Wieso bzw. sind Malwareanalysen sinnvoll?

Mir ist aufgefallen, dass immer häufiger in Threads die Diskussion auftaucht, wieso eine ordentliche Malwareanalyse nötig ist oder nicht.
Deswegen starte ich diesen Thread, damit ihr euch mal austauschen könnt, ohne das Threads zerfleddert werden und die TOs gänzlich verunsichert werden

Zu meinen Anfangszeiten hier im Forum stand eindeutig die Analyse und der Versuch einer Bereinigung (wenn möglich) im Vordergrund.
Es ist schon klar, dass befallene Systeme so schnell wie möglich vom Netzwerk getrennt werden sollten, um ein Nachladen von noch mehr Malware zu verhindern, was aber nicht eine Analyse unmöglich macht- man könnte ja einen User dazu auffordern,wenn möglich über ein Zweitsystem ins Netz zu gehen.

Es können jedoch schon Unterschiede in der Malwarestärke gemacht werden- so ist es zB bei Navipromo eine Leichtigkeit zu Bereinigen, wenn man sich ziemlich sicher sein kann, dass keine weiter Malware da ist- was wiederrum eine Analyse erfordert.

Meine aktiven Zeiten in der Sicherheit sind aus mehreren Gründen großteils vorbei, was aber nicht heißt, dass ich nicht gerne Lösungsansätze mitlese


Ich bitte euch hier zu diskutieren, da wohl keiner will, dass bei uns Umgangsformen wie in manch anderem Forum herrschen und auch die Netiquette zu wahren.
Wenn jemand die Kompetenz eines Helfers anzweifelt oder glaubt jemand spammt nur, dann nutzt bitte den hier:
In den Threads ewig zu diskutieren, bringt keinem was: es wird unübersichtlich, User werden verwirrt, und manch OT kann auch als Spam/Flame angesehen werden


Danke ~phoenix~

 

Aus meiner Sicht ist aber nicht nur die Analyse wichtig, ob sich weitere Malware auf dem Rechner befindet, sondern es ist ebenfalls zu analysieren, wie es überhaupt zu einem Malware-Befall kommen konnte. Wird das (Fehl)Verhalten, welches zu einer Infektion führt, nicht abgestellt bzw. geändert, wird der betroffene User immer wieder das gleiche Problem haben.

Gruß
Nevok

 

"Früher" war das vielleicht auch noch zu einem begrenzten Maße sinnvoll. Die Betriebssysteme, Schädlinge und Sicherheitslücken waren überschaubar und man machte relativ wenig sicherheitskritische (bzw. Geld kostende Sachen) am Rechner. Zudem hat das Interesse für die Computertechnik in der Masse der Anwender durch die weite Verbreitung entschieden nachgelassen - oder anders: immer mehr "Dummies" benutzen einen Rechner. Letztlich kann man als Helfer nicht mal mehr davon ausgehen, das ein Anwender die erteilten Ratschläge überhaupt umsetzen kann - geschweige denn versteht, was er da tut.

Zusammengefasst: die Entfernung von Schadsoftware wird immer komplizierter und in vielen Fällen können nicht mal mehr Spezialisten zuverlässig sagen, ob eine Reinigung 100% erfolgreich war. Gleichzeitig sinken die Fertigkeiten der Anwender, die notwendigen Schritte einer Reinigung durchzuführen. Deshalb meine Herangehensweise:

1) herausfinden ob sich wirklich Schadsoftware auf dem Rechner befindet
2) wenn ja, Fokus auf die Rettung der "Nutzdaten"
3) Neuaufsetzen des Systems

Alles andere halte ich für unverantwortlich.

 

... das Analysieren an sich mag sinnvoll sein.

Dazu benötigt man aber einen zweiten PC
und vor allem das notwendige Wissen über die Schädlinge.
Das Ergebnis einer Analyse, die auf einem befallenen Rechner durchgeführt wird,
ist in meinen Augen mehr als zweifelhaft.
Und wer hat schon einen zweiten PC um eine Malwareanalyse durchzuführen.

