Einsatz von RAT´s als legale Lösung Einstellungen

[Gast_Gladiator_*]

Insbesondere wird es immer mehr Mode sich die "wildwest" RAT's zu schnappen, etwas zu packen/verschluesseln und dann als offizelle Remote Tools zu verkaufen.
Wer sich mal die Binaries einiger "noch so serioeser" RAT's welche im Internet-Direktverkauf fuer 39$ angeboten werden etwas genau ansieht wird feststellen das dies fast ausnahmslos "alte Bekannte" wie die Backdoor.Delf.x Serie ist. Vom Delf gibt es massig viele Version, es faellt quasi dem normalen Kaeufer gar nicht auf.

AEUSSERST INTERESSANT IST DABEI DER FAKT dass solche "voellig legal erwerbbaren" Backdoors (welche nichts weiter als geklaute und aufbearbeitet sind) mit EXCACT GENAU DER GLEICHEN METHODE VERSCHLUESSELT/KOMPRIMIERT werden wie eine gewisse PornoDialer Serie.

Ich sage nur K+P im Fileheader B)

Das nur mal so nebenbei als Info....

[JoJo]

Stimmt damals im TF Board ist mir auch so ein kommerz Billig Rat aufgefallen..heutzutage kann man ja mit allem Schei* Geld machen. Was ich gerne wissen möchte, ist mit welchen Kriterien manche AV Hersteller Prgramme erst als malware einstufen bzw. in ihre Datenbank enbinden.

[Gast_vampire_*]

schade, hatte einen langen beitrag mit zitaten erstellt, wird aber anders angezeigt als gedacht....ich muss wohl noch ein bisschen üben.

[Gast_Bo Derek_*]

Das lag daran, dass Du bei einem der ersten

QUELLTEXT

[quote]

keine eckige, sondern eine runde Klammer gesetzt hast. Dann stimmt in der Folge natürlich auch nichts mehr

[Gast_vampire_*]

hallo zusammen, habe jetzt auch hierher gefunden und treffe gleich auf diese diskussion...

Letztendlich...ja...das ist aber keine Entschuldigung dafür, dass zahlreiche im Umlauf befindliche RATs dafür sorgen, dass es dem Opfer möglichst spät bewusst wird. Macht DAS die Faszination aus? Ist die Faszination, anderen Menschen seinen Willen aufzwingen zu können, indem man ihren PC "fernwartet" eine geeignete Ausrede oder Erklärung?

ich kann nur für mich persönlich sprechen:
meine faszination ist die faszination des "bösen"

das ist eine erklärung, oder meinste nicht?

Heike meinte:

Grundsätzlich vertrete ich die Meinung, dass man sich vor Gefahren nur schützen kann, wenn man Gefahren beurteilen kann. Dazu gehört Wissen.
Ein Beispiel zur Verdeutlichung: viele Menschen halten Strom für gefährlich, kann er auch sein, aber eben nur, wenn man nicht weiß, wie man mit Elektrizität umgehen muß. Weiß man dies, ist das Arbeiten an Elektroanlagen gefahrlos.

Diese Ausrede - und es IST eine Ausrede - las ich schon sehr oft von dir. Die Informationen, die du benötigst, um dich vor ungewollten RATs zu schützen, bekommst du im TB. Als Supportforum für die Bedienung von RATs ist es nie gedacht gewesen. Daher darfst du dich auch nicht beschweren, dass man dir in dieser Hinsuicht nicht weiterhelfen wollte.

wie kommst du dazu das eine ausrede zunennen, verdammt?

heike ist eine intelligente frau die gerne den dingen auf den grund geht, die eben alles hinterfragt.
die informationen die sie wollte bekommt sie aber nicht auf dem TB (aus meiner sicht völlig unverständlich) darum ist sie zum ratboard abgewandert, denn dort wird man wirklich aufgeklärt..

