Frage
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Kann ein Trojaner aktiv werden ohne admin Rechte?
Hi,
Im Titel steht meine Frage:
Kann eine Datei, z.b ein Trojaner, aktiv werden (sich ins System einnisten) OHNE admin Rechte. In meinem Fall z.b wenn ich die Datei starte und von UAC keine Benachrichtigung bekomme. Das müsste doch heißen, die Datei hat nur eingeschränkte Rechte, also kann nichts direkt auf C:/ oder %WINDIR% schreiben kann?
Felix
Im Titel steht meine Frage:
Kann eine Datei, z.b ein Trojaner, aktiv werden (sich ins System einnisten) OHNE admin Rechte. In meinem Fall z.b wenn ich die Datei starte und von UAC keine Benachrichtigung bekomme. Das müsste doch heißen, die Datei hat nur eingeschränkte Rechte, also kann nichts direkt auf C:/ oder %WINDIR% schreiben kann?
Felix
Sie müssen ein registriertes Mitglied sein um abstimmen zu können
Werbung stört? Dann Mitgliedskonto eröffnen
http://m.bestofmedia.com/sfp/design/usr/de/avatars/ef/70/7182.png
Experte in Windows
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
auser sagte:
mir ist da kein sicherheitsrisiko bekannt bei virtuallisierungssoftware. wenn da sonst wer was weiß wäre interessant.http://www.heise.de/security/VMware-Update-soll-Ausbruc...
In Sicherheitskreisen arbeitet man Wahrscheinlichkeitsbäumen. Jedem theoretischen Angriffszenario wird eine Wahrscheinlichkeit zugeordnet, die man empirisch gewinnt (z.B. bei Trojanern fliesst hier auch der Verbreitungsgrad ein). Die Summe über alle Szenarien mit ihren Angriffswahrscheinlichkeiten ist dann ein (praktisches) Maß für die Sicherheit eines Systems.
Daraus leiten sich dann Dinge ab wie z.B. In einer virtuellen Maschine als Sandbox für Internetanwendungen ist das Host-System besser vor Infizierungen geschützt. Auch wenn es Szenarien gibt wie man virtuelle Maschinen angreifen kann.
Mir fällt auf, dass in diesem Thread 2x über Angriffe gesprochen wird nachdem das Kind schon in den Brunnen gefallen ist:
1. Wenn ein Trojaner auf dem OS einer externen Festplatte ausgebrochen ist u. privilegierten Systemzugriff hat, dann sind die Ordner egal, die ich mit bestimmten Zugriffsrechten versehen habe.
2. Für den erwähnten UAC Angriff, muss in ausers Beispiel erst der IE kompromitiert werden. Das geht aber i.A. nicht ohne weiteres. Wie wirksam dies in der Praxis ist kann man sich an Internet Cafés veranschaulichen. Wenn Trojaner etc. auf Windows-Basierten Internet Café Rechnern eine Chance hätten, müssten die jeden Morgen ein neues Festplattenimage installieren. Ist aber offensichtlich nicht notwendig.
Einmal root bzw. privilegierte Zugriff, dann braucht man keine Sicherheitsdiskussionen mehr zu führen wie man mit root Rechten wieder root Rechte bekommt. Man hat sie schon.
Deshalb nochmal zurück: UAC ist ein in der Praxis wirksamer Schutz gegen Trojaner. Es gibt zweifelsfrei noch wirksamere. Aber diese theoretischen Überlegungen kann man bis zum St. Nimmerleinstag führen. Man muss sich überlegen was denn nun in der Praxis relevant ist. Und da wären Lücken in Firefox eine weitaus größere Bedrohung, da Keylogger etc. auch problemlos als Firefox Plugin laufen können.
