ComputerBase Menü
Aktuelles

Trojaner trotz UAC?

Wenn ein Virsu mit Stanbdardbenutzerrechten gestartet wird, ist das aber auch kein wahnsinnig großes Problem fürs OS - Antivirenprogramm macht eigentlich nur dann richtig Sinn, der der Virus nicht über Adminrechte verfügt, weil er sonst auch gut als Antiantivirenprogramm arbeiten kann.
 
@Spawnie
hallo,
kryptisch sind die informationen nicht, man braucht nur ein wenig routine, um ein solches log zu interpretieren.
eine weitere sehr gute alternative ist dds.
das ist aber im gegensatz zu otl(damit kann man auch bereinigen) ein reines analyse-tool.
 
Welche Windows-Order meinst du eigentlich, dahum?

Reden wir wirklich von System32 oder c:\Windows? (und nicht z.B. von erfundenen System32-Ordnern direkt auf c:? Normalerweise ist nämlich die oberste Ordner-Ebene für alle Schreibzugriffe offen. Ein Trojaner könnte also z.B. selber Ordner und Unterordner erstellen z.B. C:\Wind0ws\System32\

Auch in deinen Nutzerordnern kann jedes Programm nach Belieben Dateien und Ordner erstellen; und es gibt viele viele Programme, die gar keine Installation brauchen (z.B. die Tools von Sysinternals, mit denen sich ja auch Log-Dateien erstellen lassen; und wenn Logdateien gehen, dann kann ein Trojaner auch programmiert werden, *.exe-Dateien zu produzieren.)

Wegen eingeschränktem Profil unter Win7: Es ist definitiv sinnvoller, als eingeschränkter Nutzer unterwegs zu sein. Denn dann muss man, jedesmal, wenn sich die UAC meldet, ein Passwort eingeben. Man kann den UAC-Dialog also nicht aus Versehen wegklicken. Wer nur wenig Software installiert und nicht permanent Admin-Rechte braucht, sollte immer als eingeschränkter Nutzer unterwegs sein.
 
was wirklich das verhalten von software analysiert und sie daher als malware erkennen könnte ist nicht UAC sondern threatfire, momentan der beste verhaltensbasierte scanner, wie auch im How To thread zu finden.

ansonsten macht microsoft mit z.b. UAC wie immer den selben fehler, opt-out statt opt-in :lol: mit einem gescheiten linux muss man sich schon "anstrengen" als root arbeiten zu dürfen.
 
enteon schrieb:
ansonsten macht microsoft mit z.b. UAC wie immer den selben fehler, opt-out statt opt-in :lol: mit einem gescheiten linux muss man sich schon "anstrengen" als root arbeiten zu dürfen.
Zum Vergrößern anklicken....
? Du nutzt kein Windows, oder? Die UAC ist genau das: Opt-In statt Opt-out!
Man muss ja den UAC-Dialog bestätigen, um Admin-Rechte zu kriegen. Ist das gleiche wie bei Linux, nur bequemer :p :D
 
es ist aber kein problem standardmäßig auch an UAC vorbei adminrechte zu bekommen. das ist unter z.b. linux prinzipiell nicht möglich.
ich zielte mehr auf das ab was darunter liegt, nicht das was anwender sehen :)

das bequeme "UAC-fenster" gab es unter linux schon zu XP zeiten.

aber wir sollten froh sein, dass es endlich UAC gibt ;)
 
enteon schrieb:
es ist aber kein problem standardmäßig auch an UAC vorbei adminrechte zu bekommen. ...
Zum Vergrößern anklicken....
Nur wenn die Rechte der Gruppe Administratoren, was der Gruppe Sudoers bei Linux entspricht, schlecht konfiguriert sind - bei Mac OS X ist den Sudoers ohne Rechteerhöhung mehr gestattet, als der Gruppe Adminsitratoren auf Windows - Sudo, die Standardtechnik heutiger Linuxdistributionen, hin oder her. Sobald du nur mit "Standarduser" (das ist der, der bei XP noch "Eingeschränkter" hieß) den Desktop startest, bist du dieses Problem aber los.
 
Zuletzt bearbeitet:
@TE: So ganz ist die Frage noch nicht beantwortet.
Hat der Virus in einen Ordner geschrieben, bei dem eine Abfrage kommen müsste in deiner Einstellung der UAC (einfach mal manuell was reinschreiben, nen Ordner oder so)?
 
