ComputerBase Menü
Aktuelles

Trojaner trotz UAC?

dahum

dahum

Lt. Commander
Registriert
Juli 2005
Beiträge
1.383
Habe heute ein Programm aus unsicherer Quelle runtergeladen. Antivir hat nichts gemeldet, zur Sicherheit hab ichs nochmal online bei virustotal überprüft, nur zwei scanner haben verdächtiges gemeldet, der Rest aber nicht.

Also habe ich mal auf die Mehrzahl und UAC vertraut, und siehe da, beim Anklicken hat sich die Datei selbst gelöscht, einen unsichtbaren Prozess gestartet, ins Windows System verzeichnis neue Ordner und Dateien und in den Autostart der Registry geschrieben.

Ein klarer billiger Trojaner also, den man leicht mit einer Systemwiederherstellung löschen konnte. Schlimm genug das 95% der Virenscanner versagen,
was mich allerdings beunruhigt, wieso hat UAC nichts gemeldet? Dafür wurde es doch gemacht, nervt täglich mit 50 Fenstern und den erstbesten Trojaner lässt es passieren? :freak:
 
Ne die UAC ist dafür gedacht das sich Programme aus unsicheren quellen oder welche die man nicht selbst heruntergeladen hat instalieren. WEnn du dich entscheidest nen tool zu trauen kann die UAC nichts machen. Und vierenscanner sind nur so aktuel wie ihre signaturen. glaubst du wirklich die können alle vieren sofort erkennen.
 
Weder UAC noch Virenscanner sind ein zuverlässig Schutz gegen Malware. Tatsache ist, es gibt überhaupt keinen hunderprozentigen Schutz gegen Malware.

Es gibt zehntausende unbekannter Viren und Trojaner da draußen. Erst kürzlich hat eine Chinesische Sicherheitsfirma eine Datenbank frei gegeben in der, für Westliche Anti-Viren Hersteller, Millionen unbekannter Viren drin stehen.
 
UAC ist KEIN Virenschutz es soll nur verhindern das sich unerwünschte Programme als admin ausführen

Wie man so schön sagt das größte Risiko sitzt vor dem Pc :D
 
Zuletzt bearbeitet:
OSJF schrieb:
Weder UAC noch Virenscanner sind ein zuverlässig Schutz gegen Malware. Tatsache ist, es gibt überhaupt keinen hunderprozentigen Schutz gegen Malware.

Es gibt zehntausende unbekannter Viren und Trojaner da draußen. Erst kürzlich hat eine Chinesische Sicherheitsfirma eine Datenbank frei gegeben in der, für Westliche Anti-Viren Hersteller, Millionen unbekannter Viren drin stehen.
Zum Vergrößern anklicken....

HAst du ne quelle? nicht das ich dir nicht glaube, interesiert mich einfach nur
 
Die UAC von Windows 7 ist in Standardeinstellung bei Weitem nicht mehr so Sicher wie bei Vista, man sollte sie also wieder auf die höhere Einstellung setzen.

Trotzdem verwundert es schon, dass die Registy und die Windowsordner einfach so beschrieben werden können (ich gehe mal davon aus, dass kein Abfragefenster beim Starten des Programms kam, oder?).
Muss man denn bei veränderndem Zugriff auf die Ordner normalerweise, wie es bei Vista noch ist, bestätigen?
 
Zur UAC sollte man sagen, dass sie auf 7 nur auf höchster Stufe etwas taugt. dann ist das ganze aber schon ein sehr zuverlässiger Schutz gegen Malware, weil du eben die Erlaubnis geben musst, damit ein Prozess mit Adminrechten gestartet werden kann - ohne die kann er in Ordnern, für die "Benutzer" keinen Schreibzugriff haben, usw. nichts löschen. Wenn du allerdings diese Rechteerhöhung für den Przess über die UAC authorisierst, bekommt der Prozess die auch - dafür ist UAC ja da, nicht um Zugriff zu verweigern, sondern um die Rechteerhöhung zu ermöglichen, wenn Du sie authorisierst.

Zur Sicherheit empfehle ich aber sowieso, nie einen Desktop mit einem Benutzer der Gruppe "Administrator" zu starten, sondern nur mit "Standardbenutzer" - mache ich auch.
 
Zuletzt bearbeitet:
Wo soll der Unterschied zwischen den beiden Benutzergruppen bei einem System mit vernünftiger UAC liegen?!
 
wenn du die quelle nicht kennst, bzw. der quelle nicht vertraust, solltest du das tool nicht verwenden.

Wenn du das ding wirklich brauchst, würd ich einen test in einer virtuellen maschine emfehlen, die kann man zurücksetzen...
 
@ Lar337

Dass Fehler in der Festlegung von Microsoft, was die Abfrage erfordert, keine Rolle mehr spielen. Auf Mac ist es bspw. so, dass jeder sudoer (admingruppe) alle Programme nach belieben überschreiben darf, wie er will, weil Apple niemanden mit zu vielen Passwortabfragen nerven will - nur andere Systemordner erfordern auch von admins eine Rechteerhöhung. Mit Standarduser musst du dafür trotzdem immer eine Rechteerhöhung durchführen, obwohl es von Apple so konfiguriert wurde, dass admins/sudoers das auch ohne dürfen.
 
