Dani: Trojaner

Hallo,

ich interessiere mich sehr für den Bereich Sicherheit. Neulich ist mir ne Idee gekommen:

einen Trojaner zu machen der sich selbst 2-3x als Prozess startet. Selbstverständlich heißen diese Prozesse unterschiedlich. Erkennt der Anwender nun den Trojaner im Taskmng. und dessen Eintrag in der Registrierung (Run) und killt den Prozess bzw. löscht den Eintrag geschieht folgendes: die anderen Prozesse prüfen ca. 1-5x pro Sekunde ob alle 3 Prozesse laufen und ob der Eintrag in der Registirerung (Run) immernoch enthalten ist. Wenn nicht, wird der Eintrag hinzugefügt und die fehlenden Prozesse gestartet. So schnell kann kein User klicken...

Wird einer der 3 Prozesse mit dem Taskmng. gekillt, könnte ein anderer Prozess eine Fehlermeldung herausbringen wie sowas in der Art: "Dieser Windows-Dienst kann icht beendet werde..." mit bissl blablala was die meisten User nicht kapieren.

Hab das ganze ausprobiert, funktioniert und man bekommt das ganze nicht so einfach los. Mit dem Taskmanager kann man nur einen Prozess auf einmal abschießen, nicht alle drei.

So, nun die Frage. Welche Software kann solch einen Trojaner beseitigen? Wie würde ein User sowas wieder loskriegen?

PS: Ich bin NICHT (!!!) daran interessiert anderen Schaden zuzufügen oder einen möglichst guten Trojaner zu programmieren. Das kann ich auch so, ich  möchte eben um diese "Sicherheitslücke" diskutieren und von anderen desbezüglich lernen.

  1. Halloa!
    nun, ein sehr heikles Thema...aber..nun...
    ich würde selbst ein kleines Proggi schreiben, dass sich diese drei Prozesse zur Brust nimmt und sie "Platt" macht...bzw. ermitteln wo die Executable liegt und diese löschen...

    Gruss

  2. Hallo,

    Neulich ist mir ne Idee gekommen:

    die so brandneu ist, dass sie bereits von den Gebrüdern Grimm dokumentiert wurde.

    PS: Ich bin NICHT (!!!) daran interessiert anderen Schaden zuzufügen oder einen möglichst guten Trojaner zu programmieren. Das kann ich auch so

    Das ist keine Leistung, das Thema ein uralter Hut.

    Freundliche Grüße

    Vinzenz

  3. Moin!

    Hab das ganze ausprobiert, funktioniert und man bekommt das ganze nicht so einfach los. Mit dem Taskmanager kann man nur einen Prozess auf einmal abschießen, nicht alle drei.

    Prima. Du hast soeben erkannt, warum man Schadsoftware nicht im laufenden Betrieb entfernt, sondern von einer vertrauenswürdigen Quelle ein sauberes System startet, und dann auf der Festplatte aufräumt.

    - Sven Rautenberg

    --
    My sssignature, my preciousssss!
  4. Windows kennt einen Befehl, der mir dabei schon einige male geholfen hat:

    Prozessstruktur beenden ...

    MFG
    Griever

  5. Moin!

    ich interessiere mich sehr für den Bereich Sicherheit.

    Das ist sehr zu begrüßen.

    Neulich ist mir ne Idee gekommen:

    einen Trojaner zu machen der sich selbst 2-3x als Prozess startet.

    Das hat IMHO eher mit Unsicherheit zu tun, aber weiter im Text:

    Selbstverständlich heißen diese Prozesse unterschiedlich. Erkennt der Anwender nun den Trojaner im Taskmng. und dessen Eintrag in der Registrierung (Run) und killt den Prozess bzw. löscht den Eintrag geschieht folgendes: die anderen Prozesse prüfen ca. 1-5x pro Sekunde ob alle 3 Prozesse laufen und ob der Eintrag in der Registirerung (Run) immernoch enthalten ist. Wenn nicht, wird der Eintrag hinzugefügt und die fehlenden Prozesse gestartet. So schnell kann kein User klicken...

    Es gibt aber hübsche Tools (z.B. pcwKill (oder hier) von der PC-Welt oder PsKill von Sysinternals), mit denen man per Kommandozeile Prozesse killen kann. Wenn ich nun alle drei Kills direkt hintereinander ausführe (als Batch-Job), dauert das wohl weniger als eine Sekunde.

    Wird einer der 3 Prozesse mit dem Taskmng. gekillt, könnte ein anderer Prozess eine Fehlermeldung herausbringen wie sowas in der Art: "Dieser Windows-Dienst kann icht beendet werde..." mit bissl blablala was die meisten User nicht kapieren.

    Was für Konsequenzen hätte diese Meldung für den gekillten Prozess? Er ist doch dann schon tot.

    Hab das ganze ausprobiert, funktioniert und man bekommt das ganze nicht so einfach los. Mit dem Taskmanager kann man nur einen Prozess auf einmal abschießen, nicht alle drei.

    Gehen die ständigen Abfragen, welche Prozesse noch leben nicht zu Lasten der Performance?

    So, nun die Frage. Welche Software kann solch einen Trojaner beseitigen? Wie würde ein User sowas wieder loskriegen?

    Siehe oben außerdem kannst du mit Knoppix oder einer anderen Live-CD eines beliebigen Betriebssystems an deine Festplatte und den Trojaner manuell löschen.

    PS: Ich bin NICHT (!!!) daran interessiert anderen Schaden zuzufügen oder einen möglichst guten Trojaner zu programmieren. Das kann ich auch so, ich  möchte eben um diese "Sicherheitslücke" diskutieren und von anderen desbezüglich lernen.

    Meinst du, das Selfhtml der richtige Ort ist, um über Windows-Sicherheitslücken zu diskutieren? Welche Farbe hat im Übrigen dein Hut?

    Viele Grüße,
    Robert