Um Malware zu analysieren muss man sie zwangsweise starten.
Was dadurch passieren kann braucht man nicht extra zu erwähnen.
Irgendein "experimentierfreudiger" Zeitgenosse
vergisst "versehentlich" den Rechner vom Netzwerk zu trennen,
schon verbreitet sich ein neuer Wurm automatisch über das Internet.
Und für die ganz schlauen, "ja wenn es ein bekannter Wurm ist
sollte der dann bei anderen auch gefunden werden bevor er sich weiter verbreitet" zählt nicht,
denn man bringt Malware im Umlauf, und das sogar grob fahrlässig.

Wenn ein Beitrag mit dem Satz beginnt "Hilfe mein PC spinnt, habe ich einen Virus?"
und als erste Antwort zu lesen ist, "Analysiere deinen PC" ,
was kann ich da erwarten?.
Mit Sicherheit keinen Dialog, der dazu geeignet ist, einen PC zu säubern.

Eine vernünftige Vorgehensweise sehe ich darin,
den PC mit einer "sauberen" CD wie Knoppix oder was auch immer zu starten,
damit kann eine Datensicherung durchgeführt werden.
Das wird auch von erfahrenen Usern hier im Forum empfolen.

Wobei beachtet werden muß, dass auch diese Daten schon manipuliert sein können.

Alles andere finde ich im Rahmen des Forums als überzogen
und weniger hilfreich für den Fragesteller,
ganz besonders, wenn sich dann noch im Thread jemand meldet
und darüber diskutiert, wer recht hat und wer nicht.

 

Wo früher noch HJT "reichte" kam dann RSIT usw....

Es gibt unzählige Tools um in ein System hinein zu schauen, welche sich auch mit der Malware immer wieder weiterentwickeln-jedoch einen "professioniellen Helfer" benötigen.

Für mich ist es dzt so:

• Analyse: was ist alles auf dem Rechner/ Welche Ordner sind befallen (surft ein User mit Admin Rechten)
• (noch) unbekannte Malware: lass ich auch gern mal ein Sample an AV-Hersteller weitergeleiten
• Datensicherung via Knoppix
• Neuaufsetzen falls es nicht "einfache Malware"ist
• dem User zeigen, wo die Schwachstellen liegen und Verbesserungsvorschläge

So mach ich es zumindest im privaten Umfeld, wo ich ja noch aktiv bin

Genau um solche Verwirrungen zu "minimieren" wurde dieser Thread mal ins Leben gerufen, dass wir alle sachlich und auf "neutralem Boden" mal reden können.


Ferner ist es auch manchmal nötig zu wissen, um welche Malware es sich handelt, da man auch manchmal seine Bank informieren sollte...

 

Hier könnte man argumentieren, was dem User lieber ist. Die Gewissheit, dass der PC nach einer Neuinstallation wirklich sauber ist oder aber die Ungewissheit, ob da nicht doch noch etwas sein könnte und ob der User mit dieser Ungewissheit leben kann.

Ich kann natürlich verstehen, dass eine Neuinstallation viel Arbeit macht, aber lieber jetzt einen radikalen Schnitt machen als ewig mit dem evtl. noch verseuchten System zu hadern.

Gruß
Nevok

 

Was willst du mit einem solchen User diskutieren? Er ist für sich und den Rest des Netzes eine Gefahr, hat keine Ahnung und ist von sich selbst mehr als überzeugt. Ich vergleiche das gerne mit besoffen Auto fahren.

Sorry, aber ich kenne nur sehr wenige die das wirklich trennen. Und selbst wenn, laufen die Daten dann doch über ein Drittsystem zusammen.

Bei der von dir eingangs beschriebenen Spezies... - wohl eher nein.

 

Wenn bei der Aktion noch ein paar wichtige Daten verloren gehen, kommt nach meiner Erfahrung recht häufig ein Lernprozess in Gang. So lange man es aber noch "irgendwie" hin bekommt, ändert sich am Verhalten und der Art der Nutzung des Rechners nichts.