Der Trojaner hat in C:\windows\system32 einen neuen Ordner namens "install" und darin die Datei svchost.exe erstellt, dazu ein paar registry einträge.

Meine UAC Stufe war Standart, ich habe sie jetzt erhöht. Aber eigentlich sollte die Standartstufe ja genauso vor Programmen schützen. Ich habe jetzt auch irgendwie keine Lust, mit dieser Einstellung noch mal zu probieren, ob der Trojaner noch funktioniert. ;)
 
UAC schränkt nur die Rechte des Programms ein.
Es kann überall dort schreiben, wo du es ohne die Bestätigung auch kannst.
Deshalb wäre es ja interessant zu wissen, ob du ohne Bestätigung dort ebenfalls schreiben konntest in der alten Einstellung (ich hab kein 7).
 
Nein, geht nicht, dort kann ich nur schreiben, wenn das entsprechende Programm Adminrechte hat, ansonsten gibts ne Fehlermeldung oder die UAC Abfrage. Es bleibt also rätselhaft.
 
unknowen schrieb:
Könntest du mir den Link der Datei verraten? Ich würde das zu gerne in einer isolierten Umgebung mal Testen.

Bzw. sollte es sich um irgendetwas Foren-widriges handeln per PM schicken?
Zum Vergrößern anklicken....

Es wird rätselhaft bleiben, wenn du es andere nicht testen lässt. ;) Schick den Link via PM, hätte da auch Interesse.
 
Hallo Schadsoftware"profis", UAC-Anhänger, liebe Leute,

ich beschäftige mich momentan auch mit dem Phänomen, dass die Benutzerkontensteuerung von Windows 7 einfach nicht auf das Ausführen einer Schadsoftware reagiert - und das obwohl die höchste Sicherheitsstufe gewählt wurde.

Vielleicht handelt es sich dabei um ein ähnliches Stück Software wie das des Themastarters,
nämlich einen ICQ-Wurm oder so...
Einer der vielen, permanent über ICQ verschickten Links ist der hier: http://www.facebook.cuoan.com/facebook_gallery.php?image=DSC004070602010.JPG
Achtung: geladen wird dann kein JPEG-Bild, sondern ein als Bild getarnter *.scr-"Screensaver", der wiederrum nur ein ausführbares Programm darstellt.

Avast Home erkennt garnichts. Comodo Antivirus kennt diesen Schädling zwar nicht, zum Glück springt aber die Sandbox an und lässt ihn im Sand spielen.
VirusTotal und Jotti's Malware Scanner liefern auch nur sehr bescheidene Ergebnisse.
Da beide Dienste auch den allseits gelobten Kaspersky nutzen, schließe ich auch den als Retter aus. Das einzige Programm, was ich gefunden habe, das den Schädling zu kennen scheint, ist Emisoft Anti-Malware (besser bekannt als der Hersteller von A-Squared, falls ich mich nicht irre).

Warum reagiert aber die Windows 7-Benutzersteuerung auf höchster Stufe überhaupt nicht? Bei jedem popeligen Programm erscheint eine Sicherheitsabfrage - aber bei dem nicht. Das kann doch nicht wahr sein?!
 
Zuletzt bearbeitet:
@QuantenWalli: Ich hoffe du hast E-Mail Benachrichtigung aktiviert :)

Also so weit ich sehe reagiert die UAC deshalb nicht, weil es eben kein Antiviren Programm ist.

Der Prozess kann nur auf Benutzerebene zugreifen und tut dies auch. (Bei mir hat msn gesponnen,...) Auf Admin Ebene (Windows Ordner, SystemProzesse,...) konnte ich keine Veränderungen feststellen.

Also macht es genau so viel wie ein Programm auch als eingeschränkter Benutzer unter anderen Betriebsystemen darf.

Würde man ein Linux Programm schreiben, dass alle Dateien im Home Ordner löscht könnte man dies genauso als Virus bezeichnen, nur ist die Anzahl an Linux Benutzer die keine andere Software als OpenSource aus der SoftwareDistibution-Liste ausführen so gering, dass es sich vermutlich nicht lohnen würde.
Einem Windows "DAU" eine SCR unterzuschieben ist da schon viel einfacher^^.

