Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> [GDATA] Permanent SYN Packete von IE & Firefox zu localhost:7005, Wiso weshalb warum
Neabit
Beitrag 28.09.2007, 16:21
Beitrag #1



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 28
Mitglied seit: 15.08.2006
Mitglieds-Nr.: 5.212

Betriebssystem:
WinXP
Virenscanner:
AVKIS 2007



Mir ist vor ein paar Tagen aufgefallen das sowohl Firefox als auch IE vom Start an SYN Packete an localhost:7005 schicken.

Angehängte Datei  Firefox_IE_SYN_LOCALHOST_7005.jpg ( 31.99KB ) Anzahl der Downloads: 14


Erst Vermutung war shit ich hab mir was eingefangen. Also den Rechner stundenlang mit Virenscannern von nicht veränderbaren Bootmedien malträtiert. Zu meiner Erleichterung bliebt das Scannen ohne Befund aber die Verbindungsversuche waren immer noch da.

Nächste Vermutung war das beide Programme eine DLL laden welche nicht so funktioniert wie sie es sollte. Also mal Prozessexplorer von www.sysinternals.com angeschmissen und die geladenen DLLs verglichen. Diese sieht man unter Eigenschaften der EXE und dann Threads.

Angehängte Datei  Firefox_IE_Threads.jpg ( 123.58KB ) Anzahl der Downloads: 14


Beim Firefox war avkwebfilterff.dll und beim IE war AVKWebIE.dll recht aktiv obwohl keine Seite im Aufgebaut war. Beides vom Namen her eindeutig meine AVKIS 2007 von GData zuzuordnen. Bei drücken auf den Knopf "Suspent" war auch auf einmal Ruhe auf Port 7005. Bei "Resume" ging es wieder los mit SYN-Packeten zu localhost:7005. Das Verhalten wunderte mich sehr ich hatte doch schon vor einer Weile den Webfilter von GDATA deaktiviert und ein prüfender Blick bestätigte das auch. Nach dem ich den Webfilter wieder anschaltete hatte sich der Browser mit localhost:7005 verbunden.

Angehängte Datei  Webfilter_AN.jpg ( 25.15KB ) Anzahl der Downloads: 5


Warum auch immer hat GDATA seine DLLs, über welche der Webfilter seine Daten bekommt, so konzipiert das Ständig versucht wird eine Verbindung aufzubauen auch wenn der Webfilter garnicht aktiv ist. Ob das gleiche auch auf die Webfilter der Nachfolgeprodukte wie TotalCare oder die 2008er Version so umgesetzt wurde weiß ich nicht. Würde mich aber freuen wenn jemand der die Produkte hat das ganze mal checken könnte.


[Ein paar subjektive Erfahrungen Eindrücke von mir]: Ich persönlich empfinde das als Pfusch und mache mir gedanken ob auch an anderen Stellen so lässig programmiert wird und wurde. Die Firewall von AVKIS ist seit einigen Monaten auch beim zocken nicht mehr zu gebrauchen, weil damit der Ping deutlich, von 100 ohne auf 200+ mit Firewall, nach oben geht. GData will oder kann dagegen aber nichts tun, denn es gibt keine Updates über die Softwareupdatefunktion und das schon seit Monaten. (Sofern es denn überhaupt mal eine gab) Des weiteren wird die BOOTCD auch nicht weiter Softwaretechnisch gepflegt obwohl auch hier z.B. das auswählen der Laufwerke die durchsucht werden sollen nicht funktioniert. Oder gerne mal nur die erste Festplatte gescannt wird auch wenn alle Laufwerke gewählt wurden. Mit andern Worten ich bin ziemlich enttäuscht von GData wenn man mal über die gute Scannleistung des Virenscanners hinausblickt.
Go to the top of the page
 
+Quote Post
scu
Beitrag 29.09.2007, 11:14
Beitrag #2



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.191
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G DATA



Mach ein kostenloses Upgrade auf Version 2008, dann kannst du die Hälfte deiner Beschwerden wieder streichen.