Für sowas gibts Profis. Und du meinst doch nicht ernsthaft, dass du es bei den Leuten im RB mit Profis zu tun hast, oder?

selbstverständlich ist der prozentuale anteil an fachleuten auf dem RB genauso gross wie auf dem TB.

mich wundert es aber nicht, daß ein aufblasener, selbsternannter "profi" wie du, schwierigkeiten hat diese tatsache zu akzeptieren. das passt einfache nicht in dein extrem kleinkariertes weltbild!!!!!

Mir war aber auch klar, wes Geistes Kind diese Leute sind.

kann ich mit nicht vorstellen bei dir, dazu fehlt es dir an fantasie...

Nachdem ich wusste, wie RATs funktionieren, war mein Interesse erloschen. Weder hatte ich einen praktischen Anwendungszweck noch erkannte ich irgendeine Faszination in ihrer Verwendung.

das bestätigt den eindruck den ich von dir habe...

Vertrieben? Man wird schief angesehen, misstrauisch beäugt. Ja.

was heisst hier "man"...?????

du und nur du, vielleicht noch ein 2 andere, kucken schief und sind misstrauisch. du darfst den minimal focus durch den die welt betrachtest nicht einfach verallgemeinern...!!!! schreib dir das mal hinter die ohren.

Ist das so unverständlich für dich? Du weißt genau, warum das so ist, weil nämlich die meisten RATs entworfen wurden, um unerkannt zu sein und die meisten Anwender sie nutzen, um dem "Kunden" Schaden zuzufügen. Ausnahmen bestätigen nur die Regel. Wenn du glaubst, das RB oder ein Äquivalent sei das einzige Mittel, um die Bedienung und Konfiguration von RATs zu erlernen und auf dem Laufenden zu bleiben, so irrst du. Davon abgesehen liegt es ebenso in deiner Hand, RATs zu verwenden (und deren Support in Anspruch zu nehmen), die weniger anrüchig sind.

die allerwenigsten wollen ihren mitmenschen schaden zufügen, ob dir das gefällt oder nicht...!!!

die, die das machen sind viel eher die regelbestätigende ausnahmen!!!!!!!!!

das du destruktiver querulant das anders siehst , ist auch klar...

das heike, ihrem informationsbedürfnis entsprechent, sich auch mit kommerziellen rats auseinandersetzt, hat sie in diesem thread ja wohl deutlich gemacht... sie hat einen link zu kommerzieller software gesetzt, der dann wieder gelöscht wurde ( oh mann)

zum schluss möchte ich noch anmerken, daß man trojaner sehr wohl und oft auch viel besser,als z.b. pc anywhere, zu legalen zwecken einsetzen kann...mir ist rätselhaft warum das bezweifelt wird.

test

[Rokop]

@ Blutsauger,

warum schlägst Du gleich so einen aggresiven Tonfall an ? Wir wollen doch nicht durch übertriebene Anfeindungen unsere schöne Diskussion kaputt machen, oder? Laß uns sachlich bleiben und Papi ist zufrieden.

@ Heike

Nur damit wir uns richtig verstehen: Ich verstehe Deine Meinung, teile sie aber nicht. Das wir unterschiedliche Meinungen dazu haben ist legitim. Ich fände es langweilig, wenn alle haargenauso denken würden wie ich. Dafür hat Gorgo ja diesen Thread aufgemacht und ich muß sagen, die Diskussion war doch bisher sehr "nett".

[Gast_vampire_*]

ok, werde mich mäßigen, aber IRON reizt mich einfach mit seiner art...

[Gast_Gladiator_*]

Was ich gerne wissen möchte, ist mit welchen Kriterien manche AV Hersteller Prgramme erst als malware einstufen bzw. in ihre Datenbank enbinden.

Darueber koennte man ein Buch schreiben und ein Hersteller kann hier auch nicht stellvertretend fuer andere sprechen. (Das sollte man sich auch nicht als Aussenstehender anmassen denn das ist oft komplexer als es auf den ersten Blick scheint und teilweise sogar rechtlich abzuwaegen ob und wenn WIE was eingepflegt wird)

Eine nicht zu unterschaetzende Rolle spielt dabei die komerzielle Marktposition des AV Herstellers.

