Powered Keylogger 1.4, is not detected by ....... Einstellungen

[Domino]

Kann man so nicht sagen, vielleicht ist ja nur der PC-User, dem man helfen möchte, dazu nicht in der Lage? Genau deshalb könnte er ja die Hilfe brauchen, oder?
[right][snapback]139118[/snapback][/right]

Kann ich sehr wohl so sagen.
Derjenige welche (wer auch immer) der dieses Programm kennt und installiert sollte eben auch ein AV-Programm konfigurieren können. Wenn er das schon nicht kann und nur temporär Hilfe benötigt kann man den Scanner ja auch abschalten (lassen).

Ich habe schon so einigen bei PC Problemen geholfen....einen keylogger habe ich dabei noch nicht gebraucht........


Domino

[v00d00]

Wer es nutzen möchte wird in der Lage sein sein AV-Programm entsprechend zu konfigurieren.

Dafür würde ich meine Hand nicht ins Feuer legen.
Was aber wenn der Käufer es heimlich auf seinen Zweitrechner den sein Buchhalter oder seine Lebenspartnerin oder seine Schwiegermutter oder seine Kinder, mit Admin-Rechte benutzen, installiert
Scheinbar gibt es für solche Produkte auch eine Nachfrage ansonsten würde sich auch diese Diskussion erübrigen

MfG
v00d00

Der Beitrag wurde von v00d00 bearbeitet: 23.03.2006, 15:24

[Heike]

@Domino
Du vergißt einen Aspekt, man hat nicht zwangsläufig immer realen Zugang zu einem PC, deshalb nutzt man ja teilweise RATs.

Ich habe schon so einigen bei PC Problemen geholfen....einen keylogger habe ich dabei noch nicht gebraucht........

da würde ich Dir grundsätzlich zustimmen.

Obwohl, wenn ich manchmal meinen Mann bei Problemen frage, was er denn gemacht hat, dann hat er es oft vergessen. Da wäre ein entsprechend komplettes Log vielleicht mal hilfreich, um gewisse Dinge nachvollziehen zu können.

[Manu]

deshalb nutzt man ja teilweise RATs.  [right][snapback]139124[/snapback][/right]

rdesktop, VNC?

[Heike]

Zur Zeit läuft Assasin und VNC gleichzeitig, eine ideale Ergänzung.

[Gast_2cool_*]

Powered Keylogger 1.4 is not detected by:
[...]
Antivirus software
[...]
Kaspersky Antivirus Program
[...]

Hmmmm, kann man so aber nicht gelten lassen:



Ich bezweifele nicht, dass der Keylogger sich vor KAV verstecken kann, wenn ich ihn installieren würde. Aber sehr wahrscheinlich müsste ich den OnAccess-Scanner von KAV vor der Installation deaktivieren.


Angenommen jemand anderes würde ihn heimlich installieren, könnte ich den Keylogger immer noch beim Scan von einer Boot-CD oder einem anderen System finden. Imho ein billiger Werbegag, denn verstecken kann man so gut wie jedes Programm. Ich weiss nicht, was ausgerechnet diesen Keylogger so besonders machen soll, abgesehen davon, dass er mit einem Rootkit daherkommt.

[Gast_Faith_*]

Nod32 erkennt es auch nicht.

[Kyu]

BD9Pro reagiert ebenfalls nicht darauf.

sieht aus als ob es ganz einfach in die rootkit-problematik geht und dieses programm wird dabei im laufenden betrieb nicht erkannt. jetzt kann man entweder selbst per try & error mit jedem programm checken ob & was angezeigt wird, warten bis die antiviren-hersteller von sich aus reagieren oder sie auf dieses spzielle programm & sein rootkit aufmerksam machen.
doch da es keine verbreitungsroutine zu haben scheint, lokal installiert werden muß und anscheinend auch keine fernabfrage möglich zu sein scheint, wird es wahrscheinlich auf der prioritätsliste sehr weit unten landen.
das is halt das dumme mit so zeug, es ist schon sehr speziell und man hat die typische initiativstrafe: wers will/weg haben will soll sich darum kümmern!problem. das die hersteller es als rootkit tarnen bed
...aber egal wie es weitergeht, ohne anfangsverdacht ist da null komma garnix zu machen.
[right][snapback]139080[/snapback][/right]

hab heut nochmal über die sache nachgedacht...

