Zum Thema Backdoors / Botwürmer

Ein Bot-Wurm enthält Backdoortrojaner-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer ermöglicht.

Eine Backdoor ist ein Programm, mit dem ein Angreifer die vollständige Kontrolle über ein fremdes Betriebs-System übernehmen kann. Daher ist ein Betriebs-System, bei dem eine Backdoor entdeckt worden ist, als kompromittiert anzusehen.

In so einem Fall hilft nur noch ein Neuaufsetzen des Betriebs-Systems und ein Überdenken des bisherigen Sicherheitskonzepts! Zusätzlich sollten alle jemals auf dem System verwendeten bzw. gespeicherten Passwörter als nicht mehr vertrauenswürdig angesehen und daher geändert werden!

Evtl. kann man die Backdoor selbst ja noch relativ einfach entfernen, die Löcher, welche die Backdoor ins System gerissen hat, sind aber nahezu unmöglich aufzuspüren und damit leider auch nicht zu entfernen!

Über diese Löcher kann dann jederzeit Ihr System erneut infiziert werden, die Kontrolle über Ihr System erneut übernommen werden und das System kann so weiterhin für illegale Ativitäten genutzt werden, für die Sie am Ende sogar noch zu Verantwortung gezogen werden können!

Aufgrund der wahrscheinlich vorgenommen Manipulationen steht der Aufwand eines Versuchs der vollständigen Beseitung der ins System gerissenen Löcher in keinem Verhältnis zum Ergebnis, welches noch dazu immer mit der Unsicherheit, doch nicht alle Löcher geschlossen zu haben, behaftet bleiben wird; und es steht auch in keinem Verhältnis zum Aufwand, der beim Neuaufsetzen des Systems entstehen würde. Das Betriebssystem neu aufzusetzen, ist in so einer Situation auf jeden Fall deutlich schneller, eindeutig weniger aufwändig und wesentlich sicherer als ein Versuch der Bereinigung aller ins System gerissenen Löcher.

Beachten Sie vor der Neuinstallation folgenden Link:

Anregungen für ein neues Sicherheitskonzept

Backdoorkunde für Unbelehrbare:

Microsoft zum Thema "Kompromittierung"

You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there.

The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

Kurze Zusammenfassung: Man kann ein einmal kompromittiertes Betriebssystem - das ist ein System was einmal angefangen hat zu senden bzw. Schadsoftware nachzuladen - nicht reinigen oder reparieren. Die einzige Abhilfe ist, es komplett zu löschen und sauber neu aufzuspielen.

Systembereinigung oder gleich formatieren? - Eine Grundsatzdiskussion …

Letztlich ist es immer noch besser weil sicherer, dass nicht vertrauenswürdige System einmal zuviel Neuaufsetzen zu lassen, als mit diesem wirklich ein wirtschaftlicher und persönlicher Schaden entstehen zu lassen.

Ob das kompromittierte System manchmal besser bereinigt worden wäre, als meine Empfehlung des Neuaufsetzens, ist reine Spekulation und daran werde ich mich nicht beteiligen, denn im Vordergrund steht die Sicherheit und die dementsprechende Aufklärung des Themenerstellers dem gegenüber ich Verantwortung trage wenn ich auf dessen Thread antworte.

Warum das System nach einer Backdoor-Infektion neu aufsetzen?

Aufgrund dieses Vollzugriffes via Fernsteuerung gibt es lediglich eine sinnvolle Empfehlung: Festplatte formatieren, System neu aufsetzen. Denn wie ich bereits erwähnte, sind Schädlinge ja prinzipiell auch nur Computerprogramme (nur eben mit schädlichen Absichten). Das heißt, es können auch Systemdateien verändert / manipuliert werden, etc. Sie können, sobald so ein Schädling aktiv wurde, nicht mehr feststellen, welche Veränderungen im System vorgenommen wurden, es befindet sich nicht mehr unter Ihrer Kontrolle.

Daraus ergeben sich also folgende Konsequenzen:

  1. Kompromittierte Systeme (so nennt man Systeme, die durch aktive Schädlinge nicht mehr vertrauenswüdig sind) müssen neu aufgesetzt werden (vorhergehendes Formatieren eingeschlossen).
  2. Der einzig sinnvolle Schutz ist Vorbeugung! Denn ansonsten wäre man laufend mit Neuaufsetzen beschäftigt, und das kann ja nicht Sinn der PC-Nutzung sein. Vorbeugen heißt, mit bestimmten Maßnahmen verhindern, dass Schädlinge überhaupt aktiv werden können.