Norton muss beispielsweise verdammt vorsichtig sein was das Einpflegen "halbwegs legaler" RAT's
betrifft. Grund: Es koennte eine Klage aufgrund des Wettbewerbsverbotes in's Haus flattern. In diesem Fall
waere es naemlich "relativ einfach" nachweisen zu koennen das NAV das Produkt des "Mitbewerbers" vorsaetzlich flagt um bsw. so zu dem Einsatz von Produkten aus dem eigenen Haus (PC Anywhere beispielsweise) zu zwingen. (duerfte soweit verstaendlich sein denke ich mal)

Norton haellt sich in letzter Zeit eh mit dem Einpflegen nicht wirklich "akut gefaehrlicher" Sachen zurueck.
Das liegt zum einen daran das sie langsam "an die Grenzen" ohne Unpack Engine mit dem Einpflegen kommen und das derzeit der neue Betatest NAV 2004 ansteht.
Das weiss ich uebrigens nicht nur vom Hoeren/Sagen/Lesen in anderen Foren, sondern ich bin im Symantec Verteiler mit Herrn Yamamura der dort fuer die neue Malware zustaendig ist drin.
Sprich ich kriege das quasi "live" mit was warum und wieso abgelehnt wurde.

Ok, zurueck zum Thema. Ich spreche jetzt mal nur von GAV - weil wie gesagt du kannst hier ganz schlecht fuer andere sprechen wenn Du nicht direkt in die Sache involviert bist, weil das waeren dann nichts weiter
als Geruechte die man aufgrund von Vermutungen anstellen muesste.

Prinzipell pflege ich nach "Wirkungsgrad" ein.
Das heisst ich bin nicht unbedingt sensationsbesessen das ich eine sinnlose malware die nicht mal funktionstuechtig ist SOFORT einpflegen muss nur weil andere das tun.

Auch wenn das jetzt absolut brutal und unverstaendlich fuer Aussenstehende klingt, es wird dabei in etwa wie folgt vorgegangen (mal abgesehen von ITW)

* Ist jemand direkt mit dem Sch.... infiziert und sendet das dann wird das UNVERZUEGLICH EINGEPFLEGT
(Es spielt dabei keine Rolle ob Virus, Worm oder Trojaner)

* Besteht Grund zu der Annahme das sich ein gesendetes Sample (aufgrund verschiedener Eigenschaften wie bsw. Verbreitungsart ueber P2P oder aehnliches) relativ flott verbreiten koennte dann wird das auch SCHNELLSTMOEGLICH eingepflegt um hier bereits vorzubeugen

* Sinnloser Muell wie Snooby's Programmierversuche von VX Heavens bleiben erst mal liegen - das wird eingepflegt wenn man mal Zeit hat, da von solchem Sch.... keine direkte Bedrohung ausgeht. (Zumindest keine wirklich ernsthafte)

Prinzipell gilt hier EIN EINMALIGES SAMPLE (auch wenn es noch so einen bedrohlichen Namen hat wie HDD-Smasher) bleibt erst mal liegen solange keine akuten Faelle bekannt werden. DAS IST NORMAL UND WIRD BEI ALLEN AV FIRMEN SO GEHANDHABT DAS SOLCHES ZEUG MAL ALS "NOT-BEHELFS-UPDATE" kommt wenn man nix anderes zum Einpflegen hat und der Kunde auf sein taegliches Update "wartet".
Meist geht das dann auch von selber unter, weil zwischenzeitlich wichtigere Dinge eintrudeln.
Sprich hast du mal nix neues zum Einpflegen dann werden halt paar Clients oder Editserver nachgeschoben.
Fuer den Normalkunden ist hierbei bei allen anderen AV Programmen (ausser AntiVir) kaum nachvollziehbar ob es denn nun wirklich ein neuer noch undetected Server war oder aber ob es "nur" der Client war weil die
alles gleich benennen. Das erklaert auch die "Verwirrung" von einigen die in ein und der selben Woche mehrmals "ein und den selben" Backdoor bei anderen AV's eingepflegt sehen.
GAV benennt die Clients bsw. Backdoor.Name.Cli.
Hin und wieder fuege ich dort auch mal einen Schwung zu, obwohl die Clients und die Editserver nicht wirklich gefaehrlich sind. Es geht hier mehr darum wenn einer in's Forum gelatscht kommt und sich aufregt das ein Backdoor Client von einem anderen AV Programm als "Backdoor" geflagt wird und das GAV nix sagt.
Bevor ich anfange dem zu erklaeren, dass es ein Client ist und dass Clients in etwa so gefaehrlich sind wie wenn ich ein Glas Wasser im Hauspool verschuette pflege ich das Ding halt fix ein - bums aus der Husten.

