Zitat von "Eraser-EMC2-"Ich denke schon, das Windows Virenscanner nach allen Virentypen suchen.
Glaube ich nicht, da Windows den Programmcode z.B. eines ARM-NAS kaum verstehen wird.
Zitat von "Eraser-EMC2-"Laut dem logfile startet es einen eigenen SSH-Server auf Port 26
Nicht nur das, vorher wird ja in der autorun.sh der sshd ausgetauscht. Somit läuft auch der normale SSH-Zugang über den modifizierten sshd. Dieser wiederum bringt seine eigene Crypto-Bibliothek mit. Was das heisst, kannst Du Dir ausrechnen.
Zitat von "player83"Wenn ich alles neu aufgesetzt habe, wie prüfe ich, ob alles wieder i.O. ist?
Zuersteinmal ob die offensichtlichen Modifikationen wieder auftauchen:
- optware Ordner mit den speziellen Unterordnern
- pnscan Programm
- eine autorun.sh, die man nicht selbst angelegt hat
dann durch Überprüfen
- der Prozessliste mit ps
- der verwendeten Resourcen mit lsof
- Netzwerkstatus mit netstat
Zitat von "player83"Kann man das einfach überprüfen?
Ehrlich gesagt - Nein! Oder anders ausgedrückt - Es kann niemand zu 100% sagen, dass sein Rechner clean ist.
Zitat von "Drauka"Kurios ist aber, dass ich den entsprechenden pnscan-Prozess gar nicht habe.
Das war bei player83 genauso.
Es ist durchaus möglich, dass es unterschiedliche Versionen dieser Malware gibt. Möglich ist aber auch, dass sich Unterschiede durch verschiedene NAS-Typen ergeben.