Kann ein Trojaner aktiv werden ohne admin Rechte?

Hi,

Im Titel steht meine Frage:
Kann eine Datei, z.b ein Trojaner, aktiv werden (sich ins System einnisten) OHNE admin Rechte. In meinem Fall z.b wenn ich die Datei starte und von UAC keine Benachrichtigung bekomme. Das müsste doch heißen, die Datei hat nur eingeschränkte Rechte, also kann nichts direkt auf C oder %WINDIR% schreiben kann?


Felix

Also wirklich ohne admin rechte bin ich nur, wenn ich einen Neuen erstelle, der eingeschränkt ist?
Dazu ne andere Frage, was macht denn dann die UAC genau?^^

Felix

und bin ich komplett sicher wenn ich auf nem eingeschränkten account bin?

ja, die uac warnt nicht nur, sondern kann unterbrechen. das meinte ich, man wird vorher gefragt ob man die aktion ausführen lassen will.

die uac kann unterwandert werden, wenn eine malware z.b. vorhandene prozesse missbraucht. z.b. kann man fehler im explorer oder iexplorer dazu ausnutzen.

mit fehler meine ich nicht nur bugs sondern auch design fehler. manche möglichkeiten hierzu eröffnen sich erst als user mit adminrechten, da auf bestimmte schnittstellen ohne diese rechte nicht zuegriffen werden kann. ms würde sowas als feature bezeichnen, da man natürlcih admin sein muss um die schnittstellen zu nutzen ist es kein bug, sondern user schuld. nur die uac meldet sich da trotzdem nciht!

edit: ich kann z.b. den internet explorer manipulieren, dass er beim nächsten windowsstart verscuht nen trojaner zu installieren. bei meiner methode würde beim nächsten booten einmalig eine uac meldung kommen, allerdings bezüglich des internet explorers, und welcher user würde ihm das abschlagen

natürlich muss die malware erstmal auf den Rechner und sie muss irgendwie gestartet werden. aber das kann so eingerichtet werden, dass uac nicht aktiv wird. und da uac nicht wissen kann auf welchen wegen man manche schnittstelle auf vorher nicht geahnter weise mißbrauchen kann gibt es da durch aus möglcihkeiten.

ich kenne eine "firma" die toolkits zum ausnutzen solcher dinge herstellt. aber ich hatte selbst einmal eine malware ohne uac meldung eingeschleußt bekommen (zwischen dem scannen ohne fund und dem mit fund war nicht eine uac meldung außer rivatuner). leider weiß ich nicht mehr welche virus/trojaner es war.

edit: im übrigen ist es mit comodos-firewall/defender+ interessant zu sehen, welche zugriffe so alles stattfinden, bei denen die uac nicht aktiv wird.

edit: und die frage war schließlich ob ohne uac meldung sich ein trojaner einnisten kann und das kann er, selbst wenn bugs ausgenutzt werden müßten! manche bugs sind nur manchmal feature genannt von den herstellern.

ach ja nochwas,
wenn ich vista auf meiner extrernen festplatte installiere, von dieser boote und dort alle möglichen sachen teste/ausführe ohne bedacht (ist ja nicht mein richtiges windows, mit dem ich passwörter und ähnliches eingebe), gefährdet das mein original windows (das aufm Rechner), wenn die platte angeschlossen ist?

Da gibt es unglaublich viel, da es die neue Freizeitbeschäftigung sämtlicher Sicherheitsexperten auf diesem Planeten ist. Hier nur ein aktuelles Beispiel mit Video:
http://www.heise.de/security/VMwar [...] ung/136151

In Sicherheitskreisen arbeitet man Wahrscheinlichkeitsbäumen. Jedem theoretischen Angriffszenario wird eine Wahrscheinlichkeit zugeordnet, die man empirisch gewinnt (z.B. bei Trojanern fliesst hier auch der Verbreitungsgrad ein). Die Summe über alle Szenarien mit ihren Angriffswahrscheinlichkeiten ist dann ein (praktisches) Maß für die Sicherheit eines Systems.

Daraus leiten sich dann Dinge ab wie z.B. In einer virtuellen Maschine als Sandbox für Internetanwendungen ist das Host-System besser vor Infizierungen geschützt. Auch wenn es Szenarien gibt wie man virtuelle Maschinen angreifen kann.

Mir fällt auf, dass in diesem Thread 2x über Angriffe gesprochen wird nachdem das Kind schon in den Brunnen gefallen ist:
1. Wenn ein Trojaner auf dem OS einer externen Festplatte ausgebrochen ist u. privilegierten Systemzugriff hat, dann sind die Ordner egal, die ich mit bestimmten Zugriffsrechten versehen habe.
2. Für den erwähnten UAC Angriff, muss in ausers Beispiel erst der IE kompromitiert werden. Das geht aber i.A. nicht ohne weiteres. Wie wirksam dies in der Praxis ist kann man sich an Internet Cafés veranschaulichen. Wenn Trojaner etc. auf Windows-Basierten Internet Café Rechnern eine Chance hätten, müssten die jeden Morgen ein neues Festplattenimage installieren. Ist aber offensichtlich nicht notwendig.

Einmal root bzw. privilegierte Zugriff, dann braucht man keine Sicherheitsdiskussionen mehr zu führen wie man mit root Rechten wieder root Rechte bekommt. Man hat sie schon.

Deshalb nochmal zurück: UAC ist ein in der Praxis wirksamer Schutz gegen Trojaner. Es gibt zweifelsfrei noch wirksamere. Aber diese theoretischen Überlegungen kann man bis zum St. Nimmerleinstag führen. Man muss sich überlegen was denn nun in der Praxis relevant ist. Und da wären Lücken in Firefox eine weitaus größere Bedrohung, da Keylogger etc. auch problemlos als Firefox Plugin laufen können.