Aehnlich verhaelt es sich mit "start-by-hand" Batchdateien. Diese meisten dieser "Schaedlinge" koennen sich weder selber ausbreiten, noch stellen sie eine erhebliche Gefahr das Internet dar.
Wenn man den Sch.... erkennt dann ist das vorbildlich, wenn nicht dann ist das zwar unschoen, aber nicht unbedingt ein Genickschuss. Wie gesagt solche Dinge kann man einpflegen Wenn es die Zeit zulaesst.
Kaspersky flagt bsw. sogar bestimmte Batchdateien von Trojanern die nix anderes tun als ein File zu kopieren. Alles schoen und gut wenn es die Batchdatei zum kopieren flaggt - aber wirklich wichtig ist der eigentliche Backdoor Server. Wie gesagt darueber kann man diskutieren bis zum Umfallen.

GAV 4 hat beispielsweise eine eigens konzipierte "live-ITW-database" die (wenn es der User so einstellt) sogar waehrend eines systemscans ohne die Scanengine neu zu initalisieren zu muessen (und damit den aktuellen Scanvorgang unterbrechen zu muessen) voll automatisch geupdated wird sofern der User eine aktive Inet-Verbindung hat. Alle bereits gescannten Dateien werden dabei nochmal im Schnellscann nur mit den neuen Signaturen ueberprueft - hierbei wird ein 2. Scan Task hochgerissen (der User muss also wirklich nix unterbrechen) das ist in dieser Art und Weise wirklich einzigartig.
Dieses Feature wird insbesondere fuer Firmen, welche GAV mal eben ueber einen Fileserver rennen lassen interessant. Weil dort hat man 1. die Gewissheit *IMMER BEI JEDEM SCAN* mit dein aktuellen Pattern zu scannen - selbst dann wenn der Scan bereits gestartet wurde und genau in diesem Moment eine neue ITW-Signatur hinzukommt. Wie ihr seht mache ich mir also ernsthafte Gedanken was die Verbesserung und vor allem die Zuverlaessigkeit in Sachen Erkennung von GAV betrifft. Wie gesagt das ganze ITW-Zeugs wurde bisher etwas "auf die lange Bank" geschoben weil ich wie gesagt mit GAV vor knapp einem Jahr bei Null angefangen habe. Dort muss man sich sprichwoertlich erst mal eine gewisse "Basis" aufbauen, bevor man sich auf ITW Sachen konzentrieren kann (und moechte). Weil fuer mich stand von Anfang an fest lieber einen "Bomben-Scanner" entwickeln der auch in der Lage ist wirklich harte Faelle durchzukauen und dafuer etwas Kritik wegzustecken wenn nicht sofort alles ITW erkannt wird als einfach nur stur pattern einzupflegen - egal in welcher gepackten form nach dem Motto Hauptsache es wird 100% ITW geflagt.
Das ich jetzt natuerlich mit GAV 4 meine Asse in der Beziehung voll ausspielen kann sollte auch klar sein.
Eine Unpackengine nimmt einem hier viel Arbeit ab, so dass gewisse ITW Sachen nicht dauernd nachgebessert werden muessen nur weil sie mal von UPX nach ASPack umgepackt wurden. Sprich ich kann mich jetzt relativ gelassen und mit einem Laecheln auf den Lippen zuruecklehnen und in aller Ruhe das ITW-Zeugs nachholen einschliesslich Macro Viren Prozessor ohne Gefahr zu laufen das alles was ich Gestern eingepflegt habe schon wieder "veraltet" ist nur weil irgend ein "Arsch" die Wuermer einfach umgepackt hat und bei Kazza neu released
Ich bin hier relativ wendig und flott was das betrifft - sprich Mitte/Ende Sommer geht es auf VB rund.
Bis dahin steht die neue Engine (die wir in kuerze sprich diese Woche) anfangen Beta zu testen.
Es ist nicht mal uebertrieben wenn ich schreibe das GAV nahezu 50% aller Malware hier ohne Fehlalarm komplett ohne Virusdatabase nur mit Heuristik flagt. Win32 Viren sind hier eingeschlossen.
Und wenn ich von Heuristik spreche dann meine ich das auch so sprich man kann das dann auch mal ueber paar Zoo Viren laufen lassen B)

