Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Rootkitvirus ????

Scruffy / 11 Antworten / Baumansicht Nickles

In verschiedenen Foren habe ich gelesen: Wenn man sich einen Rootkitvirus eingefangen hat der nicht zu löschen ist, dann soll man eine Festplattenformatierung durchführen. Andere sagen es gebe Rootkits die selbst damit nicht zu löschen wären. Würde in so einem Fall es etwas nützen die Batterie aus- und wieder einzubauen damit auch alles im BIOS gelöscht ist ?? Oder wird die Festplatte beim formatieren nicht in allen Bereichen überschrieben ??

bei Antwort benachrichtigen
Andreas42 Scruffy „Rootkitvirus ????“
Optionen

Hi!

Ein Rootkit ist eine Software, die einen (i.d.R. versteckten" Zugang mit allen Administratorrechten auf einen Rechner installiert. (Zur Info: in Unix-System ist der User "root" der Hauptadministrator der alle Rechte hat, die man nur haben kann; er darf alles machen.)

Unter Windows hat sich eingebürgert als "RootKit" auch solche Tools zu bezeichnen, die z.B. von einer KOpierschutzsoftware installiert werden und "unsichtbar" im Hintergrund auf der ebene des Betriebssystems arbeiten. Normale Tools wie der Taskamanger sehen diese Tools nicht.

Trotzdem handelt es sich auch "nur" um eine Software (so schädlich und gefährlich sie auch sein mag), die vom Betriebssystem gestartet werden muss, damit sie aktiv wird.

Wenn ich von einem unverseuchten Medium starte und die verseuchte Platte formatiere, dann wäre auch das Rootkit weg, wenn es sich nur in der Partition eingebunden hat (und von den Startmechanismen des Betriebssystems gestartet wird).

Es wäre denkbar dass sich eine Schadsoftware in einem Bootmanager einklinkt. Früher zu DOS-Zeiten gab es dass, es handelte sich um Viren, die den Bootloadercode des MBR-Modifizierten. Heute müsste die Schadsoftware i.d.R. GRUB den Bootmanager von Linux modifizieren. Ich weiss nicht, ob es soetwas gibt; ich hab zumindest nie davon gehört - ich hör aber auch nicht alles).

Wenn man die platte komplett löschen will, dann kann das trotzdem tun: man muss ein Tool nutzen, dass ein "Low Level Format" ausführt, d.h. jeden Sektor der Platte mit Nullen füllt.

Seit es die ersten DOS-Virentools gibt, gibt es immer wieder Gerüchte von Schadsoftware, die sich im BIOS festsetzen würde. Bis auf einen Virus, der das BIOS auf einigen Mainboards gerillt hat, ist aber AFAIK nie ein solcher Virus gesichtet worden.

Das mit dem Herausnehmend er Batterie betrifft übrigens nur das CMOS-RAM, also die paar Byte batteriegepufferten Speicher, der die Grundkonfiguration des BIOS speichert. Da ist kaum Platz drin. Wieviel ist nur schwer herauszubekommen (jedenfalls brachte eine kurze Googlesuche nichts dazu zu Tage).

Wenn ich auf paperbased Information zurückgreife sind das wirklich winzige GRössen, über die wir sprechen. Im Data Backer PC-Intern-4 von Michael Tischer (erscheinen 1994) steht auf Seite 740 das das ganze 64 Byte sind (das ist kein Tippfehler, da fehlt kein "k", "m" oder sonstiger Buchstabe vor dem Byte).

Im BIOS-Kompentium wird die Belegung dieses CMOS-Puffers für 128 Bytes beschrieben.
http://www.bios-info.de/4p92x846/iscmos.htm

Ich halte es für ausgeschlossen, dass da jemand ein Rootkit unterbringt. da das CMOS-RAM auch keine Sprungadressen enthält (siehe Belegung/Kodierung im obigen Link), kann man da auch nichts starten.

OK, kurze Zusammenfassung:

- betriebssystem abhängige Schadsoftwareauch nur ein Programm speziell für dieses
Betriebssystem und muss beim Booten des Betriebssystem gestartet werden.
- man startet von einem unverseuchten Medium
- das formatieren einer Partition formatiert nicht die ganze Platte, aber es formatiert die Partition
- will ich die Platte komplett löschen, dann muss jeder Sektor mit Nullen beschrieben werden
- in den 128 Bytes des CMOS-RAMs steht kein Programmcode
- Gerüchte über Schadsoftware, die sich im BIOS einnistet gibt es seit es Viren gibt.
- Der Beste Hoax ist "Bad Times": http://www.trojaner-und-sicherheit.de/trojaner_und_viren/good_times.htm
- Soundtrack dazu: http://www.clipfish.de/video/1566475/virus-alert/

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
Alpha13 Scruffy „Rootkitvirus ????“
Optionen

"Andere sagen es gebe Rootkits die selbst damit nicht zu löschen wären. Würde in so einem Fall es etwas nützen die Batterie aus- und wieder einzubauen damit auch alles im BIOS gelöscht ist ?? "

Die haben auch keinen blassen Schimmer, dadurch wird das CMOS-RAM gelöscht und da versteckt sich absolut kein Virus...

