Re: (Computerkack) Virus? Was? Wäh? Hilfe?!

Beitrag von Herr Holle vom Oktober 15. 2004 um 23:47:17:

Als Antwort zu: Re: (Computerkack) Virus? Was? Wäh? Hilfe?! geschrieben von Der Felix am Oktober 14. 2004 um 09:58:10:

Hai,

: a) Wenn ein Rechner infiziert _ist_, kann ich dann von ihm aus ein Image einer Anti-Virus-Rescue-CD runterlade und brennen, oder bringt das auch schon nix mehr?

Das sollte eigentlich funktionieren, solange Internetverbindung und CD-Brennsoftware noch funktionsfähig sind. Theoretisch bieten sich auch hier noch einige Angriffsmöglichkeiten, welche aber sehr aufwändig zu realisieren wären. Merke: die meisten Viren sind dumm und primitiv. Was die Effektivität leider nicht beeinträchtigt. Von einem derart smarten Virus hab ich jedenfalls noch nicht gehört.
Das Problem liegt woanders: Wenn Du den Schädling nicht genau kennst, weißt Du nicht, was er so alles anstellt. Viele moderne Schädlinge laden Code aus dem Internet nach, öffnen Hintertüren und vieles mehr. Der erste Schritt lautet daher: den PC isolieren, um den Schaden zu begrenzen.
Merke: Schutzimpfungen führt man mit einer sterilen Spritze durch.

: b) Welches Image/Paket könnte das sein (Knoppicillin klingt interessant, was gibt es noch?)

Die meisten kommerziellen Antivirenprodukte ermöglichen die Erstellung eines Rettungssystems auf Diskette oder CD. Diese sind natürlich nur dann sinnvoll, wenn die Sigaturen aktuell sind oder aus dem Rettungssystem heraus aktualisiert werden können. Wenn der PC bereits infiziert ist, gilt das oben gesagte.
Ein weiteres Problem tritt auf, wenn Deine Platte mit NTFS formatiert ist: die meisten dieser Rettungssysteme basieren auf DOS, welches ohne zusätzliche Software nix damit anfangen kann.Das gilt auch für Linux-basierte Systeme, wo Schreibzugriffe auf NTFS-Dateisysteme immer noch problematisch sind (Lesezugriffe funktionieren aber problemlos, so dass zumindest eine Schadensanalyse möglich ist). Knoppicillin enthält aber auch hierfür zusätzliche Software, so dass es die Schädlinge auch entfernen kann.

Dann gibt es von McAfee ein Programm namens Stinger, welches zwar nur im laufenden System (abgesicherten Modus nicht vergessen!) suchen kann und nur ein paar besonders häufige oder besonders gefährliche Virentypen finden kann, dafür aber auf eine einzige Diskette passt. Und dann bietet Symantec auch noch einige spezialisierte Suchtools für bestimmte Viren an (wofür man natürlich vorher wissen muss, wonach man suchen will).

: c) Wenn ich ein Antivirenprogramm laufen lasse und es mir keinen Virus meldet, heisst das, daß der Rechner Virenrfei ist?

Wenn die Signaturen aktuell sind und paranoide Suchoptionen festgelegt wurden: mit einer beruhigenden Wahrscheinlichkeit ja. Eine Garantie ist das aber nicht: Kein Programm kennt ALLE existierenden Viren und deren zahlreiche Varianten. Außerdem kann ein Antivirenhersteller erst dann passende Signaturen bereit stellen, wenn der neue Virus bereits bekannt, d.h. im Umlauf ist.

: d) Sollte ich einen dauerhaft laufenden "Guard" installieren, funktioniert der sicher, hilft er wirklich und welcher ist der beste?

Auf jeden Fall. Ein Allheilmittel ist das natürlich nicht: unbekannte Viren kann er natürlich nicht entdecken. Manche Viren versuchen sogar, bestimmte Wächter gezielt zu deaktivieren. Ist das erst mal passiert, ist auch bekannten Viren der Weg geebnet, wenn die Manipulation nicht rechtzeitig bemerkt wird.
Auf jeden Fall wird das Risiko durch einen Wächter deutlich verringert.

: Ich habe nämlich gerade auf dem eigentlich sauberen Rechner auch ein paar Parites entdeckt und kann nun nur hoffen, daß das alles war. AntiVir checkt ja, wenn man es startet, jedesmal unter anderem den Master Boot Record. Wenn der als sauber angeziegt wird, ist er es dann auch?

Hmmm... Ich glaube, AntiVir schlägt sogar dann Alarm, wenn unbekannter Code im MBR gefunden wird - selbst dann, wenn es sich nicht um einen bekannten Virus handelt, sondern z.B. einen unbekannten Bootloader.


Meine Empfehlung: Knoppicillin booten, neue Signaturen herunter laden und scannen/säubern.
In der Praxis ist das nicht immer möglich (natürlich hat man Knoppicillin nicht da, wenn man es am dringensten braucht). Die optimale Bekämpfungsstrategie hängt auch von den Rahmenbedingungen ab.

Alles wird gut!
Holger

verfasste Antworten:

Dieser Beitrag ist älter als 3 Monate und kann nicht mehr beantwortet werden.