Rootkit, Trojan Einstellungen

[Gast_Zottel_*]

das hier macht einen Angst
Ich glaub ich starte meinen alten Comodore C64 mit Wintergames wieder dann



http://research.microsoft.com/research/pub...20Report&id=775

Quelle PC-welt

Sicherheitsexperten haben auf einer Tagung auf der RSA Security Conference in San Francisco über die Bedrohung durch so genannte "Rootkits" gesprochen. Vertreter von Microsoft warnen vor einer neuen Generation, die mit derzeitigen Sicherheitsprodukten kaum aufzuspüren ist. Sie könnte sowohl für Unternehmen als auch für Einzelpersonen ernste Risiken bedeuten.


Systeme, auf denen die Tools installiert sind, werden von Crackern für Angriffe genutzt und um Informationen zu sammeln. Typischerweise kommt die Software meist ohne Wissen der Anwender auf das System, sei es mit Hilfe von Malware oder durch einen geglückten Hack der Sicherheitssysteme eines Rechners.

Einmal installiert, laufen Rootkits unerkannt im Hintergrund, können aber oftmals aufgespürt werden. Beispielsweise indem laufende Prozesse auf einer infizierten Maschine unter die Lupe genommen, die Kommunikation nach außen kontrolliert oder nach neu installierten Programmen Ausschau gehalten wird.

Von einem anderen Kaliber sind die dagegen Kernel Rootkits. Diese Applikationen, die den Kernel oder "core request processing" (Teil des OS) modifizieren, werden immer gebräuchlicher. Rootkit-Autoren machen zudem große Fortschritte bei der Fähigkeit, ihre Schöpfungen zu tarnen, so Mike Danseglio von Microsofts Security Solutions Group.

Insbesondere einige Rootkits der neuesten Generation sind in der Lage, Anfragen oder “system calls“ auszufiltern. Dies führt dazu, dass typische Anzeichen dafür, dass ein Programm im Hintergrund läuft, fehlen. Für Administratoren und Erkennungs-Tools sind sie in der Folge unsichtbar, so Danseglio.

Ein Tool namens Hacker Defender, vor gut einem Jahr veröffentlicht, nutzt sogar Verschlüsselungs-Techniken für seine Kommunikation ins Internet. Und kann Huckepack über normal genutzte Ports (wie etwa Transmission Control Protocol Port 135) nach außen kommunizieren - andere Anwendungen, die den Port nutzen, werden in ihrer Tätigkeit nicht gestört.

Strategien zum Aufspüren von Kernel Rootkits auf infizierten Systemen sind bislang eher Mangelware. Dies liegt insbesondere daran, dass jedes Rootkit sich anders verhält und unterschiedliche Taktiken nutzt, um sich zu verstecken.

Eine Strategie, Kernel Rootkits aufzuspüren, ist es, abgespeckte und auf CD gebrannte XP-Versionen heranzuziehen und das Profil des Rechners mit dem eines infizierten Systems zu vergleichen, so Kurt Dillard von Microsofts Security Solutions Group.

Microsoft-Spezialisten haben sogar ein Tool entwickelt, genannt Strider Ghostbuster, das Rootkits aufspüren soll, indem es saubere und verdächtige Windows-Versionen vergleicht und nach Unterschieden Ausschau hält, die auf einen laufenden Kernel Rootkit hinweisen. Dies geht aus einem Paper von Microsoft Research hervor, wie unsere Kollegen vom IDG News Service berichten.

Der einzig sichere Weg, Kernel Rootkits wieder loszuwerden, besteht momentan in einer vollständigen Löschung der Platte und einer Neuinstallation des Betriebssystems, so ein Experte. Bessere Erkennungs-Tools könnten natürlich entwickelt werden. Rootkit-Autoren sind jedoch sehr geschickt darin, neue Erkennungs-Techniken auszumachen und ihre Programme so zu modifizieren, dass sie daran vorbeischlüpfen können, sagt Danseglio.

Der Beitrag wurde von Zottel bearbeitet: 08.05.2005, 03:09

[StormRider]

Hm, Wintergames....cracked by..... also ich würde mal behaupten, daß es unter dem C64 auch schon Malware gab. Damals wurde gecracked, was das Zeug hielt und die Teams haben sich in der geknackten Software gegenseitig Grüße oder das Gegenteil davon zugesandt...

