Rogue Software, 'Nutzlose Software' |
Willkommen, Gast ( Anmelden | Registrierung )
Rogue Software, 'Nutzlose Software' |
21.05.2009, 11:50
Beitrag
#281
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.051 Mitglied seit: 15.10.2006 Mitglieds-Nr.: 5.448 Betriebssystem: Win7 Prof. x64 Virenscanner: GDATA TP 20xx Firewall: GDATA TP 20xx |
ZITAT Ich finde schon, dass das ein ganz wichtiger Punkt ist. Samples, die durch eine Erkennung durchrutschen, sind nicht so selten, wie man es gern hätte. Ich glaube auch, dass das öfter passiert, als man glaubt. Als Beispiel: Man startet seinen Rechner (offline) nach einer Woche und das AV Programm versuch sofort neue Updates zu holen. Das klappt natürlich nicht, da der PC noch nicht online ist. Erst jetzt aktiviert der User sein Modem bzw. sein Wlan (nicht alle sind dauerhaft online) und beginnt zu surfen. Der Großteil der AV Programme braucht jetzt sicher bis zu einer Stunde, bis die Signaturen aktualisiert werden und inzwischen kann viel passieren. Symantec bietet bereits die sogenannten Pulse Updates an -> viel schneller kann man nicht an Updates kommen. Auch Avast 5 wird so eine Funktion beinhalten. |
|
|
21.05.2009, 12:24
Beitrag
#282
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
0scan.us/download.php dl1.adioro.com/distribs/5/registryoptimizer.exe installiere auch das mit , das ist auch nur eine reine Scareware. Danach die Gdata VM rebooten und schon kannst du nichtsmehr ausser dem Explorer und dem IE aufrufen , auch kein Gdata. Nettes Tool. Avira und auch asquared... alles hinne.. Sollte man glatt als Deinstaller für AVs nutzen Bei a-squared muss man aber scho an die 6x das Standard-Häkchen entfernen und ja klicken Und auch Avira hat die install.exe mit Signaturen vom 09.05. erkannt. -------------------- Yours sincerely
Uwe Kraatz |
|
|
Gast_J4U_* |
21.05.2009, 12:51
Beitrag
#283
|
Gäste |
Ja. Dein System scheint geschützt. Aber nicht alle können sich so "glücklich" schätzen. Glück ist etwas anderes. ZITAT Was nun? Dann muss ich immer noch eine Datei, die ich weder kenne noch möchte, herunterladen und dann muss ich diese Datei aus völlig unbekannter Herkunft auch noch ausführen, bevor ich mir mein System versaue.Jetzt sind wir an dem Punkt angelangt, an dem ich doch mal auf die brain.exe verweisen möchte. J4U |
|
|
21.05.2009, 14:00
Beitrag
#284
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
Dann muss ich immer noch eine Datei, die ich weder kenne noch möchte, herunterladen und dann muss ich diese Datei aus völlig unbekannter Herkunft auch noch ausführen, bevor ich mir mein System versaue. Jetzt sind wir an dem Punkt angelangt, an dem ich doch mal auf die brain.exe verweisen möchte. Und wenn ich mal einen schlechten Tag habe und die Datei als IrfanView_Setup.exe verteile? Kann immer noch sagen: ...komisch...bei mir hat's funktioniert... -------------------- Yours sincerely
Uwe Kraatz |
|
|
21.05.2009, 15:23
Beitrag
#285
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
@J4U
Ich vermute du hast das nicht verstanden warum es hier ging ? Man kanns dir gern auch nochmal erklären, extra für dich zum mitschreiben. Es ging hier darum aufzuzeigen das Scareware zusätzliche Funktionalitäten mitbringt wie Sie im PC Welt Artikel beschrieben wurden . Du wirst beim nächsten mal Nicht immer in der glücklichen Verfassung sein das irgend jemand die Webseite als Böse deklariert oder die Seiteninhalte bemängelt , dann stehst du vor der Situation ob dir die Scareware deinen PC sperrt und du nichts machen kannst. ZITAT Dann muss ich immer noch eine Datei, die ich weder kenne noch möchte, herunterladen und dann muss ich diese Datei aus völlig unbekannter Herkunft auch noch ausführen, bevor ich mir mein System versaue. Jetzt sind wir an dem Punkt angelangt, an dem ich doch mal auf die brain.exe verweisen möchte. Ich würde an deiner Stelle den Mund nicht so voll nehmen Immerhin hast du ja auch nicht verstanden worum es in meinem Artikel ging , andere haben das verstanden... Der Beitrag wurde von Voyager bearbeitet: 21.05.2009, 15:24 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_J4U_* |
21.05.2009, 17:14
Beitrag
#286
|
Gäste |
Es ging hier darum aufzuzeigen das Scareware zusätzliche Funktionalitäten mitbringt Huch!Dieses sensationelle Basiswissen ist, falls ich mich recht erinnere, bereits bei der Einführung von Windows 3.11 (Du erinnerst Dich, das erste netzwerkfähige Windows?) vermittelt worden. ZITAT Immerhin hast du ja auch nicht verstanden worum es in meinem Artikel ging , andere haben das verstanden... Macht nichts, mit meinem Unverstand habe ich meine(n) Rechner bisher saubergehalten, von verständigeren Zeitgenossen kann man das nicht immer behaupten. Thema ausgereizt - EOD - Schönes WE (inkl. Brückentag) J4U |
|
|
21.05.2009, 17:44
Beitrag
#287
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Das ist doch nett wenn du deine Bude sauber halten kannst , aber deshalb musst du nicht versuchen die Unterhaltungen zu stören, das ist ja auch nicht das erste mal gelle.
