Erkennt soetwas ein Virenschutz?

[dubstep1234]

angenommen, ich habe keinen virenschutz und installiere ein programm. das programm ändert irgendwelche server, sodass dateien an andere server als vorgesehen gesendet/abgerufen o.ä. werden.
Das Programm deinstalliere ich nun wieder, aber die einstellungen, die es gemacht hat, bleiben erhalten.
Jetzt installiere ich einen Virenschutz, würde dieser Vienschutz diese abgeänderten server adressen erkennen?

Das bezieht sich auf Windows, sowie auf andere Betriebsyysteme.

 

[Vindoriel]

Nein.

 

[rg88]

Nö, wie sollte er auch

 

[Tumbleweed]

Für Linux gibt es so was in der Art, aber ein Allheilmittel ist es nicht und unter Virenschutz fällt das auch nicht.

Linux hat den Vorteil, dass normalerweise alles aus einer Paketverwaltung installiert wird. Dadurch gibt es eine Vorlage, gegen die abgeglichen werden kann. Das kann natürlich nur für systemweite Konfiguration funktionieren, denn für Einstellungen via home-Verzeichnis, die ja etwas sehr Individuelles sind, kann es keine Vorlage geben.

Spoiler: Beispiel für Debian

$ debsums --help
debsums checks the MD5 sums of installed debian packages.

Usage: debsums [OPTIONS] [PACKAGE|DEB] ...

Options:
-a, --all                    check configuration files (normally excluded)
-e, --config                 check only configuration files
-c, --changed                report changed files (implies -s)
-l, --list-missing           list packages which don't have an md5sums file
-s, --silent                 only report errors
-m, --md5sums=FILE           read list of deb checksums from FILE
-x, --report-mismatches      report errors and print the md5sums mismatch
-r, --root=DIR               root directory to check (default /)
-d, --admindir=DIR           dpkg admin directory (default /var/lib/dpkg)
-p, --deb-path=DIR[:DIR...]  search path for debs
-g, --generate=[all][,keep[,nocheck]]
                              generate md5sums from deb contents
     --no-locale-purge        report missing locale files even if localepurge
                              is configured
     --no-prelink             report changed ELF files even if prelink is
                              configured
     --ignore-obsolete        ignore obsolete conffiles.
     --help                   print this help, then exit
     --version                print version number, then exit

Wenn nun aber eine dieser Dateien modifiziert wurde durch malware, bedeutet das, dass sie dazu root-Rechte hatte (ich gehe mal nicht davon aus, dass Jedermann Schreibrechte hat, sonst hast du ganz andere Sorgen und solltest kein Linux administrieren). Das wiederum würde für mich umso mehr bedeuten, dass dieses System nicht mehr vertrauenswürdig ist und sterben muss. Aber immerhin hatte ich die Möglichkeit, das überhaupt zu bemerken.

 

[dubstep1234]

hmm.. und wie kann man soetwas dann rausfinden?

 

[rg88]

Was ist denn dein konkreter Verdacht?
Wenn man Zweifel an einem System hat, gibts nur eine sinnvolle Vorgehensweise: alles platt machen

 

[dubstep1234]

konkreten verdacht habe ich nicht. das war eher eine allgemeine frage

 

[Yuuri]

Für Linux gibt es so was in der Art, aber ein Allheilmittel ist es nicht und unter Virenschutz fällt das auch nicht.

"in der Art" funktioniert aber auch nicht. Für die Szenarien, die der TE beschreibt, müsste man die Hosts Datei ändern oder einen DNS Server mit eigenen Zonefiles installieren.

Die Hosts-Datei wird nicht von debsums angefasst und eigene Zonefiles sind ebenso nicht mit inkludiert. Zusätzlich noch den DNS-Server ändern, aber auch die Config wird nicht von debsums geprüft.

@dubstep1234 Du kannst höchstens deine Konfigurationen per VCS versionisieren und dann regelmäßig manuell gegen prüfen, ob und was geändert wurde.

 

[purzelbär]

Einem User wie ihm würde ich keine Tipps geben zumal er exakt das gleiche im TB gefragt hat und dort auch in einem anderen Thread nach illegalem Aktivator gefragt hat mit dem man Windows illegal aktivieren kann: https://www.trojaner-board.de/193343-windows-activator-by-daz-virus-genau-macht-programm.html

 

[rg88]

konkreten verdacht habe ich nicht. das war eher eine allgemeine frage

Naja, purzelbär hat ja gerade hervorragend recherchiert, dass du sehr offensichtlich hier lügst...

 

[purzelbär]

Ich verstehe sein Vorhaben so: er will eine kostenpflichtige Software oder ein OS wie Windows mit einem illegalen Aktivator aktivieren, dann den Aktivator wieder entfernen von seinem System und er weiß nicht ob dann die illegale Aktivierung bleibt oder nicht und er weiß auch noch nicht ob ein Virenschutz dann die illegale Aktivierung finden und beheben/löschen würde.

 

[rg88]

Oder er hat Angst, dass die illegale Software mehr macht, als sie vorgibt zu machen. Da denke ich ist der Knackpunkt

 

[Tumbleweed]

@Yuuri ich hab sein Szenario gar nicht verstanden. Danke für die Erleuchtung. Mit "ändert Server" konnte ich nichts anfangen.

Wenn es nur ums Erkennen der Modifikation geht, könnte man alle Dateien mit gpg signieren und die regelmäßig (z.B. nächtlich oder beim Booten) checken oder sich eine Liste von md5-Summen der relevanten Dateien erstellen. Oft kann es reichen, die Datei mit chattr +i festzusetzen, um programmatische Änderungen zu verhindern. Ansonsten bleibt da nur noch LSM, also SELinux und Co. Ansonsten würde ich den Block generell außerhalb der Maschine selbst setzen, also auf einer Hardwarefirewall auf dem Weg ins WAN.

Schade, dass hier offenbar so niedere Beweggründe zur Erstellung dieses Threads führten...

@dubstep1234 kauf doch dieses OS einfach. Das wird einem doch inzwischen hinterhergeworfen. Oder löse dich ein für alle Mal davon und werde mit einem freien OS glücklich. Binarys aus dubiosen Quellen ausführen, am besten noch mit administrativen Rechten, ist keine gute Idee. Bonus: du brauchst dann auch keinen ähnlich dubiosen Virenschutz mehr.

 

[phil.]