Naja, wenn man das Ding schon für nen Schädling hält, hätte man es ja auch in einer VM mal testen können...
 
dahum schrieb:
Also habe ich mal auf die Mehrzahl und UAC vertraut, und siehe da, beim Anklicken hat sich die Datei selbst gelöscht, einen unsichtbaren Prozess gestartet, ins Windows System verzeichnis neue Ordner und Dateien und in den Autostart der Registry geschrieben.
Zum Vergrößern anklicken....
Was ist beim anklicken (Doppelklick) passiert? Hat sich die UAC gemeldet und hast du den UAC Dialog mit Ja bestätigt?
 
Könntest du mir den Link der Datei verraten? Ich würde das zu gerne in einer isolierten Umgebung mal Testen.

Bzw. sollte es sich um irgendetwas Foren-widriges handeln per PM schicken?


Eine Idee von mir wäre, dass du dir schon vorher einen Trojaner eingefangen hast (was bei deinem Nutzerverhalten nicht ausgeschlossen ist -auf gut Glück Dateien von unbekanntem Nutzen oder Herkunft öffnen^^), der anderen schädlichen Programmen Türen und Tore geöffnet hat.
 
Zuletzt bearbeitet:
Hatte letztens so ein ähnliches Problem... klassischer Userfail...
Dank NOD32 wurde aber erstmal schlimmeres verhindert. Anschließender Systemrestore und scan mit 3 AV-Engines (Gratis-Online-Scanner sind schon eine tolle Sache ^^) hat mir geholfen dem Ding wieder halbwegs zu vetrauen.
Allerdings holt so ein Vorfall einen auch wieder auf den Boden Tatsachen zurück: 100% sicher ist man nie! Die größte Gefahr ist nicht irgendein Sicherheitsleck in zB Windows sondern "sich sicher zu fühlen". Gefährlich ist nicht der Virus am PC, den man kennt, sondern der, den man nicht kennt!

Gibt es irgendein Programm, dass die Tätigkeiten eines andere Programmes aufzeichnen kann? (Und natürlich die durch dieses Programm gestarteten Programme)
So im Sinne von:

exec virus.exe
___________

file written: C:\....\awdaw.exe
regdb key added: HKLM/...
regdb key modified: .../awdawd => .../nsfnskje
exec awdaw.exe
awdwaw.exe file written C:\...\autostart.cmd
etc...

Sowas wäre echt der Hit!

MfG, Thomas
 
@High-Tech-Freak

Also früher wurde Highjackthis zur system analyse rangezogen heutzutage wird eher OLT by Oldtimer verwendet. Leider sind die Logs sehr Kryptisch.
 
UAC hat natürlich keine Abfrage gemacht. Und das ich von nicht vertrauenswürdigen Quellen runterlade, ist zwar mein Risiko, aber prinzipiell nicht zu verhindern (es gibt z.B. keine vertrauenswürdige Quelle im Usenet), auch vertrauenswürdige Quellen können verseucht sein.

Das ist ja das Problem, UAC sollte in solchen Fällen schützen, sonst kann ich es ja gleich deaktivieren. Ich dachte, UAC fragt grundsätzlich bei Schreibvorgängen in Windows und Registry ab. Mit VMs habe ich mich noch nicht beschäftigt.

Die Datei war übrigens ein selbstextrahierendes Winrararchiv, was natürlich immer sehr verdächtig ist. Ich habe es auch nicht einfach ausgeführt, sondern wollte es in Winrar öffnen, um nachzusehen, was drin ist. Winrar hat die Datei allerdings nicht geöffnet, sondern ausgeführt, wahrscheinlich, weil es gar kein echtes Archiv war. Auch winrar hat bei mir keine admin Rechte, weshalb ich nicht verstehe, wieso der Trojaner offenbar welche hatte.
 
dahum schrieb:
...
Ich dachte, UAC fragt grundsätzlich bei Schreibvorgängen in Windows und Registry ab. Mit VMs habe ich mich noch nicht beschäftigt.
...
Zum Vergrößern anklicken....
Hattest du es auf höchster Stufe eingestellt, oder auf Voreinstellung? Wenn auf höchster Stufe, ist mein Tipp nur mit Standarduser einen Desktop zu starten ja richtig, weil dann auch auf höchster Stufe Konfigurationsmängel bei den "Sudoer-Rechten" vorliegen - aber muss nicht unbedingt sein, dass die Vorkonfiguration von Windows 7 bei UAC mangelhaft ist, ist in der Blogosphere schon vor Veröfffentlichung von Win7 diskutiert worden. ;)
 
dahum schrieb:
was mich allerdings beunruhigt, wieso hat UAC nichts gemeldet? Dafür wurde es doch gemacht, nervt täglich mit 50 Fenstern und den erstbesten Trojaner lässt es passieren? :freak:
Zum Vergrößern anklicken....

uac = pseudo schutz und vor allem auch kein virenscanner:D
das fragt nur bei kernel zugriff oder so, wenn dein virus auf user level startet sollte keine meldung kommen is ja auch noch der witz drann^^
habs auch nur aus prinzip an, is aber ehr nervig als nützlich...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
Trojaner im Bios? Experten gefragt ...
2 3
Antworten
41
Aufrufe
6.877
whats4
whats4
N
Verteilt Computer Bild Backdoor Trojaner
2
Antworten
28
Aufrufe
6.405
Wechsler
W
C
Frage zu Trojaner Trojan:Win32/Wacatac
Antworten
14
Aufrufe
7.657
purzelbär
purzelbär
E
Bladabindi-Trojaner nach Libreoffice Download von Computerbild
Antworten
12
Aufrufe
5.326
Sas87
Sas87
Postman
[Trojaner] - SubTab Add ist nicht auffindbar / Win Defender meldet trotz Infektion
Antworten
19
Aufrufe
2.006
Postman
Postman
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz