PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Injected Malware Aufspühren



Sinowal
02.11.09, 13:23
Hier gibt es sicher viele Coder und Netzwerk Experten.
Ich suche nach einer möglichkeit Malware im Windows aufzuspühren die z.b iexplorer.exe Injected also den Internet Explorer.

Oder msnmsgr.exe welches den msn darstellt,egal welche datei auch immer Injected wierd,mit wie kann ich mit einfachsten Mitteln herausfinden welche Datei es ist und die Malware enterfernen und vieleicht sogar den Prozess versteckt.

Ich gehe dabei immer von dem Schema aus das der AV versagt.

Dabei habe ich noch eine Frage,sollte die Malware Rootkit techniken verwenden wie z.b Ordner/Datei verstecken könnte ich diese Ordner mit einer Ubuntu Live-Cd oder Knoppix ausfindig machen ?

marce
02.11.09, 13:33
Gibt's das Posting auch in Deutsch und verständlich?

Newbie314
02.11.09, 14:29
Du kannst jederzeit mit einer Linux CD / DvD oder einem Linux Stick booten und von verdächtigen Dateien z.B. eine Prüfsumme (md5 oder sha1) erstellen und mit sicher nicht infizierten Prüfsummen vergleichen.

Wenn ich zum Beispiel bei einem Knoppicillin Scan eine verdächtige Datei finde tue ich das und vergleiche die Prüfsummen mit ergoogelten Summen für die jeweilige Datei.


Was du genau suchst ... ist mir auch nicht ganz klar, aber um Stealth Malware aufzuspüren ist Knoppicillin nicht schlecht:

http://www.heise.de/kiosk/special/ct/09/06/

Enthält unter anderem Knoppicillin mit dem Recht die drei Scanner bis Sept 2010 aktuell zu halten.


Gerade dieses Wochenende fanden wir durch Knoppicillin wieder etwas das der Entdeckung durch die installierten AV Programme zwei Jahre lang entging...

ThE_FiSh
05.11.09, 18:40
probier mal threadfire
http://www.threatfire.com/de/

weiß zwar nicht ob du das suchst - weil wer soll das schon verstehn ;)

Newbie314
05.11.09, 20:01
Dank seiner beispiellosen Schutzfunktion kann ThreatFire auch Bedrohungen erkennen und beseitigen, die entweder besonders neu oder besonders schlau sind und deshalb von den traditionellen, auf "Signaturen" beruhenden Antivirus-Programmen nicht erfasst werden.

Da das in 95% der User selbst ist wäre mir dieses Programm zu gefährlich :D


"Behavioral Blocking" hat (zumindest unter XP) gewisse Schwachpunkte ... man sollte sich damit (auch) nicht zu sehr in Sicherheit wiegen : http://www.ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls