alte Virenscanner und schreibgeschützte Datenträger mit Tools zur Datenrettung

PixelMaler

Lt. Commander
Registriert
März 2016
Beiträge
1.206
Hallo liebe Community.

Letzten räumte ich meine CDs Sammlung etwas aus und stieß dabei auf älter Rescue CDs von Avira, Kaspersky, Acronis und LiveSystem mit Clam.

Da ich immer mal gebrauchte Rechner/Laptops habe, wo die Vorbesitzer ihre Windows Installationen nicht zurück gesetzt haben, dachte ich es schadet ja nix so ein System mal zu scannen.
..und oh Schreck alle (offline-)Scanner fanden reichlich Schädlinge.
Und das auch nach dem ZurückSetzen von Systemen mit Windows8(.1) wie auch Windows10.
Die AVScannerCDs sind von 2011 bis 2015.

Hab trotzdem direkt verschiedene aktuelle Virenscanner runter geladen und installiert. Deren Ergebnisse waren nun immer alles OK und nix gefunden.

Schlau programmierte Malware wird doch aber sicher auch die RecoveryUmgebnung infinzieren ?
Ebenso infizieren sie evtl. MBR sowie Bios oder im System enthaltene Hardware welche FirmwareUpgrades bekommen kann ?!

Wie ich feststellen mußte gibt es in Läden oder im üblichen OnlineHandel gar keine CDs mehr.
Weder von aktuellen Windows noch von Virenscannern.
Die üblichen USB Sticks haben keinen SchreibSchutz und können also sofort von einem Infizierten System mit Infiziert werden.
Selbst Bootbare LinuxLiveISOs mit Scannern zum runterladen nutzen ja meist Fat32.

Ich glaube auch nicht daß heutzutage eine "Ausführbare Datei" nötig wäre, um Viren zu aktivieren.
Letztlich sind das ja heutzutage meist Exploit welche Schwachstellen der Lesenden Programme nutzen.
Dabei laden sie Tools nach, welche ja nicht zwangsweise als Schadware zuerkennen sind.

Sind CDs zu Unrecht in Vergessenheit geraten ?
Sind unsere USBs-Stickst nicht die VirenSchleudern wie man sie früher als Disketten noch kannte ?!
Alles nur noch zum Download anzubieten, ist meines Erachtens nach auch eine große SchwachStelle.
Auch Router können infizitiert/kompromitiert/verstellt werden.

Warum ich nun gerade einenKopf um sowas mache:
https://www.funkemedien.de/de/press...ckerangriff-auf-die-FUNKE-Mediengruppe-00001/


PS:
USB-Sticks mit Schreibschutz sind nun bestellt, ebenso gepreßte CD-Ware von WindowsVersionen und Tools.
 
Aktuelle Antiviren Software ermöglicht dir aber oft, Boot Medien herzustellen. Mit einer jetzt aktuellen Antiviren Datenbank.

Mit Daten von z.b 2011 sollte man keine aktuelleren Daten testen.
 
Dass Live-CDs nicht beschreibbar sind ist nicht so ein großer Vorteil wie vielleicht angenommen.

Szenario 1: Das installierte OS ist infiziert. Wenn du von der Live-CD bootest dann wird das installierte Betriebssystem und die Programme darauf ja gar nicht ausgeführt. Entsprechend könnten sie dein Live-Medium ohnehin nicht infizieren.

Szenario 2: Die Firmware/BIOS des Rechners ist infiziert. In dem Fall kann die Firmware die von der CD geladenen Daten im RAM on-the-fly modifizieren. Eine Modifikation des Live-Mediums ist gar nicht nötig um sich vor dem Scanner zu verstecken.

Szenario 3: Zu scannende Dateien enthalten einen Exploit der lesende Programme (z.B. auch den AV-Scanner) angreifen kann. Auch hier erfolgt die Infektion allein im RAM, eine Modifikation des Quellmediums ist nicht notwendig.

Der Vorteil beschränkt sich allein darauf, dass man ein schreibgeschütztes Medium erneut verwenden kann, während man ein beschreibbares wohl vor dem nächsten Scan neu anlegen sollte um sicher zu gehen das man Malware über diesen Weg nicht weiterverteilt.
 
Richtig.
Aber die downloade ich evtl. über einen kompromitierten Router und mit Rechnern die alle im selben Netz hingen.
Nicht sehr Vertrauenserweckend...
 
Dagegen hilft es, einen Router zu kaufen, der noch regelmäßig patches bekommt & das passwort zu ändern.
 
Nun um den Datenträger zulesen muß Bios/UEFI und Datenträger DateiSystem ausgelesen werden....
Da kann man sich schon wieder infizieren. Gerade UEFI ist ja da ein super Schleuse.
Infez. Firmware und BiosFlash aufs Mainboard brauchts dann ja nicht mehr.

Ok, über die Infektion direkt im RAM hab ich so noch gar nicht nachgedacht.
..noch schlimmer als ich schon vermutet habe
 
Der Vorteil der Disks ist auch gleichzeitig der Nachteil: Die Daten können nicht geändert werden - wenn im Handel im Regal die Disk z.B. Windows 10 1607 enthält, weil die bis jetzt noch nicht verkauft wurde, bringt die dir Effektiv auch nichts, außer das du erstmal upgraden musst, um aktuelle Updates zu bekommen und sicherer zu sein.
Demnach musst du dann auch sicherstellen, dass das Medium, mit welchem du das Upgrade durchführst, auch sauber ist(direkt am Internet scheidet ja aus) - wenn es denn alles Problemlos durchläuft.
Da dreht man sich nur im Kreis.
Man könnte natürlich (Halb-)Jährlich eine DVD brennen, aber dazu muss man Systemversionen und Neuinstallationen ins Verhältnis setzen, um die Sinnhaftigkeit zu bewerten.
 
madmax2010 schrieb:
Dagegen hilft es, einen Router zu kaufen, der noch regelmäßig patches bekommt & das passwort zu ändern.

Hm, ja einmal schon. Wenn man dann denkt es ist alles sauber.

Wenn im Netzwerk ein Rechner befallen ist kann der von innen ja meine PasswortEingabe mitlesen.
Oder versuchen das Passwort zuhacken.
Da nutzen weder Patches noch Updates was...
 
Dank HTTPS muss man beim Download weder dem Router noch anderen Rechnern im Netz vertrauen, solange der eigene Rechner abgesichert ist. Das Netz kann noch so sehr vor Viren wimmeln, die können der HTTPS-Verbindung nichts anhaben außer sie vorzeitig abzubrechen und so den Download zu verhindern, nicht jedoch dir manipulierte Daten unterschieben.
 
Hört sich an als solltest du dein Internet abschalten und alle IT-Technik bei dir verbannen.
Könnte ja immer was drauf sein, deinen sicheren Prozessor musste dir dann wohl selber löten.
 
Turian schrieb:
Da dreht man sich nur im Kreis.
Genau da sehe ich das Problem.
Ein Windows10 1903 wird nicht sofort die Viren reinwinken und ist auch anfällig, aber erstmal sauber.
Irgendwo muß man ja anfangen.
 
HTTPS ist nur sicher, solange die Kette nicht durch Firewall/AV aufgebrochen wird, was bei manchem Anwendungen der "sichere" Standard ist.
Aber das hier artet gerade zur Endlosspirale aus, kommt es mir vor.

Du kannst auch einfach die Checksum der Isos abgleichen, evtl. auch mit einem anderen System, idealerweise in einem anderen Netz. (z.B. per Smartphone über Mobile Daten) Wenn dort Differenzen auftreten, passt an einer Stelle etwas nicht, da die sich nicht ändern darf.
 
Zuletzt bearbeitet:
Marco01_809 schrieb:
Richtig das ist auch ein großes Problem.
Da auch ältere OS und Browser welche nun nicht updtodate sind, keine sicher HTTPS-Verbindung aufbauen können.
Denke mal wegen mangelnden Zertifikaten.

Ebenso wurden hier dann auch die HTTPS:Verbindungen zu typischen Servern wegen Unsicherheit verweigert.
 
Dir ist aber schon klar, dass Virenscanner mit Abstand die größte Angriffsfläche für Viren bieten und mit sehr großer Regelmäßigkeit überhaupt erst eine Infektion ermöglichen?
 