Platte (alle Partitionen) löschen reicht dicke.
http://de.wikipedia.org/wiki/Rootkit

bei Antwort benachrichtigen
Xdata Scruffy „Rootkitvirus ????“
Optionen

Wenn nur eine Partition verwendet wird , reicht sogar ein
Quickformat
und drüber installieren.

Man kann es auch übertreiben mit der Panikmache.

Die Bezeichnung Rootkit ist eine willkürliche Klasseneinteilung*.
Ein Schädling der Rootrechte erlangt hat.
Auch bei einem normalen Trojaner,Virus, Maleware, Schadsoftware
oder wie die alle heißen,
muß man im Zweifelsfalle neu installieren.
Alles was Rootrechte hat(te) ist Gefährlich.


* wie auch die Einstufung der Gefährlichkeit.



bei Antwort benachrichtigen
Scruffy Nachtrag zu: „Rootkitvirus ????“
Optionen

Danke, dass Ihr euch soviel Arbeit gemacht habt mir zu helfen. Sehr aufschlussreiche Artikel, habe sehr viel dabei gelernt. Bleibt jetzt nur noch eine Frage: Wie geht eine Low-Level-Formatierung und, wenn man ein systemabhängiges XP hat, kann man dann XP überhaupt erneut installieren oder verweigert es dann die Installation ?

Gruß
Scruffy

bei Antwort benachrichtigen
Andreas42 Scruffy „Danke, dass Ihr euch soviel Arbeit gemacht habt mir zu helfen. Sehr...“
Optionen

Hi!

Ein "Low-Level-Format" kann man i.d.R.über die Wartungstools der Plattenhersteller durchführen. Es gibt sicher auch andere Harddisk-Erase-Tools, aber da hab' ich jetzt keines griffbereit (evtl. kann ja noch ein mitlesender User eine Alternative vorschlagen).

(Ich setze das "Low-Level-Format" in Anführungszeichen, weil ich den Begriff nicht gerne nutze; eigentlich ist damit die Aufbringung der Spureinteilung auf den Magnetscheiben gemeint; heute meint man damit nur das komplette Beschreiben aller Sektoren mit dem Wert 0 in allen Bytes. "Platte Löschen" oder "Harddisk-Erase" gefallen mir da besser...)

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
willi55 Scruffy „Rootkitvirus ????“
Optionen

Moin,
vielleicht hilft das hier.
http://www.bjoern-meissner.de/2007/s0kill.html
gruß
willi55

bei Antwort benachrichtigen
dromedar Scruffy „Rootkitvirus ????“
Optionen

Hallo Wissende,

reicht es nicht auch schon, wenn man ein Image aus sauberer Zeit wieder aufspielt?
Damit erspart man sich doch, alle Installationen zu wiederholen, die vor dem Image erfolgten.

bei Antwort benachrichtigen
Scruffy dromedar „Hallo Wissende, reicht es nicht auch schon, wenn man ein Image aus sauberer Zeit...“
Optionen

Leider habe ich kein Image aus "sauberer" Zeit.

bei Antwort benachrichtigen
Xdata Scruffy „Rootkitvirus ????“
Optionen

Vorsicht bitte!

Eine Low Level Formatierung gab es wohl früher mal bei Uralt - Festplatten,
um zB. Fehlerhafte Sektoren auszuschließen.


Im Kontext von Viren oder Rootkits hat soetwas nichts zu suchen.
Kein Rootkit, Virus, Maleware oder wie sie sonst alle heißen kann sich wirksam in einer Festplatte verstecken*.

Das genannte Tool s0kill.exe reicht aus.
Weniger sogar,
Auch ein schnödes Quickformat reicht aus, oder einfach die Partitionstabelle löschen.

*Die Dateien sind dann noch drauf, aber können nichts machen!
-- Auch wenn anderswo das Gegenteil behauptet wird..

Macht euch doch nicht verrückt und löst Probleme die garnicht existieren.
Wenn man eine Festplatte verkaufen will ist es etwas anderes.
Die kann mann mit einem Tool überschreiben.
Aber nur damit keiner die Daten wieder sichtbar machen kann.

Für Viren aller Art (Rootkits eingeschlossen) ist das nicht nötig.

bei Antwort benachrichtigen
Scruffy Nachtrag zu: „Rootkitvirus ????“
Optionen

Ich denke damit habe ich alles beantwortet bekommen was ich wissen wollte. Nochmals vielen Dank an Alle.

Grüße
Scruffy

bei Antwort benachrichtigen
Jeneu Scruffy „Rootkitvirus ????“
Optionen

Man besorgt sich im Netz die RootRepeal.exe und schon ist man ohne viel Zuschriften und sachdienlicher Hinweise das Teil los. So einfach ist manchmal alles wenn es nicht schwer gemacht würde.

bei Antwort benachrichtigen