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
jain ![:)]( ":)")
vermutlich nicht. theoretisch könnte ein virus (etc.) deine andere platte sehen und da unfug treiben. fast ausschließen kannst du das, wenn du den zugriff auf deine internen platten nur für bestimmte user zuläßt oder gar überhaupt nicht in diesem sekundären windows einbindest.
so machst du es prinzipiell unmöglich. nur eine schwere sicherheitslücke im system und eine malware die diese kennt und auf die idee kommt deine internen platten nach weiteren windowsinstallationen zu durchsuchen oder ähnlichem wäre eine gefahr. aber unwahrscheinlich.
du kannst auch innerhalb deinem richtigen windows eine virtual machine nutzen (z.b. virtualbox - mein favorite - oder vmware) und in dieser linux oder ein anderes windows nutzen. solange du nicht graphisch anspruchsvolle anwendungen darin ausführen willst ist die performance meist wie auf dem hostsystem bei modernen prozessoren mit virtuallisierungsunterstützung.
mir ist da kein sicherheitsrisiko bekannt bei virtuallisierungssoftware. wenn da sonst wer was weiß wäre interessant.
ich nutze virtualbox und habe ubunte x86, ubuntu x64, fedora x86 und windows xp prof x86 darin laufen. hab ein tool zum encrypten mal als benchmark genutzt und das lief unter den linuxen in der VM 12-19% schneller als unter dem hostsystem vista x64 direkt![:D]( ":D")
vermutlich nicht. theoretisch könnte ein virus (etc.) deine andere platte sehen und da unfug treiben. fast ausschließen kannst du das, wenn du den zugriff auf deine internen platten nur für bestimmte user zuläßt oder gar überhaupt nicht in diesem sekundären windows einbindest.
so machst du es prinzipiell unmöglich. nur eine schwere sicherheitslücke im system und eine malware die diese kennt und auf die idee kommt deine internen platten nach weiteren windowsinstallationen zu durchsuchen oder ähnlichem wäre eine gefahr. aber unwahrscheinlich.
du kannst auch innerhalb deinem richtigen windows eine virtual machine nutzen (z.b. virtualbox - mein favorite - oder vmware) und in dieser linux oder ein anderes windows nutzen. solange du nicht graphisch anspruchsvolle anwendungen darin ausführen willst ist die performance meist wie auf dem hostsystem bei modernen prozessoren mit virtuallisierungsunterstützung.
mir ist da kein sicherheitsrisiko bekannt bei virtuallisierungssoftware. wenn da sonst wer was weiß wäre interessant.
ich nutze virtualbox und habe ubunte x86, ubuntu x64, fedora x86 und windows xp prof x86 darin laufen. hab ein tool zum encrypten mal als benchmark genutzt und das lief unter den linuxen in der VM 12-19% schneller als unter dem hostsystem vista x64 direkt
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
ach ja nochwas,
wenn ich vista auf meiner extrernen festplatte installiere, von dieser boote und dort alle möglichen sachen teste/ausführe ohne bedacht (ist ja nicht mein richtiges windows, mit dem ich passwörter und ähnliches eingebe), gefährdet das mein original windows (das aufm Rechner), wenn die platte angeschlossen ist?
wenn ich vista auf meiner extrernen festplatte installiere, von dieser boote und dort alle möglichen sachen teste/ausführe ohne bedacht (ist ja nicht mein richtiges windows, mit dem ich passwörter und ähnliches eingebe), gefährdet das mein original windows (das aufm Rechner), wenn die platte angeschlossen ist?
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
kk thx ![;)]( ";)")
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
ja, die uac warnt nicht nur, sondern kann unterbrechen. das meinte ich, man wird vorher gefragt ob man die aktion ausführen lassen will.
die uac kann unterwandert werden, wenn eine malware z.b. vorhandene prozesse missbraucht. z.b. kann man fehler im explorer oder iexplorer dazu ausnutzen.
mit fehler meine ich nicht nur bugs sondern auch design fehler. manche möglichkeiten hierzu eröffnen sich erst als user mit adminrechten, da auf bestimmte schnittstellen ohne diese rechte nicht zuegriffen werden kann. ms würde sowas als feature bezeichnen, da man natürlcih admin sein muss um die schnittstellen zu nutzen ist es kein bug, sondern user schuld. nur die uac meldet sich da trotzdem nciht!
edit: ich kann z.b. den internet explorer manipulieren, dass er beim nächsten windowsstart verscuht nen trojaner zu installieren. bei meiner methode würde beim nächsten booten einmalig eine uac meldung kommen, allerdings bezüglich des internet explorers, und welcher user würde ihm das abschlagen![;)]( ";)")
natürlich muss die malware erstmal auf den Rechner und sie muss irgendwie gestartet werden. aber das kann so eingerichtet werden, dass uac nicht aktiv wird. und da uac nicht wissen kann auf welchen wegen man manche schnittstelle auf vorher nicht geahnter weise mißbrauchen kann gibt es da durch aus möglcihkeiten.
ich kenne eine "firma" die toolkits zum ausnutzen solcher dinge herstellt. aber ich hatte selbst einmal eine malware ohne uac meldung eingeschleußt bekommen (zwischen dem scannen ohne fund und dem mit fund war nicht eine uac meldung außer rivatuner). leider weiß ich nicht mehr welche virus/trojaner es war.
edit: im übrigen ist es mit comodos-firewall/defender+ interessant zu sehen, welche zugriffe so alles stattfinden, bei denen die uac nicht aktiv wird.
edit: und die frage war schließlich ob ohne uac meldung sich ein trojaner einnisten kann und das kann er, selbst wenn bugs ausgenutzt werden müßten! manche bugs sind nur manchmal feature genannt von den herstellern.
die uac kann unterwandert werden, wenn eine malware z.b. vorhandene prozesse missbraucht. z.b. kann man fehler im explorer oder iexplorer dazu ausnutzen.
mit fehler meine ich nicht nur bugs sondern auch design fehler. manche möglichkeiten hierzu eröffnen sich erst als user mit adminrechten, da auf bestimmte schnittstellen ohne diese rechte nicht zuegriffen werden kann. ms würde sowas als feature bezeichnen, da man natürlcih admin sein muss um die schnittstellen zu nutzen ist es kein bug, sondern user schuld. nur die uac meldet sich da trotzdem nciht!
edit: ich kann z.b. den internet explorer manipulieren, dass er beim nächsten windowsstart verscuht nen trojaner zu installieren. bei meiner methode würde beim nächsten booten einmalig eine uac meldung kommen, allerdings bezüglich des internet explorers, und welcher user würde ihm das abschlagen
natürlich muss die malware erstmal auf den Rechner und sie muss irgendwie gestartet werden. aber das kann so eingerichtet werden, dass uac nicht aktiv wird. und da uac nicht wissen kann auf welchen wegen man manche schnittstelle auf vorher nicht geahnter weise mißbrauchen kann gibt es da durch aus möglcihkeiten.
ich kenne eine "firma" die toolkits zum ausnutzen solcher dinge herstellt. aber ich hatte selbst einmal eine malware ohne uac meldung eingeschleußt bekommen (zwischen dem scannen ohne fund und dem mit fund war nicht eine uac meldung außer rivatuner). leider weiß ich nicht mehr welche virus/trojaner es war.
edit: im übrigen ist es mit comodos-firewall/defender+ interessant zu sehen, welche zugriffe so alles stattfinden, bei denen die uac nicht aktiv wird.
edit: und die frage war schließlich ob ohne uac meldung sich ein trojaner einnisten kann und das kann er, selbst wenn bugs ausgenutzt werden müßten! manche bugs sind nur manchmal feature genannt von den herstellern.
http://m.bestofmedia.com/sfp/design/usr/de/avatars/ef/70/7182.png
Experte in Windows
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
auser sagte:
in diesem fall ist es möglich, dass ohne uac aufforderung scih etwas "einnistet".. installieren von Anwendungen, Gerätetreiber, ActiveX Controls
. Änderungen an der Registry
. Änderungen am Aufgabenplaner
. Änderungen in %SystemRoot% oder %ProgramFiles%
Aus dem Stehgreif ist mir nicht bekannt, dass es vergleichbare Sicherheitslücken von Windows 7 auch für Vista in der Standardkonfiguration gibt:
http://www.heise.de/newsticker/Windows-7-Sicherheitslue...