http://www.gdata.de/support/DE/upgradeservice/
Go to the top of the page
 
+Quote Post
markus17
Beitrag 29.09.2007, 12:12
Beitrag #3



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.051
Mitglied seit: 15.10.2006
Mitglieds-Nr.: 5.448

Betriebssystem:
Win7 Prof. x64
Virenscanner:
GDATA TP 20xx
Firewall:
GDATA TP 20xx



Mir ist aufgefallen, dass die Version von der GDATA Upgrade Seite um 10MB kleiner ist, als die aus dem Betatest-Ende Thread...
Go to the top of the page
 
+Quote Post
Neabit
Beitrag 29.09.2007, 17:12
Beitrag #4


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 28
Mitglied seit: 15.08.2006
Mitglieds-Nr.: 5.212

Betriebssystem:
WinXP
Virenscanner:
AVKIS 2007



ZITAT(scu @ 29.09.2007, 12:13) *
Mach ein kostenloses Upgrade auf Version 2008, dann kannst du die Hälfte deiner Beschwerden wieder streichen.

http://www.gdata.de/support/DE/upgradeservice/

Vielen Dank ich hab die 2008 Version installiert. Das Verhalten welches ich bemängelt habe ist weiterhin da. Selbst die AVKIS.exe (von GDIS 2008) weiß nicht das der Webfilter abgestellt wurde und versucht sinnlos eine Verbindung auf Port 7005 herzustellen. Die Passwortfunktion zum Programmschutz scheint dafür weggefallen zu sein oder ich finde sie einfach nicht mehr.

[Nachtrag]Es scheint ein allgemeines Phänomen zu sein das jede Webfilter.dll, egal ob für IE, Firefox oder die Verwaltungsoberfläche, versucht eine Verbindung aufzubauen.

ZITAT(markus17 @ 29.09.2007, 13:11) *
Mir ist aufgefallen, dass die Version von der GDATA Upgrade Seite um 10MB kleiner ist, als die aus dem Betatest-Ende Thread...

Vielleicht haben sie Debugroutinen und Debuginfos rausgeschmissen.

Der Beitrag wurde von Neabit bearbeitet: 29.09.2007, 17:24
Go to the top of the page
 
+Quote Post
scu
Beitrag 29.09.2007, 18:48
Beitrag #5



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.191
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G DATA



ZITAT(Neabit @ 29.09.2007, 18:11) *
Die Passwortfunktion zum Programmschutz scheint dafür weggefallen zu sein oder ich finde sie einfach nicht mehr.


Die Passwortfunktion gibt es in der Version 2008 nicht mehr. Dafür braucht man jetzt Adminrechte um die Settings zu ändern.
Go to the top of the page
 
+Quote Post
Neabit
Beitrag 30.09.2007, 10:31
Beitrag #6


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 28
Mitglied seit: 15.08.2006
Mitglieds-Nr.: 5.212

Betriebssystem:
WinXP
Virenscanner:
AVKIS 2007



ZITAT(scu @ 29.09.2007, 19:47) *
Die Passwortfunktion gibt es in der Version 2008 nicht mehr. Dafür braucht man jetzt Adminrechte um die Settings zu ändern.

Interessant hat GData auch irgendwo geschrieben aus welchem Grund die PW Eingabe weg ist? Mal angenommen ich Arbeite unter XP als Hauptbenutzer wie kann ich nur die Oberfläche oder was auch immer zum Setting ändern Adminrechte braucht mit eben diesen starten? (Abmelden ist keine Option) Nach dem Setting ändern will ich natürlich das GData wieder als Hauptbenutzer läuft.
Sieht für mich so aus als hätte man das ganze wegen UAV in Vista weggelassen und die XP User haben halt Pech gehabt super Einstellung. thumbdown.gif

Der Beitrag wurde von Neabit bearbeitet: 30.09.2007, 10:36
Go to the top of the page
 
+Quote Post
scu
Beitrag 30.09.2007, 23:43
Beitrag #7



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.191
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G DATA



Wenn du Admin bist, kannst du auch die Registry ändern. Wozu dann noch ein Passwort für die GUI?
Go to the top of the page
 
+Quote Post
Gast_Beobachter_*
Beitrag 01.10.2007, 07:40
Beitrag #8






Gäste






@ Neabit

Du meinst die UAC.

