Flux, die neue Bedrohung? Einstellungen

[Internetfan1971]

Was ist denn hiervon zu halten

Laut a2 Newsletter

Flux Verbreitung nimmt zu
Flux ist der Name einer neuen Seuche, die derzeit im Untergrund des Internets grassiert und zunehmend beängstigende Ausmaße annimmt. Bei Flux handelt es sich um einen Backdoor-Trojaner, der derzeit vielen Herstellern von Malware Schutzsystemen Kopfschmerzen bereitet.
Der Schädling gehört zur Gattung der sogenannten "Reverse Backdoors". Reverse bezieht sich dabei auf die Verbindungslogik. Im Normalfall öffnet der schädliche Teil eines Backdoors (der sogenannte Server) auf dem System eines Opfers einen Port und wartet dort auf eine Verbindung von außerhalb durch ein Kontrollprogramm (dem sogenannten Clienten). Dieses herkömmliche Verfahren hat aber eine gravierende Schwäche:
Sollte sich das Opfer (auch Victim oder kurz Vic genannt) innerhalb eines Netzwerks oder "hinter" einem Router bzw. einer Hardware Firewall befinden, kann der Client keinerlei Verbindung zum Server aufbauen und die Übernahme des PCs schlägt fehl.
Aus diesem Grunde gehen mehr und mehr Backdoortrojaner dazu über, selbst eine Verbindung aufzubauen auf einen Port, der zuvor vom Kontrollprogramm geöffnet wurde. Da ausgehender Traffic vom eigenen PC aus innerhalb von Hardware Firewalls und Routern meist erlaubt ist, kann der Backdoor trotz dieser Schutzmechanismen Kontakt zum Kontrollprogramm aufnehmen.
Das perfide und hinterhältige an Flux ist allerdings weniger die Tatsache, dass er diese umgekehrte Verbindungslogik nutzt, sondern die Art wie sie implementiert wurde. Flux benutzt eine für Trojaner neue Technik des Code Injectings. Unter Code Injecting versteht man im Grunde genommen das Injizieren von fremden Code in einen Prozess. Bisherige Code Injecting Techniken basierten darauf, dass ein neues Modul (eine sogenannte DLL) in den Zielprozess eingeschleust wurde. Diese Methode (auch DLL Injecting genannt) war einfach zu erkennen, da alle geladenen Module einfach ermittelt und überprüft werden können. Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt dafür, dass dieser ausgeführt wird. Neben der Tatsache, dass viele Desktop Firewalls in diesem Falle annehmen, dass ein legitmer Prozess wie z.B. der Internet Explorer aufs Internet zugreifen möchte und den Zugriff folglich erlauben, ist das Hauptproblem, dass der schäd liche Flux Code mit keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den meisten Malware Schutzsystemen schlichtweg übersehen wird. Dies macht ein sauberes und dauerhaftes Entfernen von Flux nahezu unmöglich.
Da wir bereits vor geraumer Zeit Trojaner mit dieser Infektionstechnik gerechnet haben, haben wir bereits Gegenmaßnahmen in Form eines erweiterten Prozessspeicherscans für a² Version 2.0 entwickelt. Da die Verbreitung von Flux aber massiv zunimmt, haben wir uns dazu entschlossen, den erweiterten Prozessspeicherscan bereits in Version 1.5 freizuschalten.
Dies bedeutet für Sie, dass a² als eines der ersten Schutzprogramme derweil in der Lage ist, effektiv vor Flux zu schützen und einen aktiven Flux zu deaktivieren. Zudem haben wir ein spezielles Erkennungsprogramm entwickelt, dass wir allen Nutzern anderer Anti-Malware Software als a² kostenfrei für einen schnellen Test auf eine Flux Infektion zur Verfügung stellen. Das Programm erkennt und deaktiviert Flux in infizierten Prozessen und ermöglicht so in Verbindung mit einem aktuellen Anti-Malware Programm, wie z.B. a², eine komplette Entfernung von Flux.

Flux die neue Bedrohung und nur a2 ist der Retter?

[Gast_Andreas Haak_*]

>ich traue eigentlich immer nur der Statistik, die ich selbst gefälscht habe.

Du fälscht Statistiken?

>Wie ist es denn nun? Du stellst es so dar, als ob eine Infizierungswelle über alle
>schwappt, der alle hilflos ausgeliefert sind, wenn sie nicht a² nutzen. So wird es
>mit Sicherheit realistisch betrachtet nicht sein.

Realistisch betrachtet gehen immer mehr "Kiddies" dazu über Flux zu nutzen. Man brauch ja nurmal in die "Fanboards" schauen bzw. generell in Boards die sich mit RATs beschäftigen. Das die Leute hilflos sind, wenn sie a² nicht nutzen steht ebenfalls nirgendwo. Nur das a² als eines der ersten Programme Flux im Speicher erkennt und beenden kann und das dies unter anderem neu ist in v1.5. Abgesehen davon:

Es steht im Produktnewsletter der über Neuigkeiten in Bezug auf a² informiert, der großteils von Leuten abonniert ist, die a² eh längst nutzen. Die Fluxerkennung ist ebenso hinzugekommen wie ein neuer Updater z.B. innerhalb von 1.5. Wenn man also das Ganze für Marketing Zwecke nutzen wollen würde, hätte man wohl eher einen Security Ticker rausgeschickt. Den haben nämlich auch viele abonniert, die a² noch nicht nutzen .

>Dein Newsletter war doch nur Panikmache, jetzt verteidigst Du ihn, das ist auch
>irgendwie verständlich.



Um ihn verteidigen zu können, müsstest Du ihn angreifen. Um ihn angreifen zu können, müsstest Du ihn gelesen haben. Hast Du offensichtlich nicht. Ansonsten würdest Du nicht versuchen uns zu unterstellen, daß wir a² Nutzern versuchen a² anzudrehen.

>Die Anzahl der PCs, die einen Server laufen haben, ist sicherlich nicht wesentlich
>gestiegen, und mit Sicherheit nicht in der Weise, wie Du es hier darstellst.

Darum geht es nicht. Die Anzahl der mit Würmern verseuchten Rechner wird sich rein quantitativ ebenfalls wenig ändern, wohl aber welcher Schädling prozentual den größten Anteil an den Infektionen ausmacht.

Das ein reiner Backdoor niemals die Verbreitung eines Wurms erzielen kann, ist klar. Das er aber relativ zu seinen Verwandten hervorstechen kann in seinem prozentualen Anteil an allen gemeldeten bestehenden Infektionen dieses Malwaretyps, sollte ebenfalls klar sein. In solch einem Fall einen entsprechenden Warnhinweis an unsere Kunden zu schicken, versteht sich dann von selbst. Machen wir bei Würmern ja auch nicht anders - und mit uns so gut wie jeder anderer AV Hersteller, der einen Produktnewsletter bzw. Securityticker anbietet, ebenfalls .

Für mich ist jedenfalls EOD .

Der Beitrag wurde von Andreas Haak bearbeitet: 09.11.2004, 01:31