Frage wg. "Fernsteuerung" von svchost.exe

18/04/2008 - 00:00 von Peter Dassow | Report spam
Hatte letzthin (wieder mal) ein Trojaner entdeckt, der die svchost.exe
fernsteuert. Mit welchem Tool sieht man eigentlich, welche Anwendung
dies versucht ? Ich meine damit nicht Hijack oder àhnliches, damit kann
ich ja nur die diversen Start-Plàtze abprüfen (und beileibe leider nicht
alle). Ich meine eher so was wie den ProcessExplorer oder DDESPY (aus
Visual Studio z.B.) - funktioniert diese "Fernsteuerung" via DDE oder ... ?
Danke für jeden technischen Hinweis.

Gruss
Peter
 

Lesen sie die antworten

#1 Sebastian G.
18/04/2008 - 00:08 | Warnen spam
Peter Dassow wrote:

Hatte letzthin (wieder mal) ein Trojaner entdeckt, der die svchost.exe
fernsteuert. Mit welchem Tool sieht man eigentlich, welche Anwendung
dies versucht?




Da Svchost typischerweise mit SYSTEM- oder aequivalenten Rechten laeuft, hat
ein Prozess, der damit frei umgehen kann, ebenfalls aequivalente Rechte. Im
duemmsten Fall hat diese Malware auch schon einen Treiber geladen, der als
Rootkit fungiert und saemtliche solche Kommunikation sowie alle Anzeichen
des Prozesses, der Dateien und seiner Aktivitaeten versteckt.

Ich meine damit nicht Hijack oder àhnliches, damit kann
ich ja nur die diversen Start-Plàtze abprüfen (und beileibe leider nicht
alle).




Autoruns von Sysinternals/Microsoft kennt alle. Ausserdem mault es nicht
daemlich rum, dass man als normaler User keinen Schreibzugriff auf
/etc/HOSTS hat.

Ich meine eher so was wie den ProcessExplorer oder DDESPY (aus
Visual Studio z.B.) - funktioniert diese "Fernsteuerung" via DDE oder ... ?




Im Zweifelsfalle eher "oder".

Danke für jeden technischen Hinweis.



Nun ja, wie waer's, wenn du einfach die Malware selbst analysierst?

Ähnliche fragen