@scu

Darüber wurde im Beta- Thread schon diskutiert. Ich persönlich war auch eher dafür das nicht zu ändern. Selbst wenn man als Admin die Registry ändern kann, stellte der Passwortschutz eine
zusätzliche Hürde für den Angreifer da. Wäre auch möglich die entsprechenden WindowsApi's zu Hooken bzw. geänderte AVK-RegWerte über die RegAPi zu erkennen und bei Nichtautorisierung mittels Passwort sofort zurückzuschreiben. Für manche die, aus welchen Gründen auch immer, gezwungen sind als Admin zu arbeiten, sicherlich ein wenig beruhigender als die aktuelle Lösung.

mfG Beobachter

Der Beitrag wurde von Beobachter bearbeitet: 01.10.2007, 07:41
Go to the top of the page
 
+Quote Post
Sasser
Beitrag 01.10.2007, 13:02
Beitrag #9



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



unsure.gif Also das was man G-Data durchaus attestieren kann ist die Beständigkeit mit der Sie Ihre User zur Ratlosigkeit zwingen.
Habe heute Nacht bei einem frisch instaliertem IS2008 auf dem Laptop und paralell auf meinem Rechner auch IS2008, feststellen können,
das erstens ein neues Update vom Webfilter und auch Phishingfilter vorhanden war. Nur dieses auch runterladen zu können
war ohne das ich meine Einstellungen verändert hätte, nicht möglich.
Update Fehler - kein Server. Aber das reguläre Update, das funktionierte durchgehend.
Hätte man nicht mit der Herausgabe des Updates warten können bis der Update funktioniert ?

Aber was solls, ich betrachte mein G-Data allmählich wie eine Frau, ohne Sie geht es nicht, aber Sie zu verstehen, den
Anspruch sollte man auch nicht haben. lmfao.gif

Der Beitrag wurde von Sasser bearbeitet: 01.10.2007, 13:02


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
Shodo
Beitrag 01.10.2007, 17:43
Beitrag #10



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 209
Mitglied seit: 10.01.2007
Mitglieds-Nr.: 5.715

Betriebssystem:
Windows 7
Virenscanner:
G Data TotalCare 2011
Firewall:
G Data TotalCare 2011



ZITAT(Sasser @ 01.10.2007, 14:01) *
unsure.gif Also das was man G-Data durchaus attestieren kann ist die Beständigkeit mit der Sie Ihre User zur Ratlosigkeit zwingen.
Habe heute Nacht bei einem frisch instaliertem IS2008 auf dem Laptop und paralell auf meinem Rechner auch IS2008, feststellen können,
das erstens ein neues Update vom Webfilter und auch Phishingfilter vorhanden war. Nur dieses auch runterladen zu können
war ohne das ich meine Einstellungen verändert hätte, nicht möglich.
Update Fehler - kein Server. Aber das reguläre Update, das funktionierte durchgehend.
Hätte man nicht mit der Herausgabe des Updates warten können bis der Update funktioniert ?

Aber was solls, ich betrachte mein G-Data allmählich wie eine Frau, ohne Sie geht es nicht, aber Sie zu verstehen, den
Anspruch sollte man auch nicht haben. lmfao.gif



war bei mir heute auch so. Generell funktioniert das Webfilter-Update (Phishing-Filter-Update)... nur gestern abend/heute morgen gings wohl nicht.

Mittlerweile gehts wieder... also wohl eher Serverseitige Probleme, Jungs smile.gif


--------------------
Wer im Leben kämpft, wird öfters mal verlieren.

Wer nicht kämpft, hat schon längst verloren.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 10.05.2024, 19:42
Impressum