Bootsektor- / MBR-Virus

[chinamaschiene]

hallo,

viele meinen ja das ein virus eine formatierung überleben kann nachdem die festplatte formatiert ist. also wenn man unter formatieren das überschreiben der partitionen mit 0en meint ist das doch unmöglich denn in den MBR passt doch wohl kaum ein virus rein. abgesehen davon wird der mbr ja auch überschreiben bei einer windows installation zumindest die ersten 446 byte.

bei einer quickformatierung könnte er im mbr einen bootloader an einer speziellen stelle der festplatte laden der jedoch zugleich noch den vom vorhandenen os bootloader nachmacht. wird der mbr durch eine neuinstallation überschrieben stört die malware doch auch nicht auch wenn sie physikalisch auf der platte noch liegt.

ändert man was an den partitionen das selbe.

daher behaupte ich dass es keinen virus gibt der eine formatierung mit anschließender neuinstallation überlebt. wir gehen jetzt von einem system mit 1ner hdd aus ohne irgendwelche infizierten anderen medien.

falls das falsch ist würde ich gerne detailliert besser belehrt werden.

 

[Creshal]

in den MBR passt doch wohl kaum ein virus rein

Diese Jugend von heute... türlich passt in den MBR ein in Assembler geschriebener Virus, bzw. zumindest ein Bootloader, der erst den Virus lädt und danach den normalen Bootloader des OS ausführt. Bei einer gründlichen Formatierung bleibt davon natürlich nichts übrig.

Es gibt theoretisch allerdings noch genug andere Speichermedien in einem 1-HDD-System die infiziert werden können – BIOS-Chip (direkt flashen oder via ACPI-Tables), Firmwarespeicher selbiger HDD, Firmwares von PCI(e)-Geräten ("PCI Rootkit") usw. usf.
Solche Viren sind schwer zu entdecken und von Laien nicht entfernbar (außer indem die betroffene Hardware ausgetauscht wird). Damit der Virus aber auch funktioniert ohne aufzufallen, muss die Zielhardware genau bekannt sein (Hardware- und BIOS-Revision, wie viel Speicher maximal vom Virus übernommen werden kann ohne dass die Hardware nicht mehr ordnungsgemäß läuft etc. pp.) – Das gemeine Scriptkiddie, das seine IE-Viren im Viren-Baukasten zusammenbastelt und sich für 1337 hält, wenn es mit einem Hexeditor umgehen kann, wird sowas nicht schaffen (und auch nicht wollen, denn es gibt einfach zu viele verschiedene Hardware als dass sich der Aufwand lohnt). Solche Viren werden höchstens von Geheimdiensten oder organisiertem Verbrechen bei gezielten Einbrüchen eingesetzt.

 

[markus1234]

Wenn du so viel über stealth Maleware wissen willst, dann beschäftige dich mit Rootkits.
Die aktuelle Generation ist absolut unsichtbar.

Kleine Thematik:

- Benutzer führt Datei aus.
- Datei läd in kleinen Häppchen - morphisch komprimiert - Schadcode und sichert es in ein Rootkit*
* Das Rootkit selbst kann sich unbemerkt an einer beliebigen Stelle einnisten
- Nun wird aus den morphischen Datenfetzen eine morphische, intelligente Maleware
- Die Maleware öffnet mehrere Sicherheitslücken, modifiziert Systemdateien (bzw. tauscht sie mit einer Timebomb aus - so, dass z.B. Sicherheitslücken o. Vorgänge erst nach einem unwarscheinlichem Entfernen des Rootkits geöffnet/gestartet werden)
- Nun agiert die morphische Maleware - da sie jedes mal eine andere Größe und Reihenfolge von Aktionen durchführt, kann sie unmöglich in der Signaturliste von Antivirensoftware-Herstellern landen.
- Heusristische Erkennungen werden umgangen, da keine "1337"-Packer/Routinen o.a. benutzt werden

Fertig.

Unsichtbare Maleware, keine Sicherheitslösung dieser Welt wird dich jetzt aus der Klammer befreien können - ganz einfach weil du nicht weißt dass du in einer drin steckst.

Wer seine Maleware noch etwas aufmotzen möchte - der kauft (...) für ein paar Hunderttausend Euro noch ein paar offene, nicht geschlossene Sicherheitslücken von Windows.

Mit einem Range-Scanner, ein paar Verbindungsanfragen und den Informationen über die Lücken - können binen 2-3 Tagen alle Rechner weltweit kompromittiert werden.

"Könnte", die Leets unter den Fachmännern würden sich beim "Langeweile-Sniffen" eventuell über die komischen Einträge wundern. Das kann man allerdings größtenteils auch tunneln.

Das war nur das erste Streichholz aus der Schachtel.
Möge es für ein wenig Erleuchtung sorgen.

mfg,
Markus