meiner meinung nach sind antivirenprogs dazu da den anwender ganz generell dabei zu unterstützen seinen rechner sauber zu halten... und wenn da igendwas ist das sich auf so ne art versteckt sollte das antivirenprogramm den benutzer zumindest darauf hinweisen das es da ist. ob man nun generell sehr liberal ist oder nur wert legt auf den strikt legalen, sinnvollen anspruch von keyloggern... es gibt keinen grund wieso das laufende überwachungsprogramm einem nicht zumindest beim on-demand-scan auf die existenz hinweisen sollte.
wenn es ganz legitim drauf ist ok, wenn nicht weiss man bescheid.

bei so speziellen geschichten ist eben wie gesagt die ständige anpassung das problem. es weisst daauf hin, dass die zielgruppe eutet das ihre zielgruppe ein interesse daran hat die sicherheit auszuhebeln - legitim kann das nicht mehr wirklich sein.
die einzige möglichkeit wie man da als hersteller der (in meinen augen eben dazugehörende) aufgabe gerecht wird und dem kunden zumindest einen hinweis gibt, sind integrierte funktionen die ne grundsätzliche erkennung ermöglcht.

sowas nennt sich dann wohl heuristik.. und nun meine quizfrage: warum schaffen es die gängigen antivirenhersteller nicht so ne funktion wie den rootkit revealer von sysinternals einzubauen (damit wird das ding zB erkannt)? ich meine ich sehe nicht das es in der richtung fortschritte gibt. werden in den av-programmen die ansätze die in den drei rootkit-artikeln bei heise beschrieben wurden irgendwo umgesetzt? arbeiten die an sowas? ich sehe bisher nur das man der lösung mit signaturen begegnet... entgeht mir da was?

[Gast_Faith_*]

ich wert es mal mit Panda ausprobieren, mal schauen was dabei rauskommt.

[Gast_rock_*]

mc afee macht auch keinen mux, wenns mach virus total geht, würden ihn gerade 2 bemängeln...


AntiVir 6.34.0.14 03.23.2006 no virus found
Avast 4.6.695.0 03.23.2006 no virus found
AVG 386 03.23.2006 no virus found
Avira 6.34.0.54 03.23.2006 no virus found
BitDefender 7.2 03.23.2006 no virus found
CAT-QuickHeal 8.00 03.23.2006 no virus found
ClamAV devel-20060126 03.23.2006 no virus found
DrWeb 4.33 03.23.2006 no virus found
eTrust-InoculateIT 23.71.109 03.23.2006 no virus found
eTrust-Vet 12.4.2131 03.23.2006 no virus found
Ewido 3.5 03.23.2006 no virus found
Fortinet 2.71.0.0 03.23.2006 Keylog/PowerLogger
F-Prot 3.16c 03.23.2006 no virus found
Ikarus 0.2.59.0 03.23.2006 no virus found
Kaspersky 4.0.2.24 03.23.2006 not-a-virus:Monitor.Win32.PowerLogger.15
McAfee 4725 03.23.2006 no virus found
NOD32v2 1.1456 03.23.2006 no virus found
Norman 5.70.10 03.23.2006 no virus found
Panda 9.0.0.4 03.23.2006 no virus found
Sophos 4.03.0 03.23.2006 no virus found
Symantec 8.0 03.23.2006 no virus found
TheHacker 5.9.7.118 03.23.2006 no virus found
UNA 1.83 03.23.2006 no virus found
VBA32 3.10.5 03.23.2006 no virus found

Der Beitrag wurde von rock bearbeitet: 23.03.2006, 22:24

[Gast_Faith_*]

Panda erkennt es auch nicht

[Kyu]

die installations-exe erkennen is ja schön und gut, bringt aber nix. man braucht eh lokalen zugriff auf den rechner, da ist das kurzzeitige deaktivieren des on-access scanners sicher auch kein act.
der witz an der sache ist das die av-programme es auch erkennen sollten wenn das ding läuft.

[Gast_2cool_*]

die installations-exe erkennen is ja schön und gut, bringt aber nix. man braucht eh lokalen zugriff auf den rechner, da ist das kurzzeitige deaktivieren des on-access scanners sicher auch kein act.
der witz an der sache ist das die av-programme es auch erkennen sollten wenn das ding läuft.
[right][snapback]139183[/snapback][/right]

Wie sollen die etwas erkennen, das nicht da ist? Wenn das Ding erstmal installiert ist, bekommst du das nicht mehr zu sehen, Dein Scanner auch nicht.

Für mich ist der Punkt entscheidend, dass KAV das Teil in den Signaturen hat. Es gab hier nämlich auch mal einen Thread zu einem RAT, das von einem AV ausgeklammert wurde, weil angeblich "gute Software".




btw 1: Die Installations-Exe ist doch nur gepackt. Bei der Installation wird sie entpackt, also würde der Scanner anschlagen.

btw 2: Funktionen, ähnlich denen von RootkitRevealer, in einen Scanner einzubauen bringt auch nicht viel, weil die meisten User mit dem Ergebnissen nicht viel anfangen können. Stealth-Funktionen müssen nicht zwangsweise auf ein "böses" Rootkit hindeuten, siehe: Using Rootkits to Defeat Digital Rights Management

Selbst Mark Russinovich sagt, dass ohne Boot-CD (o.ä.) nichts garantiert werden kann:

Is there a sure-fire way to know of a rootkit's presence?
In general, not from within a running system. A kernel-mode rootkit can control any aspect of a system's behavior so information returned by any API, including the raw reads of Registry hive and file system data performed by RootkitRevealer, can be compromised. While comparing an on-line scan of a system and an off-line scan from a secure environment such as a boot into an CD-based operating system installation is more reliable, rootkits can target such tools to evade detection by even them.

Quelle: sysinternals.com


Der Beitrag wurde von 2cool bearbeitet: 23.03.2006, 23:13

[albatros]

Da muß ich *rock* schon recht geben:

Bitdefender 8 - erkennt nichts!
Bitdefender 9 - erkennt nichts!
Nod32 (zur Überraschung) - erkennt nichts!
Kaspersky 5 - Keylogger erkannt und (rückstandslos) gelöscht!
Steganos AV7 (da Kaspersky-Engine) - erkannt und (rückstandslos) gelöscht!

Da wollen wir mal hoffen, dass DATASEC (ESET) morgen das passende Update bereitstellt...
Kaspersky natürlich Spitzenreiter - Gratulation!
Und bei Softwin kann ich - leider - nix sagen...

Der Beitrag wurde von albatros bearbeitet: 24.03.2006, 00:03

[Gast_Faith_*]

AVK erkennt es auch nicht, obwohl es die Engine und Signaturen von Kaspersky nutzt.

Der Beitrag wurde von Faith bearbeitet: 24.03.2006, 00:09

[Manu]

AVK erkennt es auch nicht, obwohl es die Engine und Signaturen von Kaspersky nutzt.[right][snapback]139194[/snapback][/right]

Seht mir meine Unwissenheit nach, aber wie war das noch gleich mit AVK und den erweiterten Datenbanken? Hatten wir'nicht schon desöfteren darüber diskutiert, was nun verwendet wird und sind dann zu dem Schluss gekommen, dass AVK die erweiterten Datenbanken nicht benutzt?
Ich weiß es nicht mehr, aber zumindest würde das aufgeschriebene Halbwissen den Sachverhalt erklären, oder?

[Gast_rock_*]

nochmal zu den keyloggern selbst...ich glaub die werden einfach kaum bemängelt, weil das dinge sind die man sich selbst installiert, bzw. wer installiert der wissen will was du am pc machst...also jemand der zugriff zum pc hat, oder dem er eigentlich gehört...anyhow...

und da braucht ein scanner nicht den moralapostel spielen, sondern sollte keyloggers erkennen die illegal auf den pc gelangen, wie durch trojaner oder anderen unregulären wegen...wo völlig aussenstehende daten auslesen könnten...

und das programm um das es sich handelt ist ja zu kaufen und keine malware!

rock

[Kyu]

hmm wo soll ich nu anfangen...

