Powered Keylogger 1.4, is not detected by ....... Einstellungen

[Heike]

schaut Euch mal die lange Liste an.

Powered Keylogger 1.4 is not detected by:

Firewalls
BlackIce
Filter Gate
Firewall X-treme
Kerio Winroute Firewall
Look'n'Stop
McAffe Personal Firewall
Norton Internet Security
Norton Personal Firewall 2005
Outpost Firewall Pro
Sygate Personal Firewall
Tiny Firewall
Tiny Personal Firewall
WinGuard Pro 2005
Zone Alarm Pro
Anti-spyware/Anti-keyloggers
Acronis Privacy Expert Suite
Ad-Aware Personal
Ad-Aware SE Plus
AdSpy Eliminator
Adware Away
Aluria Spyware Eliminator
Bazooka Scanner
BPS Spyware/Adware Remover
eTrust Pest Patrol
McAfee AntiSpy
Microsoft Windows AntiSpyware
Personal Antispy
Spy Catcher
Spy Cleaner GOLD
Spy Cleaner Pro
Spy Emergency 2005
Spy Remover
Spy Subtract Pro
SpyBot - Search & Destroy
SpyBouncer
SpyKiller 2005
Spyware Doctor
Spyware Nuker 2005
Steganos AntiSpyware
Trojan Guarder
WinPatrol
XoftSpy
XPY
Antivirus software
Avast! 4 Antivirus protection
BitDefender Standard (das schreibt man mit "d")
eTrust Antivirus
eZ Trust Antivirus
F-Prot
Kaspersky Antivirus Program
McAfee VirusScan
Microsoft Malicious Software Removal
Norman Virus Control
Norton Antivirus 2005
Norton Antivirus Professional
Panda Titanium Antivirus 2005
Sophos Anti-virus
Trojan Guarder Golden
Trojan Remover
TrojanHunter

h**p://www.mykeylogger.com/keystroke-logger/powered-keylogger/

ist ja vielleicht mal was zum Testen für die Gruppe der Tester hier.

Ist in Deutschland über Share-it! zu beziehen. Ich hoffe es denkt keiner, ich will hier im Forum Keylogger verteilen, es geht mir alleine um die Werbeaussage.

[Kyu]

die installations-exe erkennen is ja schön und gut, bringt aber nix. man braucht eh lokalen zugriff auf den rechner, da ist das kurzzeitige deaktivieren des on-access scanners sicher auch kein act.
der witz an der sache ist das die av-programme es auch erkennen sollten wenn das ding läuft.

[Gast_2cool_*]

die installations-exe erkennen is ja schön und gut, bringt aber nix. man braucht eh lokalen zugriff auf den rechner, da ist das kurzzeitige deaktivieren des on-access scanners sicher auch kein act.
der witz an der sache ist das die av-programme es auch erkennen sollten wenn das ding läuft.
[right][snapback]139183[/snapback][/right]

Wie sollen die etwas erkennen, das nicht da ist? Wenn das Ding erstmal installiert ist, bekommst du das nicht mehr zu sehen, Dein Scanner auch nicht.

Für mich ist der Punkt entscheidend, dass KAV das Teil in den Signaturen hat. Es gab hier nämlich auch mal einen Thread zu einem RAT, das von einem AV ausgeklammert wurde, weil angeblich "gute Software".




btw 1: Die Installations-Exe ist doch nur gepackt. Bei der Installation wird sie entpackt, also würde der Scanner anschlagen.

btw 2: Funktionen, ähnlich denen von RootkitRevealer, in einen Scanner einzubauen bringt auch nicht viel, weil die meisten User mit dem Ergebnissen nicht viel anfangen können. Stealth-Funktionen müssen nicht zwangsweise auf ein "böses" Rootkit hindeuten, siehe: Using Rootkits to Defeat Digital Rights Management

Selbst Mark Russinovich sagt, dass ohne Boot-CD (o.ä.) nichts garantiert werden kann:

Is there a sure-fire way to know of a rootkit's presence?
In general, not from within a running system. A kernel-mode rootkit can control any aspect of a system's behavior so information returned by any API, including the raw reads of Registry hive and file system data performed by RootkitRevealer, can be compromised. While comparing an on-line scan of a system and an off-line scan from a secure environment such as a boot into an CD-based operating system installation is more reliable, rootkits can target such tools to evade detection by even them.

Quelle: sysinternals.com


Der Beitrag wurde von 2cool bearbeitet: 23.03.2006, 23:13

[Kyu]

hmm wo soll ich nu anfangen...

Wie sollen die etwas erkennen, das nicht da ist? Wenn das Ding erstmal installiert ist, bekommst du das nicht mehr zu sehen, Dein Scanner auch nicht.

das sysinternals-tool (oder besser deren lösungsansatz) erkennt das zeug ja auch ohne signatur im laufenden betrieb

btw 2: Funktionen, ähnlich denen von RootkitRevealer, in einen Scanner einzubauen bringt auch nicht viel, weil die meisten User mit dem Ergebnissen nicht viel anfangen können. Stealth-Funktionen müssen nicht zwangsweise auf ein "böses" Rootkit hindeuten

da ist absolut richtig, da könnte man aber ganz einfach mit einer beschreibung nachhelfen a la "es gibt x funde. klicken sie auf die ente hinter jedem markierten fund um erklärungen abzurufen".
wenn die funktion auch noch im expertenmodus drin steckt nach dem motto: "willst du sorglos leben brauchst du die funktion nicht nutzen, aber wenn du mal richtig nachgucken willst biete ich dir das und beschreibungen als hilfestellung."

Selbst Mark Russinovich sagt, dass ohne Boot-CD (o.ä.) nichts garantiert werden kann

auch die aussage ist richtig. doof nur, dass es umständlich ist und nur hilft wenn man entweder einen starken anfangsverdacht hat oder es periodisch eingeplante ist.
letzteres machen nur unternehmen. ersteres bezieht sich eher auf normale anwender und ist der punkt den ich gern verbessert gesehen hätte. wie oben schon angesprochen, sehe ich die beste möglichkeit ihnen unter die arme zu greifen wenn das ganze integraler bestandteil von AV programmen wäre.

Kaspersky 5 - Keylogger erkannt und (rückstandslos) gelöscht!

das spricht für kaspersky, da jedoch die macher des tools damit werben die ganze zeit auf draht zu sein und ihr zeug schnell updaten, bedeutet es aber nur das es heute/morgen/diese woche/diesen monat erkannt wird.
da es durch die art des programms (wahrscheinlich) nicht massenhaft betroffene gibt und die AV-hersteller auch nur begrenzte kapazitäten haben, erscheint mir die implementierung einer revealer-variante mit erklärungsoption ins AV-prog viel sinnvoller. wenn BitDefender der sache mit signaturen hinterher jagt seh ich zB nicht das sie irgendwann zu kaspersky aufschliessen werden.

und das programm um das es sich handelt ist ja zu kaufen und keine malware!

wenn es peter lustig kauft und ohne dein wissen bei dir installiert ist es für dich malware. das es auf die art getarnt ist bedeutet das es vor dem user auf jeden fall verborgen sein soll. einen deutlicheren hinweis darauf das es nicht im interesse des users sein kann gibt es nicht.

...mir ist schon klar, dass das wie immer nur eine frage von reccourcen und dem kosten/nutzen faktor ist und vielleicht arbeiten die AV-firmen ja tatsächlich mit nachdruck an sowas... aber eben das seh ich nicht. zufälligerweise weiss ich das av-hersteller hier auch ab und zu reingucken. vielleicht erbarmt sich ja jmd und kann dahingehend klarheit oder hoffnung bringen =)

[Gast_2cool_*]

hmm wo soll ich nu anfangen...[right][snapback]139238[/snapback][/right]

Am besten ganz vorne...

das sysinternals-tool (oder besser deren lösungsansatz) erkennt das zeug ja auch ohne signatur im laufenden betrieb.......da könnte man aber ganz einfach mit einer beschreibung nachhelfen a la "es gibt x funde. klicken sie auf die ente hinter jedem markierten fund um erklärungen abzurufen".  wenn die funktion auch noch im expertenmodus drin steckt nach dem motto: "willst du sorglos leben brauchst du die funktion nicht nutzen, aber wenn du mal richtig nachgucken willst biete ich dir das und beschreibungen als hilfestellung." [right][snapback]139238[/snapback][/right]

Teilweise wäre das wohl kein Problem, wenn ein AV-Scanner zusätzlich solche Funktionen bieten würde, zumindest in der Form wie in dem zweiten Tool, das ich mir
hier angesehen hatte. Trotzdem wäre mit einem erhöhten Aufkommen von Supportanfragen zu rechnen.


Ich befürchte nur, dass die AV-Hersteller den Weg gehen werden, solche Tools extra anzubieten, vergleichbar den speziellen Antispyware-Programmen.
Geschäft ist Geschäft.....