So Vampire, das wars erst mal von meiner Seite ich hoffe der Text war Dir nicht zu kurz weil ich muss jetzt erst mal eine generic detection fuer Beastdoor basteln der Typ geht mir mit seinen dauernden neuen Releases naemlich gewaltig auf die Nuesse. Mal sehen was Kasperksy die Schnauze voll hat und auch ne Generic macht

Michael

[Heike]

@Rokop,

ich stimme Dir voll und ganz zu.
Menschen, die sich mit einem Thema beschäftigt haben, sollten sich eigentlich immer konstruktiv unterhalten können. Sie kennen ja auch die jeweiligen Vor- und Nachteile und haben aus Ihrer persönlichen Sicht eine Entscheidung getroffen, die sie auch begründen können.
Eine abweichende Meinung kann ich auch gut akzeptieren, ich muß sie aber nicht für mich übernehmen.

@Lucky,
ich habe mich vielleicht etwas mißverständlich ausgedrückt, Deinen Beitrag, den Du editiert hast, habe ich noch gelesen. Falls Du Dich angegriffen gefühlt hast, es war nicht meine Absicht.

Ich kenne TightVNC gar nicht, davon habe ich also keine Ahnung und kann das Programm nicht beurteilen.
Ich bin aber mit Optix sehr zufrieden und sehe deshalb auch keine Veranlassung, zu wechseln. Eine Anwendung innerhalb eines LANs ist auch sehr sicher. Der betreffende, geöffnete Port auf dem Rechner meines Mannes ist für das WAN nicht erkennbar, nicht durch irgendwelche Schutzprogramme, sondern durch eine entsprechende Konfiguration des Routers.
Und warum beschäftigt man sich mit RATs? Warum sollte man es nicht tun? Aus Interesse einfach.

Leider muß ich jetzt erst mal weg, obwohl einige Dinge noch beantwortet werden, später dann halt.

[Lucky]

hehe ich weiss das du ihn gelesen hattest... Ich war etwas gestresst(war auf der arbeit) als ich das geschrieben hatte, und schreiben über eine dreiviertel std verteilt ist nicht einfach, deswegen hatte ichs nachher lieber wieder raus genommen, weil ich das nicht so ganz so gemeint hatte... Aber da warst du ja schon beim lesen. Ich hatte dich unten auf der Leiste gesehen...

Ich hoffe ich darf den Link hier schreiben:
http://www.tightvnc.com/

[Gast_Bo Derek_*]

Ich hoffe ich darf den Link hier schreiben:
http://www.tightvnc.com/

Warum nicht? Im dritten Beitrag dieses Threads habe ich den selben Link gepostet

[Lucky]

ups überlesen... Sorry.... *pfeifend davon geht*

[Rokop]

Hey Leute, ist die Luft jetzt raus oder haben wir das Thema zu Ende diskutiert?

[Gast_Bo Derek_*]

Ja, die Antworten wiederholen sich doch mittlerweile schon wieder

[Heike]

Ja, es ist so, jeder hat halt seine Meinung, wenn man sich gegenseitig akzeptiert, sollte/kann man auch eine abweichende Meinung des anderen akzeptieren, wenn der Anwendungsbereich im gesetzlich vorgegebenen Rahmen liegt.
Die Akzeptanz dessen, was darüber hinaus geht, ist sicher individuell verschieden. Aber, hier ist es eben wie beispielsweise bei der allgemein nicht unüblichen Steuerhinterziehung, für einen ist sie normal, für einen tolerierbar und für andere unakzeptabel.

