Trojaner in gelockter cab. - Datei

Dieses Thema im Forum "Sicherheit" wurde erstellt von hanse1, 27. September 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. hanse1

    hanse1 Byte

    Registriert seit:
    24. Juni 2004
    Beiträge:
    42
    Ich nutze Antivir mit der stets aktuellsten Version. Vor einiger Zeit fing ich mir einen Trojaner in einer cab.-Datei ein. Dieser wurde aber erst mit einem anschliessenden Suchlauf gefunden. Das Programm meldete, es könne nichts machen, da das Archiv gelockt sei. Ich habe das System anschliessend komplett neu eingerichtet. Steffenxx antwortete einem Fragesteller am 24.09. hier im Forum, er könne eine infizierte cab.-Archivdatei einfach löschen. Meine Fragen:
    Wie ist es möglich, dass sich ein Trojaner vom Internet am aktiven Virenprogramm vorbeischleicht und erst nachher gefunden wird ? Er war vorher nicht vorhanden.
    Was ist eine cab. - Datei ? Kann die tatsächlich einfach gelöscht werden ?
    Wofür ist der vom Programm gemeldete Name des detektierten Trojaners nützlich ? Gibt es Listen, in welchen gelistet ist, was die konkret machen oder ist das alles eins ?
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Wenn der Virenwächter nicht in der Lage ist, bzw. nicht so eingestellt ist, gepackte und/oder laufzeitkomprimierte Dateien und Archive zu scannen, dann können sich darin enthaltene Viren, Würmer und Trojaner am Antivirenprogramm "vorbeischleichen"
     
  3. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Zuerst die Ursache: Deine IE ist unsicher konfiguriert!
    Abhilfe: http://www.blafusel.de/ie.html

    Es wird ein ActiveX-Control, ohne dein Wissen, automatisch vom Trojaner Downloader oder Dropper installiert, der von einer präparierten Webseite diese Cab-Datei runterlädt.
    Dein AV Scanner erkennt die Malware nicht, weil sie zu dem Zeitpunkt noch nicht in die Signaturen aufgenommen worden ist.

    Benutze google.

    Ja.

    Damit du wiederum selbst aktiv wirst und dir Informationen über diese Malware beschaffen kannst.

    Ja, aber dazu müsstest du wieder google benutzen, entweder nach dem erkannten Trojaner und nach der Datei selbst suchen.

    Du solltest diese Seite lesen und die Ratschläge beherzigen:
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
     
  4. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Hat er denn einen ??

    Ob nun IE oder anderer Browser ist wurscht - kann dir mit jedem Browser passieren.

    Unglücklich formuliert.
     
  5. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Ich halte meine Aussage nicht für unglücklich formuliert sondern eher treffend.
    Es ist auch nicht wurscht welchen Browser er verwendet, denn dies passiert nur mit dem IE (ActiveX), wenn er eben unsicher konfiguriert ist.
    btw: Ich kenne auf Anhieb keinen Browser, außer IE, der ActiveX unterstützt!
    Kennst du einen? ;)

    Wird ein Alternativ Browser verwendet, dann bedarf es einer Interaktion des Users, um den schädlichen Code auszuführen.
     
  6. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Insofern hast du recht, nur wenn der Wächter, siehe Nevok, komprimierte durchlässt, die sich selbst entpacken (kein ActiveX), dann hast du das Prob -- - nee braucht sich nicht einmal selbst entpacken - fröhlich dekomprimiert (man ahnt ja nichts böses, der Scanner richtet es schon) und das System ist kompromittiert
     
  7. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Gut erkannt, aber soweit sollte es gar nicht kommen, daß der AV Scanner Alarm schlägt. ;)

    Was laufzeitkomprimierte Malware angeht, dürfte, wie es Nevok schon angedeutet hat, AntiVir die schlechteste Wahl sein.
     
  8. dopqob

    dopqob Byte

    Registriert seit:
    27. September 2004
    Beiträge:
    18
    guten tag,

    ich benutze "antivir" und dachte eigentlich einen mindestens durchschnittlich guten virenscanner installiert zu haben.
    liege ich mit dieser annahme sehr daneben?

    grüsse
     
  9. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
  10. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Womit wir wieder beim Thema: Habt ihr einen Tipp für einen echten, wirklich guten und so weiter und so weiter :jump: wären
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen