Flux, die neue Bedrohung? Einstellungen

[Internetfan1971]

Was ist denn hiervon zu halten

Laut a2 Newsletter

Flux Verbreitung nimmt zu
Flux ist der Name einer neuen Seuche, die derzeit im Untergrund des Internets grassiert und zunehmend beängstigende Ausmaße annimmt. Bei Flux handelt es sich um einen Backdoor-Trojaner, der derzeit vielen Herstellern von Malware Schutzsystemen Kopfschmerzen bereitet.
Der Schädling gehört zur Gattung der sogenannten "Reverse Backdoors". Reverse bezieht sich dabei auf die Verbindungslogik. Im Normalfall öffnet der schädliche Teil eines Backdoors (der sogenannte Server) auf dem System eines Opfers einen Port und wartet dort auf eine Verbindung von außerhalb durch ein Kontrollprogramm (dem sogenannten Clienten). Dieses herkömmliche Verfahren hat aber eine gravierende Schwäche:
Sollte sich das Opfer (auch Victim oder kurz Vic genannt) innerhalb eines Netzwerks oder "hinter" einem Router bzw. einer Hardware Firewall befinden, kann der Client keinerlei Verbindung zum Server aufbauen und die Übernahme des PCs schlägt fehl.
Aus diesem Grunde gehen mehr und mehr Backdoortrojaner dazu über, selbst eine Verbindung aufzubauen auf einen Port, der zuvor vom Kontrollprogramm geöffnet wurde. Da ausgehender Traffic vom eigenen PC aus innerhalb von Hardware Firewalls und Routern meist erlaubt ist, kann der Backdoor trotz dieser Schutzmechanismen Kontakt zum Kontrollprogramm aufnehmen.
Das perfide und hinterhältige an Flux ist allerdings weniger die Tatsache, dass er diese umgekehrte Verbindungslogik nutzt, sondern die Art wie sie implementiert wurde. Flux benutzt eine für Trojaner neue Technik des Code Injectings. Unter Code Injecting versteht man im Grunde genommen das Injizieren von fremden Code in einen Prozess. Bisherige Code Injecting Techniken basierten darauf, dass ein neues Modul (eine sogenannte DLL) in den Zielprozess eingeschleust wurde. Diese Methode (auch DLL Injecting genannt) war einfach zu erkennen, da alle geladenen Module einfach ermittelt und überprüft werden können. Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt dafür, dass dieser ausgeführt wird. Neben der Tatsache, dass viele Desktop Firewalls in diesem Falle annehmen, dass ein legitmer Prozess wie z.B. der Internet Explorer aufs Internet zugreifen möchte und den Zugriff folglich erlauben, ist das Hauptproblem, dass der schäd liche Flux Code mit keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den meisten Malware Schutzsystemen schlichtweg übersehen wird. Dies macht ein sauberes und dauerhaftes Entfernen von Flux nahezu unmöglich.
Da wir bereits vor geraumer Zeit Trojaner mit dieser Infektionstechnik gerechnet haben, haben wir bereits Gegenmaßnahmen in Form eines erweiterten Prozessspeicherscans für a² Version 2.0 entwickelt. Da die Verbreitung von Flux aber massiv zunimmt, haben wir uns dazu entschlossen, den erweiterten Prozessspeicherscan bereits in Version 1.5 freizuschalten.
Dies bedeutet für Sie, dass a² als eines der ersten Schutzprogramme derweil in der Lage ist, effektiv vor Flux zu schützen und einen aktiven Flux zu deaktivieren. Zudem haben wir ein spezielles Erkennungsprogramm entwickelt, dass wir allen Nutzern anderer Anti-Malware Software als a² kostenfrei für einen schnellen Test auf eine Flux Infektion zur Verfügung stellen. Das Programm erkennt und deaktiviert Flux in infizierten Prozessen und ermöglicht so in Verbindung mit einem aktuellen Anti-Malware Programm, wie z.B. a², eine komplette Entfernung von Flux.

Flux die neue Bedrohung und nur a2 ist der Retter?

[Voyager]

Flux die neue Bedrohung und nur a2 ist der Retter?

reine marketingstategie und werbung was auf das angstgefühl des internetnutzers abziehlt....ich hatte selbst mal a² getestet und war nicht sonderlich beeindruckt davon.

[Gast_rock_*]

hab's hier heut auch schon "überflogen"...
http://www.network-secure.de/index.php?opt...d=2522&Itemid=1

[Voyager]

@rock
diese news bestätigt mein verdacht....

[Heike]

Flux ist keine neue Bedrohung, Flux ist schon eine ganze Zeit bei evileyesoftware.com zu erhalten. Flux ist aber in gewissen Dingen sehr innovativ.

Den Newsletter habe ich auch erhalten, er ist nicht innovativ, er ist billige Angstmache und reischerische Werbung für ein Produkt, was es in der Zukunft vielleicht mal geben wird.

Zudem haben wir ein spezielles Erkennungsprogramm entwickelt, dass wir allen Nutzern anderer Anti-Malware Software als a² kostenfrei für einen schnellen Test auf eine Flux Infektion zur Verfügung stellen. Das Programm erkennt und deaktiviert Flux in infizierten Prozessen und ermöglicht so in Verbindung mit einem aktuellen Anti-Malware Programm, wie z.B. a², eine komplette Entfernung von Flux.

Entfernt a² nun einen Flux-Server oder nicht?
In Zusammenarbeit mit beispielsweise AntiVir?

Vielleicht könnte jemand mal einen Downloadlink posten, dann teste ich es mal. Also, den Link zum Entfernungs-Tool, den anderen brauche ich nicht.

[Heike]

Danke für den Download-Link per PN.

Der Flux-Server wird mal kurzzeitig beendet, dann könnte mich wieder jemand bei eventuellen PC-Problemen unterstützen.

Na, nur weil man den Prozess eines Servers mal kurz unterbrechen kann, so einen Newsletter rauszubringen ist doch etwas unverhältnismäßig, um es mal dezent zu sagen.

[JoJo]

Jede Datei die a² aufgrund fehlender Signaturen nicht erkennt, ist eine größere Bedrohung als Flux.

[Remover]

Der Newsletter war reine Panikmache.
Da lobe ich mir doch Ewido....die haben so etwas nicht noetig!

[Internetfan1971]

Hallo,

erst mal danke! Jetzt bin ich schon berühigter.

Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt dafür, dass dieser ausgeführt wird. Neben der Tatsache, dass viele Desktop Firewalls in diesem Falle annehmen, dass ein legitmer Prozess wie z.B. der Internet Explorer aufs Internet zugreifen möchte und den Zugriff folglich erlauben, ist das Hauptproblem, dass der schäd liche Flux Code mit keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den meisten Malware Schutzsystemen schlichtweg übersehen wird. Dies macht ein sauberes und dauerhaftes Entfernen von Flux nahezu unmöglich.

Wenn das so stimmt ist das aber doch in der tat neu. So könnte doch der Mem-Scanner unterlaufen werden denke ich doch mal.

[Remover]

Ist das nicht auch ein alter hut......ist das ganze nicht vergleich mit dem Wurm Korgo?
Der macht doch auch eine Prozessinjektion im Speicher oder verwechsel ich da jetzt etwas?

[forge77]

Ist das nicht auch ein alter hut......ist das ganze nicht vergleich mit dem Wurm Korgo?
Der macht doch auch eine Prozessinjektion im Speicher oder verwechsel ich da jetzt etwas?

Ja, schon, aber bei Flux handelt es sich um einen (nicht-replizierenden) Trojaner, die bekanntermaßen gerne gezielt so "verpackt" werden, dass einfache File-Scanner sie nicht erkennen können. Deshalb beinhalten die "großen" Trojanerscanner ja auch durchweg einen Memory-Scanner, um diese Problematik zu entschärfen (im Gegensatz zu Virenscannern).