Kyze schrieb:
Hört sich an als solltest du dein Internet abschalten und alle IT-Technik bei dir verbannen.
Könnte ja immer was drauf sein, deinen sicheren Prozessor musste dir dann wohl selber löten.
lol...
Nun da fehlt mir das Handwerkliche Geschick dazu ;-)
 
PixelMaler schrieb:
Richtig das ist auch ein großes Problem.
Da auch ältere OS und Browser welche nun nicht updtodate sind, keine sicher HTTPS-Verbindung aufbauen können.
Denke mal wegen mangelnden Zertifikaten.

Ebenso wurden hier dann auch die HTTPS:Verbindungen zu typischen Servern wegen Unsicherheit verweigert.
Updates. Jeden. Tag.
Das einzige was gegen Viren hilft.
Wenn du einem Tool nicht traust, check es aus, Bau es selber und Vergleich die crc
 
madmax2010 schrieb:
Dir ist aber schon klar, dass Virenscanner mit Abstand die größte Angriffsfläche für Viren bieten und mit sehr großer Regelmäßigkeit überhaupt erst eine Infektion ermöglichen?
Lol, ja, deshalb sollte man auch Defender sicherheitshalber abschalten ;-D

Ja, ich verstehe schon was du meinst ... aber siehe einen Satz drüber..
 
PixelMaler schrieb:
Und das auch nach dem ZurückSetzen von Systemen mit Windows8(.1) wie auch Windows10.
Die AVScannerCDs sind von 2011 bis 2015.

Hab trotzdem direkt verschiedene aktuelle Virenscanner runter geladen und installiert. Deren Ergebnisse waren nun immer alles OK und nix gefunden.
Kann aber auch sein, dass die Virenscanner verfolgende Cookies etc. (also eher harmlose Dinge) gemeldet haben. Weil man ja auch erwartet, dass ein (kommerzieller) Virenscanner auch mal was findet, sonst zweifelt man die Tauglichkeit an.
Dass da überall schlaue Rootkits und Trojaner im Hintergrund aktiv waren, die aktuelle Versionen des Defenders komplett kompromittieren und somit dieser nichts mehr findet?

Möglich schon, aber so ganz würde ich der Sache auch nicht trauen.
Lade halt mal die von der bootable CD-Version gefundenen infizierten Dateien bei virustotal hoch und schaue Dir das Ergebnis an.
 
madmax2010 schrieb:
Updates. Jeden. Tag.
Das einzige was gegen Viren hilft.
Wenn du einem Tool nicht traust, check es aus, Bau es selber und Vergleich die crc
Bei meinen eigenen Rechnern schon, aber bei Gebrauchten was man kauft
oder Nachbarn/Kollegen/Familie denen man hilft, ist das ja nicht sicher.

Einmal nicht nachgedacht und ein USB-Stick dran gehabt und schon ist das Kind in den Brunnen gefallen.
Gerade die welche Hilfe benötigen haben seltener ihre Rechner an, sind also nie Uptodate.
Ergänzung ()

calippo schrieb:
Dass da überall schlaue Rootkits und Trojaner im Hintergrund aktiv waren, die aktuelle Versionen des Defenders komplett kompromittieren und somit dieser nichts mehr findet?
Es wurden fast ausschliesslich CryptoTrojaner 2. und 3. Generation gefunden.
Einen Rechner hab ich unteranderem mit orginaler Win7 CD aufgesetzt.
Dort gibts keine Updates. WindowsFehlermeldungsCode bingt nur den Hinweis im MicrofsoftForum daß es von einem RootKit stammen könnte.

Also würde man so nicht als KleinKram bezeichnen.

Ein mit aktuellen Win10 zurückgesetzter Rechner bringt fast alle exe Datein von Win als Trojaner mit alter RescueCD ....
Was ja letztlich bei Win10 vermutlich auch stimmt.
Vermutlich 63 Dateien telefonieren nach hause was die Verhaltensanalyse von alten Scannern anschlagen läßt.
Aber reicht eine Vermutung es bei dieser Theorie zubelassen.

Virustotal war meist nicht erreichbar wegen unsicherer Verbindung (über LiveCDs )...
oder nur mit zerhauener HTML Oberfläche die so nicht nutzbar ist.
 
Zuletzt bearbeitet:
Zeug das so veraltet ist, dass sichwebsites mit aktuellen Zertifikaten nicht aufrufen lassen ist nutzlos.
 
  • Gefällt mir
Reaktionen: BFF und calippo
Zurück
Oben