Ich bezweifle das es zu Win311 Zeiten schon Scareware gab die den PC solange unbrauchbar macht bis der Betroffene aus Frust zahlt , incl. der Überwindung von aktuell nicht ausreichenden Selbstschutztechniken von Sicherheitssoftware. Wenn du schon versuchen willst mitzureden empfehle ich dir schreibe einfach auch mal was zu Thema. Hier versuchst du nur zu stören und vom eigentlichen Thema abzulenken. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
26.05.2009, 22:35
Beitrag
#288
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Ich hätte da mal ein Thema für die ganzen Software Fachleute im Forum .
Und zwar geht es um Malware wie man sie allerorts auf Webseiten im Netz findet wo man beispielsweise auf einen fehlenden Codec hingewiesen wird (Youtube Fakes) . Wenn man diese Malware jetzt aufspielt tauchen Temporär Dateien als Prozesse im Taskmanager auf die den eigentlichen Downloader darstellen und weitere Malware aus dem Netz fleissig nachladen , siehe Bild. http://www.abload.de/img/1wzi0.jpg Hier hätten wir sowas , ein Flashfake was ein nichtvorhandenes Showplugin installieren will aber im Hintergrund schon fleissig mittels dieser markierten Prozesse Malware aus dem Netz nachlädt. Jetzt meine eigentliche Frage , wie machen die das Temp-Dateien als Prozesse einzusetzen da man erfahrungsgemäss weiss ein Prozess endet mit EXE oder COM ect. . Wo liegt der Unterschied oder der Vorteil jetzt im Gegensatz zum herkömmlichen EXE Prozess hier diese Temp-Dateien als Prozesse einzusetzen . Wenn das jemand genau weis würde mich das freuen zu erfahren. Der Beitrag wurde von Voyager bearbeitet: 26.05.2009, 22:36 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
28.05.2009, 12:54
Beitrag
#289
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Dieser Artikel fällt wohl in den Zusammenhang.
Ich vermute einfach mal, dass, sofern es sich um PE-Programme mit entsprechendem Header handelt, diese einfach mittels Parameter über einen Systemprozess (wohl meist rundll32.exe) gestartet werden können. Ist auch häufig bei Spielen mit Kopierschutz so. Wenn man z.B. ein HIPS am laufen hat, sieht man, dass die *.tmp-Prozesse des Kopierschutzes von der rundll32.exe gestartet werden. -------------------- |
|
|
28.05.2009, 14:46
Beitrag
#290
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Wäre eine Erklärung aber ich schätze wenn ausführbare Bibliotheken DLL gestartet werden sieht man auch nur den Prozess rundll32.exe im Taskmanager , hier könnte das etwas anders sein.
Mal schauen ob sich noch einer zu Wort meldet. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
28.05.2009, 14:50
Beitrag
#291
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Wäre eine Erklärung aber ich schätze wenn ausführbare Bibliotheken DLL gestartet werden sieht man auch nur den Prozess rundll32.exe im Taskmanager , hier könnte das etwas anders sein. Möglich, bei den Kopierschutz-tmps ist es aber besagte Exe. Die Experten machen wohl gerade Pause -------------------- |
|
|
28.05.2009, 15:34
Beitrag
#292
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 400 Mitglied seit: 03.09.2008 Mitglieds-Nr.: 7.063 |
Es gibt bei Windows mehrere Mechanismen um Dateien auszuführen. Ich würde die mal grob in Shell- und Systemmechanismen unterteilen.
Shellmechanismen (z.B. ShellExecute) greifen dabei auf die Dateiendung zurück, um aus der Registry auszulesen, wie mit der Datei umzugehen ist (direkt ausführbar, mit anderer Anwendung öffnen etc.). Wenn kein Eintrag vorhanden ist, gilt der Dateityp als unbekannt und es wird folglich auch nichts gemacht. Systemmechanismen zum Starten von Prozessen (z.B. CreateProcess) ist es dagegen völlig egal was für eine Endung die Datei hat. Dadurch, daß ich die API benutze, teile ich dem System quasi explizit mit, daß die Datei ausführbar ist. Vorraussetzung ist natürlich, daß die Dateien wirklich ausführbar sind (also z.B. valide PE Header besitzen etc.). Die in Deinem Screenshot sichtbaren *.tmp Dateien sind also offensichtlich direkt via CreateProcess oder ähnlichem gestartet worden. Der Beitrag wurde von Anar bearbeitet: 28.05.2009, 15:35 -------------------- |
|
|
28.05.2009, 15:45
Beitrag
#293
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Danke Anar , könntest du dir noch erklären mit welcher Absicht die Malwareschreiber das so machen, das Vorgehen scheint sehr weit verbreitet zu sein .
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
28.05.2009, 15:57
Beitrag
#294
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 400 Mitglied seit: 03.09.2008 Mitglieds-Nr.: 7.063 |
Klar: Damit kann man unintelligente OnAccess Scanner austricksen. Einige OnAccess Scanner arbeiten immer noch mit Extension Lists der Performance wegen. Bedeutet es werden nur Dateien mit bestimmten Erweiterungen gescannt, weil alle anderen Dateien sind ja "nicht ausführbar" .
-------------------- |
|
|
28.05.2009, 16:08
Beitrag
#295
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Klar: Damit kann man unintelligente OnAccess Scanner austricksen. Einige OnAccess Scanner arbeiten immer noch mit Extension Lists der Performance wegen. Bedeutet es werden nur Dateien mit bestimmten Erweiterungen gescannt, weil alle anderen Dateien sind ja "nicht ausführbar" . Wieder mal klasse Erläuterungen Dann hookt also ein On Execution-Scanner CreateProcess? Somit wäre dann ein Austricksen des AVs, was nur nach Namenserweiterung prüft, dadurch nicht mehr möglich? -------------------- |
|
|
28.05.2009, 16:26
Beitrag
#296
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
Profis unter sich.
-------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
28.05.2009, 16:29
Beitrag
#297
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 400 Mitglied seit: 03.09.2008 Mitglieds-Nr.: 7.063 |
Dann hookt also ein On Execution-Scanner CreateProcess? Somit wäre dann ein Austricksen des AVs, was nur nach Namenserweiterung prüft, dadurch nicht mehr möglich? On Execution Scans sind meist über Hooks von Funktionen gelöst, die beim Prozess Start involviert sind, ja. Meist sind das die File Mapping APIs die verwendet werden um Prozesse im Speicher auf den Start vorzubereiten. Ansonsten kann man Prozesserstellung im Kernel nicht direkt hooken, weil ein nicht unerheblicher Teil der Prozesserstellung im Usermode abläuft. Mit Vista SP1 hat Microsoft übrigens einen Mechanismus hinzugefügt mit dem man trivial Prozesserstellung überwachen und verhindern kann: PsSetCreateProcessNotifyRoutineEx. Aber um Deine Frage zu beantworten: Wenn ein On Execution Scan benutzt wird, ist es egal wie Datei heißt. Ebenso ist es OnAccess Scannern egal, die auf Grund des Dateiinhalts entscheiden ob eine Datei gescannt werden soll statt auf Grund der Dateiendung. Der Beitrag wurde von Anar bearbeitet: 28.05.2009, 16:40 -------------------- |
|
|
28.05.2009, 17:58
Beitrag
#298
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Klar: Damit kann man unintelligente OnAccess Scanner austricksen. Einige OnAccess Scanner arbeiten immer noch mit Extension Lists der Performance wegen. Bedeutet es werden nur Dateien mit bestimmten Erweiterungen gescannt, weil alle anderen Dateien sind ja "nicht ausführbar" . Dazu habe ich schon länger ein Frage: Bei Kasperksy gibt es, wenn ich mich recht entsinne drei Optionen für den OnAccess Scanner: Nach Dateiendung Nach Dateiformat alle Dateien. Option 1 ist nach deinen Ausführungen also sehr unsicher. Was macht Option zwei? Ich habe mir das bisher immer so erklärt, dass sich Kasperksy den Header anguckt und das Format dahingehen prüft ob es ausführbar ist oder nicht. Ist das so korrekt? -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
28.05.2009, 18:01
Beitrag
#299
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 400 Mitglied seit: 03.09.2008 Mitglieds-Nr.: 7.063 |
Ja, korrekt. Ist ein Kompromis aus Sicherheit und Performance und meiner Ansicht nach die zu empfehlende Einstellung. Ist glaube ich bei Kaspersky auch Standard so eingestellt.
-------------------- |
|
|
28.05.2009, 19:52
Beitrag
#300
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Danke, Anar, und genau
Allerdings macht das HIPS bei jedem Programmstart einen On Execution-Scan, weshalb es wohl nicht schlimm ist, wenn man bei Datei-AV nach Erweiterungen entscheiden lässt, ob gescant wird. -------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 14.05.2024, 15:35 |