Leider funktionieren die meisten "herkömmlichen" Memory-Scanner offenbar im Falle von Flux nicht, da er sich direkt in einen anderen Prozess injiziert... von daher mag die o.g. Meldung zwar Panikmache sein - ein (nicht so kleines) Körnchen Wahrheit ist aber dran.

BTW: der in dem oben verlinkten "Network-secure"-Artikel auftauchende Hinweis auf Firewalls ist in diesem Fall wenig hilfreich, da wohl die allermeisten Firewalls von Flux einfach umgangen werden... er benutzt ja eine Copycat-ähnliche Technik, gegen die kaum eine Firewall etwas ausrichten kann:
http://www.firewallleaktester.com/tests.htm

[Internetfan1971]

Halo forge77

da er sich direkt in einen anderen Prozess injiziert...

Wieso ist das nicht eher der übliche Weg

Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt dafür, dass dieser ausgeführt wird.. (...) dass der schäd liche Flux Code mit keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den meisten Malware Schutzsystemen schlichtweg übersehen wird.

Ist das nicht das Neue und Gefährliche?

[forge77]

@Internetfan1971
Mit

da er sich direkt in einen anderen Prozess injiziert...

meinte ich genau das hier:

Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses

Andere ("herkömmliche") Möglichkeiten sind:
- Trojaner erstellt einen eigenen Prozess
- Trojaner injiziert eine dll-Datei in einen anderen Prozess

Flux injiziert seinen Code dagegen ohne dll.
Steht eigentlich auch alles in dem von dir zu Beginn zitierten Text.

[Gast_Andreas Haak_*]

Hallo,

erst mal danke! Jetzt bin ich schon berühigter.

Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt dafür, dass dieser ausgeführt wird. Neben der Tatsache, dass viele Desktop Firewalls in diesem Falle annehmen, dass ein legitmer Prozess wie z.B. der Internet Explorer aufs Internet zugreifen möchte und den Zugriff folglich erlauben, ist das Hauptproblem, dass der schäd liche Flux Code mit keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den meisten Malware Schutzsystemen schlichtweg übersehen wird. Dies macht ein sauberes und dauerhaftes Entfernen von Flux nahezu unmöglich.

Wenn das so stimmt ist das aber doch in der tat neu. So könnte doch der Mem-Scanner unterlaufen werden denke ich doch mal.

Nicht nur könnte - WIRD. Genau das ist das Problem. Sicher erkennen viele Virenscanner Flux in seinen ursprünglichen Formen, aber das ist nicht der Punkt.

Der Punkt ist, daß sobald Flux einmal aktiv ist, er nur schwer wieder zu entfernen ist. Heike erwähnte bereits eine nette Spielerei - die Persistant Server Option. Das bedeutet, daß sobald versucht wird der Server zu entfernen, dieser sich selbst "repariert". Einfachstes Beispiel:

Sobald der Loader gelöscht wird, wird er von einem der aktiven Flux Threads sofort wieder neu auf die Platte geschrieben.

Ein Cleanen ist entsprechend schwierig (daher auch das kleine Tool das Flux erstmal aus dem Speicher wirft, damit man es dann mit ewido, KAV, NOD32 oder was auch immer cleanen kann).

Entsprechend hier mal ein kleiner Test:

http://boardadmin.bo.funpic.de/viewtopic.php?t=43

Die Tatsache, daß KAV ne nette Schwäche für Rebasing hat und die anderen Scanner mit gepackten/gecrypteten Servern nicht wirklich viel anfangen können, erleichtert das "Unerkanntmachen" des eigentlichen Loaders noch ungemein, so daß eine Flux Infektion mitunter längere Zeit unentdeckt bleibt.

[Gast_Andreas Haak_*]

Jede Datei die a² aufgrund fehlender Signaturen nicht erkennt, ist eine größere Bedrohung als Flux.