Ich hab mal Dein Posting zum Anlass genommen, wieder eine Rootkit-Analyse laufen zu lassen, und die 3 Meldungen vom Programm scheinen in Ordnung zu sein. Allzugroße Sorgen würde ich mir nicht machen, da vermutlich irgendwann auf dem Sektor auch verstärkt durch die AV-Firmen Gegenmittel angeboten werden (Wenn man genug Angst verbreitet hat, ist der User weich genug, was dafür zu zahlen).

Meinen Rechner beobachte ich eigentlich immer; was sind da für Tasks, wie ist die Speicherauslastung, wie sieht der Traffic aus, gibts irgendwelche auffälligen Verhaltensstörungen vom PC, solange ich nüchtern bin...

Aber ich suche mir wissentlich auch keine Software aus, die auf einem russischen Server bei einem schwarzafrikanischen Hoster über einen Provider in Shanghai per us-amerikanische Spammerklitsche angeboten wird, wobei im Namen und auf der Webseite noch zuviele 'z' oder '0r' am Ende stehen... Oder anders gesagt: ich versuche vertrauenswürdige Quellen zu verwenden - naja, soweit ich das eben abschätzen kann.

Falls Du mal nach Rootkit-Verdächtigen Änderungen in Deinem System suchen möchtest, schau Dir mal folgende Seite an; ganz am Ende gibts auch eine Software dazu:

http://www.sysinternals.com/ntw2k/freeware...kitreveal.shtml

Leider reicht mein selflearned englisch nicht aus, um den ganzen Text zu verstehen, aber evtl. schreibt der ein oder andere Fachmann (bin ich leider nicht) hier noch was dazu.



mfg
StormRider - sich Gedanken machend, ob die ganzen Viren/Wurm und ach-was-weiß-ich-was-sonst-noch Dinge nicht letzten Endes dafür mißbraucht werden, um TCPA oder noch schlimmeres zu pushen; schließlich ist das Internet manchen Leuten (23?) viel zu frei und unkontrollierbar

[Heike]

das hier macht einen Angst

und das ist, glaube ich, das eigentliche Ziel, um gewisse Pläne durch Regierungen durchzusetzen.

Ich halte die Meldung für falsch und für reine Panik-Mache, sie macht lediglich Angst und Angst ist immer ein schlechter Ratgeber, wenn Entscheidungen getroffen werden müssen.

Am Ausbau der Angst wird ständig gearbeitet, auch durch Leute, die Schutzprogramme verkaufen wollen. Hier mal ein Beispiel Hat schon jemand das a-squared IDS getestet?

Behauptet wurde, es gibt Schädlinge, die nur durch das Programm entdeckt werden können. Ich habe mich angeboten, das zu testen, leider ist der Programmierer nicht bereit gewesen, auf dieses Angebot einzugehen. Anstatt zuzugeben, dass er den Mund etwas zu voll genommen hat, wird mit Äußerungen, die diffamierend sind, ein Rückzug vollzogen.

Nur zur Erklärung: wenn mir Andreas einen Server geschickt hätte, könnte ich, selbst wenn ich wollte, damit nichts anfangen, weil ich den entsprechenden Client nicht besitze. Falls ich den Server weitergeben würde, hätte allenfalls Andreas mehr Vics, um es mal platt zu sagen. In der Notify wäre ja seine IP oder seine No-IP Adresse angeben.

Ein weiteres Beispiel für Angst: Evil Eye Software
Viele Leute hatten diese Seite aus Angst nicht besucht. Ist diese Angst real zu begründen? Mit Sicherheit nicht, die Angst ist ein Produkt aus Unwissenheit gepaart mit Unsicherheit. Das Argument, Seiten mit dieser Zielrichtung aus grundsätzlichen Überlegungen nicht zu besuchen, lasse ich jetzt mal außen vor. Dinge, die man nicht kennt, kann man nicht beurteilen. Eine eigene Beurteilung, die aus Furcht nicht stattfindet, ist immer eine schlechte/falsche Beurteilung.

Was ist der Gewinn, wenn sich Angst verbreitet? Und wer hat den Nutzen davon?

TCPA would TAKE your FREEDOM
Ist diese gedankliche Verbindung zu gewagt? Wer Angst hat, wird TCPA für einen Schutz halten, eine Einschränkung der Freiheit kritiklos hinnehmen, denn er hat ja nichts zu verbergen.
Mailüberwachung, naja, man hat ja nichts geheimes, was man sich schreibt.