Ich habe mich heute eine ganze Zeit mit Motorsport im Zusammenhang mit Umweltschuz beschäftigt und habe folgenden Satz gefunden:

Vorurteile beruhen auf Unkenntnis der Sache oder vorsätzlicher Pauschalität.

Dieser Satz paßt eigentlich auf alle Bereiche des Lebens.

Meine ganz persönliche Einschätzung der Gefährdung durch Trojaner hat sich als Mitglied des Ratboardes ganz entscheidend geändert:

Mir wurde früher vermittelt, dass eine große Gefahr besteht, der man mehr oder weniger hilflos, lediglich durch gewisse Programme geschützt, ausgeliefert ist. Und die Gefahr ist so groß, dass man da lieber gar nicht drüber redet.

Ich habe gelernt, mit diesen Gefahren/Programmen besser umzugehen.

Die Gefahr kann ich besser differenzieren, weil ich weiß, dass viele User, die diese Programme anwenden wollen, nicht mal in der Lage sind, die betreffende Anleitung zu lesen. Das ist der weitaus überwiegende Teil.
Und dann gibt es User, die gefährlicher sein könnten, als mir vermittelt wurde. Aber auch darauf kann man sich mit Wissen über die Möglichkeiten besser einstellen.

Im TB wird viel Wissen vermittelt, keiner wird es hier in Frage stellen. Aber es wird eben immer User geben, die mehr wissen wollen. Diese Informationen kann man nur woanders erhalten, auch das ist für mich eine Tatsache.

Ich fühle mich im Ratboard wohl, auch wenn es einige nicht verstehen/akzeptieren können.

@Rokop, bei Dir auch.

[Gast_Florian_*]

Möchte nur nochmal sagen:

Hat mir Spaß gemacht - war über weite Strecken ne nette Diskussion.
Werde in Zukunft öfter mal lesen hier

[Rokop]

Ja, auf jeden Fall wird bei uns immer über kontroverse Themen gesprochen werden können. Wenn man dabei einige Grundregeln beachtet, wie z.B. keine Beleidigungen, keine direkten Downloadlinks zu Malware etc. , seh ich auch überhaupt keine Probleme.

[JFK]

Möchte nur nochmal sagen:

Hat mir Spaß gemacht - war über weite Strecken ne nette Diskussion.
Werde in Zukunft öfter mal lesen hier

Das ist doch erfreulich, auch wenn nicht alle einer Meinung sind, das macht doch ein Forum erst interessant.

Ich fühle mich im Ratboard wohl, auch wenn es einige nicht verstehen/akzeptieren können.

Mit der Toleranz ist das so eine Sache.

@Rokop, bei Dir auch.

Das war auch dein Glück, sonst ...

JFK

[docprantl]

Im Ratboard gibt genug Mitglieder, die unumwunden zugeben wozu sie ihre "RAT`s" benutzen. Ist mir auch lieber so, als die Heuchelei und das Geschwafel von "technischen Interesse" oder gar "Fernwartung".

Was mich immer wieder verwundert und auch etwas irritiert, ist die Tatsache, daß die Scriptkids sich für "Hacker" halten, wenn sie ihr Opfer mittels Trojaner ausgespäht haben. Für mich haben Trojaner und Hacken genau gar nichts miteinander zu tun. Ich finde es äußerst primitiv und würde es sogar als uncool bezeichnen, sich mittels Trojaner bei jemandem "einzuhäcken". Daher würde mich mal interessieren, warum die Scriptenkids nicht irgendwelche echten Sicherheitslücken (freigegebene Festplatte, ungepatchter Webserver, Terminalserver mit paßwortlosem Gastzugang etc) ausnutzen?

docprantl

[docprantl]

... die als Sub7-Angriff gemeldet wurden, haben mich verrückt gemacht. So bin ich dann im TB gelandet. Dort habe ich dann viel gelernt.

Was, aus deiner Sicht, hast du dort gelernt?