschen, …) avira scanner beschreit das system als sicher und korrekt.

m.

#4

Hallo,

sehr böse …

ich kann dir dir nur empfehlen, das System neu zu aufzusetzen. Nicht vergessen: Sämtliche Passworte ändern.

Grüße

godam

#5

Auch hi ,

hier wie immer die Lösung :
http://oschad.de/wiki/Kompromittierung

Auch wenn es nicht gefällt:wink:

gemacht mit dr.web (startet nicht) und avira.
avira-linux-boot-cd fand einen trojaner (Dldr.Cutwail),
löschte ihn, aber beseitigte damit das problem nicht. Atraps
und Sirefef werden immer wieder mit angriffsversuchen
gemeldet, die ich anscheinend untersagen kann (avira bietet
ignorieren, in quarantäne verschieben, löschen, überschreiben
mit löschen, …) avira scanner beschreit das system als
sicher und korrekt.

m.

Hth
Gruß Norbert

#6

hi,

hier wie immer die Lösung :
http://oschad.de/wiki/Kompromittierung

Auch wenn es nicht gefällt:wink:

nnnajja. das ist schon klar, dass das die umfassende lösung wäre. aber wer hat realistischerweise die zeit, die kompetenz und das geld dazu? gut: die lösung würde dazu führen, dass einiges an geld an die menschen mit der entsprechenden kompetenz fließt.

der artikel ist natürlich technisch veraltet: manche links stimmen schlicht nicht mehr. er ist auch auf einer privaten seite des herrn schad erschienen; er ist damit keine offizielle äußerung einer kompetenten, mit der sachlage befassten institution - sei es ngo oder go. (er enthält außerdem sprachliche mängel.) das ändert nichts daran, dass er inhaltlich den zustand der idealen „säuberung“ beschreibt. aber ideale sind nicht unbedingt reale.

wir leben in einer vervirten welt; man wird sich damit abfinden müssen. es ist nicht sinnvoll, nach jedem schnupfen das gesamte hals-nasen-ohren-system auszuwechseln; es ist auch nicht sinnvoll, nach jedem trojaner-angriff die festplatte zu formatieren. man wird sich ansehen, was das ding technisch verändert hat (es gibt einigermaßen neutrale technische beschreibungen von viren etc.); man wird sich ansehen, welche passwörter realistischerweise nicht mehr sicher sind und diese ändern. (lieber mehr als weniger.) aber sätze wie „Lässt sich der Zeitpunkt der Kompromittierung nicht feststellen, so müssen alle Daten als manipuliert angesehen werden“ oder „Dateien, die wirklich ausschließlich Daten und keinen ausführbaren Code enthalten, müssen […] verifiziert werden […]. Lassen sich Daten nicht verifizieren und sind trotzdem wichtig […] sind diese ein Fall für die Mülltonne“ sind angewandte paranoia. das ist nicht machbar. in einem anderen artikel bei herrn schad heißt es „Ein gesundes Maß an Paranoia ist zu empfehlen“ … ja, aber was ist ein „gesundes“ maß? paranoia ist an sich ein krankheitsbild: gibt es ein gesundes maß einer krankheit?

wichtig ist eh immer, dass man ein backup der daten hat. die daten sind das wirklich wertvolle an einem computer. hardware lässt sich ersetzen, software lässt sich ersetzen. daten nicht.
ich hatte. und deswegen ein problem weniger. (aber wenn man schon die paranoia kultiviert: wer garantiert dir, dass die daten in deinem backup nicht irgendwelche unentdeckten viren enthalten?)

ich bin für realistische, praktikable lösungen ohne paranoia.

m.

#7

Hallo,

in Bezug auf den Artikel treffen sicherlich einige deiner Aussagen zu, aber

zu:

„es ist nicht sinnvoll, nach jedem schnupfen das gesamte hals-nasen-ohren-system auszuwechseln“

Wenn es System durch einen Trojaner infiziert wurde, ist der Vergleich mit einem Schnupfen nicht mehr ganz passend. Geht eher in Richtung Lungenentzündung und MRSA.

Zu:

„man wird sich ansehen, was das ding technisch verändert hat (es gibt einigermaßen neutrale technische beschreibungen von viren etc.); man wird sich ansehen, welche passwörter realistischerweise nicht mehr sicher sind und diese ändern“

Dies ist teilweise möglich, bedarf aber einer deutlich höheren und somit im Zweifelsfall teueren Kompetenz als eine Neuinstallatation. Dauert auch länger. Und selbst dann gibt es keine Gewissheit. Es ist der umständlichste und unsicherste Weg.

Es ist EINFACHER und SICHERER stattdessen die (gesicherten) Bewwegungsdaten noch einmal mit geeigneten Mitteln überprüfen und das System neu aufzusetzen.

Zu:

„ich bin für realistische, praktikable lösungen ohne paranoia“

Und ich bin für realistische und praktikable Lösungen, bei denen die Sicherheit im Vordergrund steht.

Grüße

godam