auser sagte:
die uac gibt dir nicht erst die adminrechte nach aufforderung sondern warnt nur in bestimmten fällen davor, dass ein vorgang mit adminrechten ausgeführt werden soll.auser sagte:
edit: offenbar haben die meisten (dank microsoft vieleicht) ein völlig falsches verständnis von der uac und dem ersten angelegten user, der als standard genutzt wird.Also erläuter' mal genauer welchen Trojander Du meist, der was tun könnte. Theoretische Szenarien gibt es ja sicherlich einige. Aber wenn ich nur über theoretische Szenarien rede, kommt man nicht weit, dann kann man Windows ganz schnell in Frage stellen u. irgendjemand wirft das Wort BluePill in den Raum.
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
und bin ich komplett sicher wenn ich auf nem eingeschränkten account bin?
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
ja!
sie fragt vor manchen aktionen, welche adminrechte benötigen ob du diese ausführen willst. die adminrechte hast du aber so oder so! die aktionen bei denen die uac aktiv wird sind vorwiegend dinge, welche ohnehin userinteraktion benötigen.
von daher ist es durchausmöglich und auch schon vorgekommen, dass ohne eine meldung der uac man sich unerwünschten besuch auf den Rechner installiert hat. stell dir die uac wie ne "wollen sie wirklich?"-meldung vor.
sie fragt vor manchen aktionen, welche adminrechte benötigen ob du diese ausführen willst. die adminrechte hast du aber so oder so! die aktionen bei denen die uac aktiv wird sind vorwiegend dinge, welche ohnehin userinteraktion benötigen.
von daher ist es durchausmöglich und auch schon vorgekommen, dass ohne eine meldung der uac man sich unerwünschten besuch auf den Rechner installiert hat. stell dir die uac wie ne "wollen sie wirklich?"-meldung vor.
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
Also wirklich ohne admin rechte bin ich nur, wenn ich einen Neuen erstelle, der eingeschränkt ist?
Dazu ne andere Frage, was macht denn dann die UAC genau?^^
Felix
Dazu ne andere Frage, was macht denn dann die UAC genau?^^
Felix
http://m.bestofmedia.com/sfp/images/design/noimg/no-profil-100x100.jpg
Gefällt mir
Sie benötigen ein Bronze-Abzeichen in der aktuellen Kategorie, um Beiträge negativ zu bewerten.
Punkte
0
Missfällt mir
Dieser Punktestand spiegelt wieder, wie sehr der Community die Lösung gefällt. Mitglieder können eine Lösung positiv bewerten. Um abzustimmen, loggen Sie sich als registriertes Mitglied ein oder treten Sie der Community bei.
dein user-account HAT adminrechte, auch wenn sich die uac nicht einschaltet. ich nehme nicht an, dass du einen extra user angelegt hast, welcher tatsächlich nicht adminrechte hat, sodnern nach der installation von vista alles standardmäßig hast machen lassen.
in diesem fall ist es möglich, dass ohne uac aufforderung scih etwas "einnistet". die uac gibt dir nicht erst die adminrechte nach aufforderung sondern warnt nur in bestimmten fällen davor, dass ein vorgang mit adminrechten ausgeführt werden soll. das ist ein riesen unterschied.
edit: offenbar haben die meisten (dank microsoft vieleicht) ein völlig falsches verständnis von der uac und dem ersten angelegten user, der als standard genutzt wird.
in diesem fall ist es möglich, dass ohne uac aufforderung scih etwas "einnistet". die uac gibt dir nicht erst die adminrechte nach aufforderung sondern warnt nur in bestimmten fällen davor, dass ein vorgang mit adminrechten ausgeführt werden soll. das ist ein riesen unterschied.
edit: offenbar haben die meisten (dank microsoft vieleicht) ein völlig falsches verständnis von der uac und dem ersten angelegten user, der als standard genutzt wird.
Werbung stört? Dann Mitgliedskonto eröffnen
Sie sind noch nicht eingeloggt. Login oder Registrieren