 

Die Frage in einigen Threads lautet aber nicht, womit ist der Rechner befallen - sondern um was für Malware handelt es sich?
Ich sehe da Diskussionen wie gefährlich der oder der Virus ist, meines erachtens für völlig unsinng!
Dafür gibt es Profis die dies einschätzen können.
So sollte der Ansatz derart liegen, das man den Rechner sauber bekommt - oder nicht, also sich nach den Einschätzungen der Profis richten und dementsprechend handeln. Informationen ob schädlich oder sehr schädlich(nicht zu retten) kann man sich auf entsprechenden Seiten besorgen.

Und dabei sollten sich die Helfer einig sein, Diskussionen, wie phönix sie eingangs beschreibt, sind hinderlich und verwirren den Hilfesuchenden!

Gruß kingjon

 

Ich bin schon froh, wenn die Analyse der Logs eindeutig zeigt, dass nichts mehr zu retten ist.
Dann fällt es auch leichter, richtig neu zu beginnen und dann eine brauchbare Datensicherung einzuführen.
Einmal muss man damit anfangen, wenn man nicht immer wieder auf die Schnauze fallen will.

 

Und dann nicht jemand kommt und meint er könne dann noch rummurksen und retten was nicht zu retten ist!

Wenn es genügend geschmerzt hat, werden hoffentlich diese Dinge in die Tat umgesetzt werden.

Gruß kingjon

 

Du sprichst nicht zufällig von das tut nun wirklich nicht Not, oder?

Gruß
Nevok

 

Der war ja lange nicht mehr da......., aber es gibt auch andere.
Ich halte mich aber damit zurück jemand zu nennen.

Gruß kingjon

 

Lass doch die Experten wurschteln. Wenn man sie kritisiert, sind sie schnell weg und doktorn wo anders, wo man sie nicht stört. Das ist schon ein eigenes Völkchen. Die Leute eignen sich Wissen an, entwickeln sogar eigene Analysetools, werten sie aus und verbessern sie. Da ist man schnell sauer, wenn die Arbeit nicht anerkannt wird. Wenn ich mal im Trojanerboard gucke, da wird vorgeschrieben, was zu benutzen ist und das ist schon ein richtiges Ritual. Hier experimentiert man noch rum und die Leute haben noch etwas Freiheiten. Am Ende geben dann doch viele auf, weil die Malware kein Ende haben will und man noch etwas anderes im Leben machen will.

 

Ich habe mich hier noch nie als PC-Spezialist geoutet(werde es auch in diesem Leben nicht mehr tun).Ich behaupte einfach mal, dass ich ein bisschen Ahnung habe. Wenn ich dann im Virenboard lese, welche Klimmzüge man machen muss um Maleware loszuwerden, (wobei ich nur die Hälfte verstehe) heißt das für mich immer, ohne groß abzuwägen, Image zurückspielen oder neu aufsetzen. Datenrettung ist doch leicht, wenn die Daten auf einer anderen Partition liegen.

Ich verstehe nicht, dass die ganzen "Experten" einfach nicht kapieren wollen, dass ein Neuling mit ihren Ratschlägen total überfordert ist. Wenn der Neuling dann, ohne zu wissen was er tut, diesen Ratschlägen folgt und irgendwann nicht mehr ins Netz kommt, dann ist für diese "Experten" das Thema ja erledigt. Keine Fragen mehr, keine Ratschläge mehr!
So einfach ist das.

Für die meisten User weltweit ist der PC nun einmal nix anderes als ein Gebrauchsgegenstand wie TV, Radio oder Telefon; einschalten und loslegen.
Wenn ich eines dieser o.a. Gebrauchsgegenstände so behandeln müsste wie meinen PC, ich glaube, ich würde dieses Teil sofort abschaffen!

 

glaub mir, der kennt sich besser aus, als manche ahnen (wollen)

ist das gleiche

Leider ist es so, und ich wäre stark für einen PC-Führerschein, ohne dem niemand ins Netz darf

 

Eher werden AV-Programme und Firewalls Pflicht, die ihre Updates von einer staatlich kontrollierten Einrichtung kriegen oder der Zugang geht direkt über sie.

 

Ich hatte nur gesagt das er lange nicht da war.
Bin auch ab u. an in dem holländischen Forum in dem er hauptsächlich ist, und habe auch, zwar nicht oft, Kontakt zu ihm.....
Nur hier wurde er ja (leider) vertrieben!

Gruß kingjon