Und wenn man sagt, man möchte nicht überwacht/eingeschränkt werden, dann gehört man wohl zu denen, die etwas zu verbergen haben?

Die ganze Panikmache ist aus meiner Sicht sachlich nicht begründbar, sie dient einmal den wirtschaftlichen Interessen der Hersteller von Schutzsoftware in weiterem Sinne und den Regierungen, um die Freiheit der Bürger durch pauschale Überwachung einzugrenzen. Nicht mehr und nicht weniger.

Cybercrime, mit diesem Regelwerk soll dann alles gerichtet werden. Es ist nicht so, dass ich da grundsätzlich alles ablehne. ddosing ist beispielweise eine Sache, die ich ablehne. Aber auch hier ist die Frage, verkauft wird der Kampf gegen Ddoser mit dem Kampf gegen Kriminalität, dass es auch als ein Mittel des politischen Protestes genutzt wird, war mir bis vor kurzem unbekannt. Vielleicht soll hauptsächlich das Protest-Mittel verhindert werden und die Kriminalitäts-Verhütung ist nur vorgeschoben?

@StormRider, irgendwie haben wir im Grundsatz wohl die selben Gedankengänge.
Ich würde mich freuen, wenn wir diese Gebiet mal unter diesem Aspekt diskutieren könnten.

[Lucky]

Nur zur Erklärung: wenn mir Andreas einen Server geschickt hätte, könnte ich, selbst wenn ich wollte, damit nichts anfangen, weil ich den entsprechenden Client nicht besitze. Falls ich den Server weitergeben würde, hätte allenfalls Andreas mehr Vics, um es mal platt zu sagen. In der Notify wäre ja seine IP oder seine No-IP Adresse angeben.[right][snapback]92105[/snapback][/right]

Hast du schon mal erlebt das ein AV Hersteller den Kunden Malware gibt? Ich nicht und ganz ehrlich, das ist gut so. Wenn dann Leute, die meinen sie kennen sich super damit, her kommen und was testen wollen, mist bauen verbreiten sie dann sogar die Malware und dann heißts der böse böse AV Hersteller. Zack ist das Image des Herstellers im Eimer... Wenn nicht sogar der ganze Branche...

Wenn du, liebe Heike, A² testen willst, dann weißt du doch selber gut genug wo du deine Malware dafür her bekommst oder? Du prahlst ja immer wie toll Trojaner zur Fernwartung seien...

- björn, dem bei solchen aussagen der hals platzt

[Heike]

björn,

Du hast leider eine Sache nicht verstanden, deshalb für Dich noch einmal.
Ich kenne keine schädliche Software, die nicht mit dem entsprechenden Wissen ohne ein Schutzprogramm erkennbar ist.
Wenn behauptet wird, es gibt so etwas, sollte man das doch beweisen können, oder nicht?
Wenn Andreas mir so etwas nicht schicken will, wären hier sicherlich auch andere Leute bereit, seine Aussage zu überprüfen. Bloß darauf wird Andreas auch verzichten.
Das ich als nicht vertrauenswürdig dargestellt werde, ist doch in diesem Fall nur eine willkomene Möglichkeit, sich einfach rauszureden.
Schade, dass Du die tiefere Ursache hier offensichtlich nicht erkennen kannst oder willst und auf seine Argumentation reingefallen bist.

Trotzdem einen schönen Sonntag, Heike

[Lucky]

Jede Malware kurz nachdem Release, sprich bevor sie die AV Hersteller in die Erkennung eingebaut haben. Wer von uns hat nun was nicht verstanden?


- björn

[Heike]

Ich spreche von einem Erkennen ohne jegliche AV-Software, wie Du ja sicherlich bemerkt haben wirst.
Da wird a² nichts erkennen, was ein User nicht auch ohne a² erkennen könnte, das entsprechende Wissen vorausgesetzt. Den Gegenbeweis wird Andreas nicht liefern können, lediglich darum geht es.

[Lucky]

Wenn die Malware sich nicht bemerkbar macht, wie willst du sie dann ohne AV erkennen? AV Software und so sitzen nun mal an Stellen, an denen du keine aktivität ohne AV erkennen würdest. (A² zählt für mich auch unter die AVs)

- björn

[SkeeveDCD]

Die Meldungen über Rootkits zur Zeit halte ich für reine Panikmache / Marketing. Insbesondere F-Secure übertreibt mit den Aussagen in letzter Zeit ziemlich.