Also MSE (Microsoft Security Essentials) hat den Virus bei mir erkannt (auch nur den Prozess, da er ja scheinbar keine Dateien im Systemverzeichnis ablegen kann) und auch entfernen können.

mfg
unknowen
 
@unknowen

Danke für deine Antwort! Na wenn das wirklich nur auf User-Ebene agiert, bin ich ja beruhigt. Fragt sich halt, was der Sinn hinter dem Programm ist. Es verbreitet sich per Messenger weiter und soll angeblich eine Hintertür zur Fernsteuerung öffnen (habe ich zumindest irgendwo gelesen auf meiner Suche nach SCR und ICQ-Wurm).
Und das geht alles auf User-Ebene? Naja ok, der TeamViewer machts ja nicht anders...

Aber dass es von MSE entdeckt wird, überrascht mich jetzt doch positiv :)
 
Kaspersky sollte das Ding demnächst auch erkennen:

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

DSC004070602010.JPG.Scr - Backdoor.Win32.Gootkit.ei

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab
Zum Vergrößern anklicken....
Von anderen Firmen habe ich noch keine Antwort.
 
Mein Norton Antivirus 2010 erkennt das Ding auch. Wenn ich auf den Link klicke, dann springt NAV an und Blockiert das Teil^^
 
@unknowen
Also MSE (Microsoft Security Essentials) hat den Virus bei mir erkannt (auch nur den Prozess, da er ja scheinbar keine Dateien im Systemverzeichnis ablegen kann) und auch entfernen können.
Zum Vergrößern anklicken....
In blindem Vertrauen habe ich mir MSE (Microsoft Security Essentials) installiert - Version der Viren-Definitionen: 1.85.1948.0 vom 12.07.2010, 23:26 Uhr und damit die aktuellsten momentan.

Microsoft Security Essentials erkennt dieses Stück Software bei mir nicht.
Weder der Wächter noch der gezielte Scan liefern irgend ein positives Resultat.
Hätte mich auch gewundert, da die Erkennungsrate von MSE bisher unter aller Sau war und dabei mehr Ressourcen verbraten wurden als bei jedem anderen kostenfreien Virenscanner.
Ergänzung ()

@jones187:
Mein Norton Antivirus 2010 erkennt das Ding auch. Wenn ich auf den Link klicke, dann springt NAV an und Blockiert das Teil^^
Zum Vergrößern anklicken....

Sicher, dass NAV 2010 das Ding erkennt? Viele Scanner, gerade kommerzielle mit weiteren Schutzfunktionen, erkennen bei so einem Link nämlich, dass es sich nicht um ein JPG-Bild handelt, sondern um ein ausführbares Programm und unterbinden dann automatisch den Download. Das hat aber nix mit der Erkennung der Schadsoftware zu tun...
Ergänzung ()

Mittlerweile wird das Ding zumindest von 12 der 42 bei VirusTotal verwendeten Scanner erkannt. Gestern waren es gerade mal 2/42 - besonders schnell sind die nicht gerade...
Microsoft bzw. MSE ist immernoch nicht dabei... :cool_alt:
 
Keine Ahnung auf welche Weise NAV es erkannt hat^^

Im Verlauf tauchen zwei Einträge auf wenn ich den Link anklicke
(Ehrlich gesagt ist es mir egal auf welche Art und Weise es erkannt wird^^, hauptsache es wird erkannt :D)
 

Anhänge

  • 1.jpg
    1.jpg
    223,9 KB · Aufrufe: 138
  • 2.jpg
    2.jpg
    223,4 KB · Aufrufe: 124
Von Avast habe ich nun auch die Bestaetigung, dass die das Ding erkennen. Mal sehen, wann sich ClamWin (ClamAV) meldet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
Trojaner im Bios? Experten gefragt ...
2 3
Antworten
41
Aufrufe
6.876
whats4
whats4
N
Verteilt Computer Bild Backdoor Trojaner
2
Antworten
28
Aufrufe
6.405
Wechsler
W
C
Frage zu Trojaner Trojan:Win32/Wacatac
Antworten
14
Aufrufe
7.657
purzelbär
purzelbär
E
Bladabindi-Trojaner nach Libreoffice Download von Computerbild
Antworten
12
Aufrufe
5.326
Sas87
Sas87
Postman
[Trojaner] - SubTab Add ist nicht auffindbar / Win Defender meldet trotz Infektion
Antworten
19
Aufrufe
2.003
Postman
Postman
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz