Static DLL Injection & Ewido, - Verseuchtes Ewido begeht Selbstmord - Einstellungen

[Gast_Nautilus_*]

1.
Ich bereite gerade ein Update unseres Artikels über DLL Trojaner vor. Grund: Die besonders unangenehme, statische DLL Injektion (entweder mittels eines "hineingepatchten" LoadLibrary oder durch Patchen der IAT) ist nunmehr auch für DAUs möglich geworden, da es hierfür ein vollautomatisch funktionierendes Tool gibt, welches in einschlägigen Kreisen bekannt gemacht wurde.

2.
Angesichts der Möglichkeit der statischen DLL Injektion sollten zumindest solche Programme, die auf das Internet zugreifen (einschliesslich Antiviren-/Antitrojanersoftware mit Internetupdate-Funktion) über einen Integritätscheck verfügen.

3.
Da es mit Trojan Hunter irgendwie nicht geklappt hat, musste Ewido als Demonstrationsobjekt herhalten ...





4.
Immerhin gehört Ewido zu den ganz wenigen Programmen mit einem Module Memory Scanner und kann deshalb auch laufzeitkomprimierte/gecryptete DLL Trojaner erkennen. Wenn die Technik der statischen DLL Injektion demnächst häufiger verwendet werden sollte, sind Programme mit Module Mem Scanner unentbehrlich.

5.
Genaugenommen scheint Ewido im Moment das einzige Programm mit funktionierendem Module Mem Scanner zu sein. Trojan Hunter hat bei mir jedenfalls massive Probleme und findet kaum eine Malware DLL. Dies gilt auch für die im obigen Beispiel verwendete Coldfusion DLL, die ich dem Entwickler bereits im Januar 2004 übermittelt habe, die aber auch mit ganz aktuellen Signaturen weder vom File-, noch vom Memscanner erkannt wird.

Der Beitrag wurde von Nautilus bearbeitet: 18.09.2004, 13:58

[Gast_Peter_*]

Also wenn ich was an ewido patche, krieg ich folgendes:

Angehängte Datei(en)

 integritycheck.png ( 4.98KB ) Anzahl der Downloads: 9

 

[Gast_Nautilus_*]

Bei mir tritt diese Warnung aber (wie im Screenshot ersichtlich) nicht auf.

[Gast_Peter_*]

Hmm, sehr seltsam... Kannste mal bitte die gepatchte .exe an submit@ewido.net schicken? Thx

[Gast_Nautilus_*]

Für Euch tue ich doch alles ;-)

EDITED: Müsste schon da sein. Nun aber auch berichten, ob es klappt.

Der Beitrag wurde von Nautilus bearbeitet: 18.09.2004, 14:55

[Gast_Peter_*]

Ok, alles klar, da wurden unsere Integritätsdaten durch den Patch überschrieben, daher keine Meldung. Melden wir in Zukunft halt auch, wenn diese Daten fehlen
Übrigens, wenn sich keine weitere securitysuite.exe im Verzeichnis befindet, wird die gepatchte Version beim nächsten Online-Update, wenn auch ohne Meldung, trotzdem ersetzt.

[Gast_Nautilus_*]

War ja eh nur als Demonstration gedacht. Vermutlich wird kein Mensch ausgerechnet Ewido patchen.

Vor diesem Hintergrund kommt meiner Meinung nach der Beseitigung der erneut aufgetretenen Rebasing Vulnerability sowie der Komplettierung der Database (CIA 1.22 wird z.B. immer noch nicht erkannt, obwohl in Eurer Datenbank als "Backdoor.Ciadoor.122 & Backdoor.Ciadoor.122.b" enthalten; Helios-Family und Minimo habe ich nicht erneut getestet) deutlich grössere Bedeutung zu.

Der Beitrag wurde von Nautilus bearbeitet: 18.09.2004, 19:59