Kompromitierung Windows

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.

Hintertüren können für weitere Manipulationen genutzt werden!

Viele Würmer richten auf den von Ihnen befallenen System sogenannte Backdoors (Hintertüren) ein, durch die der Autor des Wurms die vollständige Kontrolle über den Rechner erhält. Einen solchen Rechner nennt man in der Szene einen "Zombie" oder "Bot" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.)

Selbst wenn das Removal-Tool also den Wurm vollständig und restfrei entfernen könnte, so könnte es niemals erraten, was der Virenautor nachher selbst noch alles geändert hat. Diese Änderungen müssen ihm also entgehen.

Diese Backdoor ist noch vergleichsweise einfach zu entdecken, da sie von einem Programm eingerichtet wurde, das zwangsläufig weniger schlau ist als ein Mensch und auch nicht viel Code (und damit Funktionalität) enthalten darf, da es ja für den massenhaften Transport über das Internet taugen soll. Das geht am besten mit vergleichsweise kleinen Würmern.

Daher geht man in den einschlägigen Kreisen verstärkt dazu über, dass der Angreifer die erste, leicht zu entdeckende Backdoor benutzt und eine zweite Backdoor (und unter Umständen noch weitere) auf dem System einrichtet, die er dann nach allen Regeln der Kunst versteckt. Selbst wenn der Anwender also die Infektion bemerkt und sein Removal-Tool den Wurm samt dessen Backdoor entfernt, behält der Angreifer über die zweite Hintertür dennoch die volle Kontrolle über das System.

Besonders aktuelles & eindrucksvolles Beispiel:

Hatte vorhin eine etwas merkwürdige "Erscheinung" auf dem PC:

Während ich online war, tauchten immer wieder komische Bilder auf, die sich von alleine in neuen Browserfenstern öffneten. Kam mir etwas suspekt vor...

Kurz darauf öffnete sich bei mir ein kleines, simples und graues "MSN-Chat Fenster", worauf hin eine fremde Person sich anscheinend über mein MSN Messenger in meinen PC eingeloggt hatte. Er konnte fröhlich alle möglichen Dateien öffnen, z.B. Bilder, MP3 usw und sprach mich über das Chatfenster auch direkt an … Dabei konnte er jedesmal dieses MSN Chatfenster öffnen und auch wieder schließen … ich hatte keinerlei Einfluss darauf, auch nicht es zu minimieren oder ähnliches.

War doch etwas sehr überrascht, da die Person mich auch über meine angeshclossene Webcam sehen konnte und mir Details nannte, die man ohne mich zu sehen nicht hätte nennen können.

Ich hatte vor geraumer Zeit ein Backdoorprogramm mir eingefangen, den Antivir erkannt hatte und ich entsprechend gelöscht hatte.

Naja, und die Lücke die dadurch im System entstand hat sich wohl einer zu Nutze gemacht.

Ich hatte an sich ein normales Sicherheitskonzept, Antivir immer aktualisiert mit gültiger Lizenz dazu ZA Pro immer aktuell und auch immer nur das durchgehen lassen, was ich auch kannte …

Kein weiterer Kommentar.

  1. WOT Suchmaschinen Überprüfung
  2. WOT Bookmarklet
  3. WOT User-JavaScript
  1. Einführung: Backdoors, Trojaner & Co
  1. XP & Vista Sicherheit: Einleitung
  2. Grundsätzliche Maßnahmen beim Aufsetzen des Bestriebssystems
    1. Richtig Installieren
    2. Anleitung zur Neuinstallation
    3. Firewall nicht vergessen
  3. Wichtige Schutzmaßnahmen I
    1. Wichtige Schutzmaßnahmen II
    2. Internetoptionen sicherer einstellen I
    3. Internetoptionen sicherer einstellen II
  4. Sinnvolle Tools
  5. Nicht als Administrator arbeiten
  6. Firewall, Software, Dialer & Co
  7. Software, so wenig wie nötig
  8. Links zum durcharbeiten und beachten
  9. Regeln für die Sicherheit
    1. Sicherheit überprüfen
  10. Hinweise zum Einsatz von Firewalls
  11. Hinweise zur Konfiguration von DSL Routern