Robert Bienert: Trojaner

Beitrag lesen

SELF-Forum

Trojaner

Robert Bienert Homepage des Autors
+1 Informationen zu den Bewertungsregeln

Moin!

ich interessiere mich sehr für den Bereich Sicherheit.

Das ist sehr zu begrüßen.

Neulich ist mir ne Idee gekommen:

einen Trojaner zu machen der sich selbst 2-3x als Prozess startet.

Das hat IMHO eher mit Unsicherheit zu tun, aber weiter im Text:

Selbstverständlich heißen diese Prozesse unterschiedlich. Erkennt der Anwender nun den Trojaner im Taskmng. und dessen Eintrag in der Registrierung (Run) und killt den Prozess bzw. löscht den Eintrag geschieht folgendes: die anderen Prozesse prüfen ca. 1-5x pro Sekunde ob alle 3 Prozesse laufen und ob der Eintrag in der Registirerung (Run) immernoch enthalten ist. Wenn nicht, wird der Eintrag hinzugefügt und die fehlenden Prozesse gestartet. So schnell kann kein User klicken...

Es gibt aber hübsche Tools (z.B. pcwKill (oder hier) von der PC-Welt oder PsKill von Sysinternals), mit denen man per Kommandozeile Prozesse killen kann. Wenn ich nun alle drei Kills direkt hintereinander ausführe (als Batch-Job), dauert das wohl weniger als eine Sekunde.

Wird einer der 3 Prozesse mit dem Taskmng. gekillt, könnte ein anderer Prozess eine Fehlermeldung herausbringen wie sowas in der Art: "Dieser Windows-Dienst kann icht beendet werde..." mit bissl blablala was die meisten User nicht kapieren.

Was für Konsequenzen hätte diese Meldung für den gekillten Prozess? Er ist doch dann schon tot.

Hab das ganze ausprobiert, funktioniert und man bekommt das ganze nicht so einfach los. Mit dem Taskmanager kann man nur einen Prozess auf einmal abschießen, nicht alle drei.

Gehen die ständigen Abfragen, welche Prozesse noch leben nicht zu Lasten der Performance?

So, nun die Frage. Welche Software kann solch einen Trojaner beseitigen? Wie würde ein User sowas wieder loskriegen?

Siehe oben außerdem kannst du mit Knoppix oder einer anderen Live-CD eines beliebigen Betriebssystems an deine Festplatte und den Trojaner manuell löschen.

PS: Ich bin NICHT (!!!) daran interessiert anderen Schaden zuzufügen oder einen möglichst guten Trojaner zu programmieren. Das kann ich auch so, ich  möchte eben um diese "Sicherheitslücke" diskutieren und von anderen desbezüglich lernen.

Meinst du, das Selfhtml der richtige Ort ist, um über Windows-Sicherheitslücken zu diskutieren? Welche Farbe hat im Übrigen dein Hut?

Viele Grüße,
Robert

Beitrag melden
+1
Informationen zu den Bewertungsregeln