Wie sollen die etwas erkennen, das nicht da ist? Wenn das Ding erstmal installiert ist, bekommst du das nicht mehr zu sehen, Dein Scanner auch nicht.

das sysinternals-tool (oder besser deren lösungsansatz) erkennt das zeug ja auch ohne signatur im laufenden betrieb

btw 2: Funktionen, ähnlich denen von RootkitRevealer, in einen Scanner einzubauen bringt auch nicht viel, weil die meisten User mit dem Ergebnissen nicht viel anfangen können. Stealth-Funktionen müssen nicht zwangsweise auf ein "böses" Rootkit hindeuten

da ist absolut richtig, da könnte man aber ganz einfach mit einer beschreibung nachhelfen a la "es gibt x funde. klicken sie auf die ente hinter jedem markierten fund um erklärungen abzurufen".
wenn die funktion auch noch im expertenmodus drin steckt nach dem motto: "willst du sorglos leben brauchst du die funktion nicht nutzen, aber wenn du mal richtig nachgucken willst biete ich dir das und beschreibungen als hilfestellung."

Selbst Mark Russinovich sagt, dass ohne Boot-CD (o.ä.) nichts garantiert werden kann

auch die aussage ist richtig. doof nur, dass es umständlich ist und nur hilft wenn man entweder einen starken anfangsverdacht hat oder es periodisch eingeplante ist.
letzteres machen nur unternehmen. ersteres bezieht sich eher auf normale anwender und ist der punkt den ich gern verbessert gesehen hätte. wie oben schon angesprochen, sehe ich die beste möglichkeit ihnen unter die arme zu greifen wenn das ganze integraler bestandteil von AV programmen wäre.

Kaspersky 5 - Keylogger erkannt und (rückstandslos) gelöscht!

das spricht für kaspersky, da jedoch die macher des tools damit werben die ganze zeit auf draht zu sein und ihr zeug schnell updaten, bedeutet es aber nur das es heute/morgen/diese woche/diesen monat erkannt wird.
da es durch die art des programms (wahrscheinlich) nicht massenhaft betroffene gibt und die AV-hersteller auch nur begrenzte kapazitäten haben, erscheint mir die implementierung einer revealer-variante mit erklärungsoption ins AV-prog viel sinnvoller. wenn BitDefender der sache mit signaturen hinterher jagt seh ich zB nicht das sie irgendwann zu kaspersky aufschliessen werden.

und das programm um das es sich handelt ist ja zu kaufen und keine malware!

wenn es peter lustig kauft und ohne dein wissen bei dir installiert ist es für dich malware. das es auf die art getarnt ist bedeutet das es vor dem user auf jeden fall verborgen sein soll. einen deutlicheren hinweis darauf das es nicht im interesse des users sein kann gibt es nicht.

...mir ist schon klar, dass das wie immer nur eine frage von reccourcen und dem kosten/nutzen faktor ist und vielleicht arbeiten die AV-firmen ja tatsächlich mit nachdruck an sowas... aber eben das seh ich nicht. zufälligerweise weiss ich das av-hersteller hier auch ab und zu reingucken. vielleicht erbarmt sich ja jmd und kann dahingehend klarheit oder hoffnung bringen =)

[Domino]

nochmal zu den keyloggern selbst...ich glaub die werden einfach kaum bemängelt, weil das dinge sind die man sich selbst installiert, bzw. wer installiert der wissen will was du am pc machst...also jemand der zugriff zum pc hat, oder dem er eigentlich gehört...anyhow...
[right][snapback]139226[/snapback][/right]

Ein Bagle wird auch erkannt wenn ich ihn selber installiere/starte. Nach deiner Logik sollte ein Virenscanner Dateien nur prüfen aber die Installation zulassen ?


Domino

[Heike]

nochmal zu den keyloggern selbst...ich glaub die werden einfach kaum bemängelt, weil das dinge sind die man sich selbst installiert, bzw. wer installiert der wissen will was du am pc machst...[right][snapback]139226[/snapback][/right]

Genau, und wenn er ein gekauftes Programm verwendet, hat er "gute" Absichten, wenn er Freeware verwendet, hat er "böse" Absichten.

Falls man unsicher ist, was für Absichten hinter einem Keylogger stecken, einfach mal bei Jotti die *.exe prüfen lassen und dem Urteil vertrauen, denn die AV-Leute werden sich nicht irren, die kennen sich ja schließlich aus.

Wie stellst Du Dir denn die Installation vor? Auch der "gute" Keylogger kann vollkommen unbemerkt installiert werden, schließlich will man den PC-Eigentümer ja weder stören noch verunsichern.