Wer auf das Marketinggeblubber von Firmen (nicht nur von AV-Firmen) reinfällt, ist leider selber Schuld.

[Heike]

ich vertrete die Meinung, dass alles auch ohne AV-Programm erkennbar wäre.
natürlich kann ich mich auch irren, lediglich um diese Aufklärung ging es mir.
Vielleicht tritt Andreas diesen Beweis noch an. Es gibt hier ja einige kompetente Leute, die dies sicherlich objektiv und fachkundig prüfen könnten. Wenn die Produktbeschreibung von Andreas dieser Überprüfung standhält, wird er aktiv an einer Bestätigung seiner Aussage mitarbeiten.
Lehnt er es jeder Person gegenüber ab, weiß jeder, was er davon zu halten hat.

[SkeeveDCD]

Nein, ein sauber programmiertes Rootkit wird man ohne Hilfsmittel nicht erkennen können.

Das beste Hilfsmittel dafür ist übrigens eine Knoppix-Boot CD. ;-)

[Heike]

Da stimme ich Dir zu, aber das Hilfsmittel muß eben nicht zwangsläufig ein AV-Programm sein.

[ingo34]

@Heike
stimme dir in diesen Punkten voll und ganz zu! Auch wenn ich ab und an auch ein AV Proggi nutze.

@all

Die Strategie der AV-Hersteller ist doch einleuchtend. Sie leben davon, Panik zu schüren, denn auch die neuen Versionen sollen verkauft werden. Dass Kernelrootkits garnicht erkannt werden können ist so auch nicht wahr! Ohne AV zwar schwerer. Aber es stimmt wohl dass sich einige AV-Hersteller mit der Erkennung von RK´s schwer tun. Und da F-Secure mit ihrem Backlight was haben, was angeblich alle RK´s aufspüren kann, wird Panik verbeitet!
Und irgendwie muss man den Leuten die 18 gestarteten Prozeße auch verkaufen! war ich das??

Sollte man nicht viel drauf geben!! Und wer Panik hat, der zieht sich den Backlight von FS,prüft seinen Compi und kann danach wieder ruhig schlafen!

In den nächsten Generationen der AV-Software wird mit Sicherheit auch ein RK-Scanner vorhanden sein (KAV2006 z.B. prüft dann standardgemäß alle 20 Minuten auf RK´s.)

[Gast_R2D2_*]

Hm, Wintergames....cracked by..... also ich würde mal behaupten, daß es unter dem C64 auch schon Malware gab.[right][snapback]92102[/snapback][/right]

Auch wenn immer alle behaupten polymorphe Viren seien erst im Zeitalter von MS-Dos gekommen, die gab es auch schon auf dem C64. Und zwar weitaus "bessere" als die ersten PC Versuche die spaeter folgten

Sauber programmierte Rootkits kann man eigentlich nur ueber einen DevLdr Debugger erkennen. Weil auch Rootkits MUESSEN die ContextSwap Funktionen der Kernel nutzen, welche sie NICHT hooken koennen.

[Gast_Talis_*]

....DevLdr-debugger...contextswap....hooken..

RikaD2

[theonly]

Die Strategie der AV-Hersteller ist doch einleuchtend. Sie leben davon, Panik zu schüren, denn auch die neuen Versionen sollen verkauft werden.

Das erinnert mich doch irgendwie sehr stark an das Terror-Level-System aus den USA.

"Hey, dad, it's cool that you and your CIA buddies have invented a fun little system to keep the masses PARALIZED in fear."

[Gast_Zottel_*]

QUOTE(StormRider @ 08.05.2005, 09:22)
Hm, Wintergames....cracked by..... also ich würde mal behaupten, daß es unter dem C64 auch schon Malware gab.


weil ihr es so mit Wintergames habt. Weißt ihr was mir gerade mal durch den Kopf geschossen ist. Data Becker ist ja schon sehr alt. Aber die haben mich noch nie beschissen und im stich gelassen
Das ist doch mal was lobendes oder *grinst fies*
Ich weiß noch die unmengen an Handbüchern. Anleitungen 10 meter lang
Aber die Zeiten waren schön. Mein Netzteil stand immer auf Fensterbrett und sage und schweige die Fenster waren sogar von außen Schnee und Frostfrei