Hall Stefan
Das ehe ich anders. Auf den Unixen, Linuxen und Macs werden
die Programmeinstellungen im Homeverzeichnis des Anwenders
gespeichert, und da gehören sie auch hin. Bei Windows bin ich
mir da Mangels Kenntnis unsicher, aber auch hier gibt es doch
X:\Dokumente und Einstellungen\username, und dort gehören die
Daten auch hin.
/Home/… ist IMHO eine andere Partition und speziell zur Aufnahme selbsterstellter Dokumente erschaffen!!! [ironie]Oder muß ich mir das in meinem zweiten System noch mal ansehen?[/loriot]
Damit kann man nämlich ein prima Backup machen oder auch auf
eine andere Maschine migrieren. Das geht nicht, wenn der
Anwender die Daten dorthin schreiben kann, wohin er will.
Erstens sind bei einer Migration für den Heimanwender immer die Lizenzbestimmungen von M$ zu beachten und zweitens hindert kein Mensch den Anwender daran sich zu Merken, wo sich seine Daten befinden und diese speziell zu sichern. Bei obigen /home/… ist das wohl auch nicht viel anders. Bestes Beispiel dafür sollte MozBackup für Mozilla&Co sein.
Was nun noch in der Registry landet - keine Ahnung. Dazu bin
ich zu wenig Windows-Benutzer.
In der Registry befinden sich alle wichtigen Einträge und Einstellungen des Systems (auch im Bezug auf die Hardware) und der meisten verwendeten Programme. Alle Systemvariablen und -settings werden in der Registry verwaltet und gespeichert. In ihr sind alle vordefinierten Speicherorte mit wenigen Codezeilen gezielt zu erkennen. Da helfen auch keine anderen Partitionen, falls der Standardeintrag in der Registry auf sie verweist. Das wird dann mit den seltsamsten Tweakern fabriziert.
Anders ist es bei subjektiven Speicherorten. Diese werden nur in die Registry-Einträge der Programme oder Ini’s geschrieben. Nun muß der Malware-Autor aber erstmal herausfinden, welche Programme verwendet und wo deren Doks gespeichert werden. Dies ist ein erhöhter Programmieraufwand, der nur sehr selten anzutreffen ist.
Oder er muß eine verräterische Scannorgie durchführen. Na gut, das gabs auch schon, aber die meisten Anwender werden dann feststellen, das ihre Systeme nicht mehr so wie üblich zuckt, es unbegründet beschäftigt ist und wird nach der Ursache suchen. Im einfachsten Fall ein erweiterter Taskmanager (Autoruns, ProcessExplorer etc.) oder besser mit HijackThis.
"Eigene Dokumente" ist mit hoher Sicherheit der
unsicherste Ort.
Das finde ich auch, aber :\Dokumente und
Einstellungen\username\Anwendungsdaten hört sich nach dem
richtigen Ort an.
Stimmt, klingt erstmal nicht schlecht, aber in dieser Verzeichnis-Gegend befinden sich auch die Vorlagen von Herrn M$-Office ua. Wurde ein in einem Dok eingebetteter Script aktiviert und nur durch öffnen des Doks (!!!) in die Vorlage kopiert, wird mit jedem eBrief und eDokument, welches die Vorlage benutzt, das Dings vervielfältigt und weltweit verschickt.
Ist lustig toll, gar nicht so selten und wird meist erst dann bemerkt, wenn ein Scanner nach Tagen des ersten Auftretens der Malware die betreffende Signatur besitzt. Dann ist das Erstaunen groß und die erschrockenen Anwender fragen dann hier auf dem Brett zu unserer Belustigung, wie sie das Dings schadlos entfernen können 
.
Geht natürlich nicht 100%ig, ist eh schon vervielfältigt, in alle Welt weitervermittelt und hat in 90% der Fälle schon seine Arbeit zur Zufriedenheit des Autors getan. Was nachgeladen oder unter neuen Namen kopiert wurde, ist definitiv nicht feststellbar. Also sagen wir: Nur eine Neuinstallation entfernt die Malware zuverlässig. Nun befinden sich aber auch alle nach dem Infekt erstellten Dokumente in diesem Verzeichnis, bzw. Unterverzeichnis und wie macht man das nun?
Zu allem Überdruß sichert w2k&jünger alles Wesentliche im vorprogrammierten Rythmus in der Systemwiederherstellung. Ist das Datum des Infekt unbekannt, so ist auch die Systemwiederherstellung unbrauchbar.
Wird aber die Startpartition aus einem Image neu geschrieben hat man zwar unter Umständen ein paar ältere Programmversionen drauf, aber alles was drauf ist, ist bis zum letzten Detail funktionsfähig. Von der Malware nach …\system32… nachgeladene, installierte und konfigurierte Software existiert nicht mehr. Die Vorlagen sind wieder sauber brauchen nicht geprüft werden. Veränderte oder neue Einträge der Malware in der Registry existieren nicht mehr.
Der Anwender ist vorgewarnt! Dokumente auf anderen Partitionen brauchen nur mit einem aktuellen Scanner geprüft werden und können unter Umständen aus Backups ersetzt oder „gereinigt“ werden. Eine zeitaufwändige Prüfung auf RootKids (welche bei anderen Dateisystemen gegenstandslos ist) beschränkt sich nur auf die Partition mit den Daten, jedoch nicht auf die Startpartition mit ihren 100.000 Dateien, von denen niemand mit Sicherheit weiß, ob sie nun wirklich dorthin gehören oder nicht.
der hinterwäldler
Nur Feiglinge sichern ihre Startpartition in einem Image, Helden vertrauen einer PFW.
Ich bin ein Feigling!
Unter Linux ist jede Malware für Windoof von vorn herein nur unbrauchbarer binärer Schrott und kann jederzeit problemlos entsorgt werden.