Korrekt. Allerdings ist eine fehlende Signatur ein geringeres Problem für ein Programm als eine prinzipielle Unfähigkeit einen Schädling per se zu erkennen, da die verwendete Technik an ihre Grenzen stößt - was bei den meisten Speicherscans und der meisten Engines, die unfähig sind Flux im Speicher zu erkennen, ja leider der Fall ist, da sich Flux in Bereichen aufhält, die gar nicht erst gescannt werden.

Der Beitrag wurde von Andreas Haak bearbeitet: 08.11.2004, 10:56

[Heike]

Anti-Virus Programme, erforderlich, hilfreich oder überflüssig

Die Frage stellt sich eben immer wieder.

[Remover]

@Andreas Haak

Wie sieht es dann im abgesicherten Modus aus?
Da sollte Flux dann doch schnell geschichte sein, oder!?

[Gast_Andreas Haak_*]

@Andreas Haak

Wie sieht es dann im abgesicherten Modus aus?
Da sollte Flux dann doch schnell geschichte sein, oder!?

WENN man denn drauf kommt, daß man infiziert ist (da Virenscanner leicht zu umgehen sind und der Speicherscan von den meisten Anti-Trojaner Programmen mit Ausnahme von ewido plus und a² nutzlos ist), kannst Du den Befall sicher auch einfach im abgesicherten Modus bereinigen. Das Problem ist nur eben wie gesagt, daß sobald man KAV erstmal "besiegt" hat via Rebasing oder EPOz.B. man den Loader nur noch hübsch verpacken muss und AV Programme haben keinen Stich mehr. Wie willst Du eine Infektion denn bemerken, wenn Deine Firewall nicht piepst (siehe CopyCat Leaktest), dein AV Scanner nichts merkt, weil der Loader modifiziert ist und dein TrojanHunter ins Leere läuft, weil die Speicherbereiche in denen sich Flux aufhält, von TH und Co. gar nicht erst gescannt werden.

Brauchst nur mal JoJo, forge etc. fragen wie lange es selbst fürn Laien dauert nen Server für ein Gro der AV/AT Programme in Dateiform undeteted zu machen. Ich tipp da auf 2 - 5 Minuten .

Der Beitrag wurde von Andreas Haak bearbeitet: 08.11.2004, 09:01

[Gast_Scrapie_*]

Ich tipp da auf 2 - 5 Minuten

Naja, wenn ich ne saubere und individuelle Lösung bau, dann schwankt der Zeitbedarf je nach Server und DLLs inside zwischen 2 Tagen (Assasin) und 10 Minuten (Binder).
Soooo einfach ist es dann auch wieder nicht, zumindest wenn man sich nicht (nur) auf diverse Tools verläßt, welche früher oder später bekannt werden.
Da dieser Zeitaufwand (und das Wissen, welches nötig ist) den Kids meist zu viel Stress ist, stell ich jetzt einfach mal in den Raum, das 99% der Server vom Stapel sind oder mit Spielzeug wie dem Gürteltier umwickelt wurden....

Scrapie

[Gast_Andreas Haak_*]

Ich tipp da auf 2 - 5 Minuten

Naja, wenn ich ne saubere und individuelle Lösung bau, dann schwankt der Zeitbedarf je nach Server und DLLs inside zwischen 2 Tagen (Assasin) und 10 Minuten (Binder).
Soooo einfach ist es dann auch wieder nicht, zumindest wenn man sich nicht (nur) auf diverse Tools verläßt, welche früher oder später bekannt werden.
Da dieser Zeitaufwand (und das Wissen, welches nötig ist) den Kids meist zu viel Stress ist, stell ich jetzt einfach mal in den Raum, das 99% der Server vom Stapel sind oder mit Spielzeug wie dem Gürteltier umwickelt wurden....

Scrapie

Flux hat keine DLL inside - daher ist "undetecten" ziemlich einfach.

Rebase (gegen Tools mit Codesigs), Mew gegen die Sachen ohne Unpacking und feddich .