Flux, die neue Bedrohung? Einstellungen

[Gast_vampire_*]

Ich tipp da auf 2 - 5 Minuten

...oder mit Spielzeug wie dem Gürteltier umwickelt wurden....

Scrapie

so schlecht ist das gürteltier gar nicht !
selbst kaspersky muss sich wirklich mühe geben um damit behandelte server zu erkennen. ok...langsam holen sie auf, aber noch ist armadillo nicht ausgereizt. es gibt immer wieder einstellungen, die es einem server erlauben einfach vorbei zu marschieren, als wäre kaspersky nicht da...

[Gast_Scrapie_*]

@ vampire:
Da geb ich dir recht.
Das Gürteltier ist schon die "Elite" unter den Spielzeugen.
Hatte ich früher oft im Programm. Nur leider macht er kleine Server zu groß und da der Mini- Wahn bei den RAT- Programmierern Einzug gehalten hat, hab ich ihn von meiner Liste gestrichen...

@ Andreas Haak:
Natürlich hat Flux keine DLL inside. Hat ja auch niemand behauptet.
Trotzdem und der rel. kleinen Dateigröße ist eine gute Lösung für Flux nicht so einfach zu erzielen. Zumindest wenn man sich nicht auf solche Dinge wie MeW und wie sie Alle heißen einlässt.

Was ich nur andeuten will ist lediglich, dass ein guter Undetected bei weitem nicht so schnell erzielt werden kann wie du es hier propagierst. Panikmache ist in meinen Augen fehl am Platz, auch wenn du das nat. gerne so sehen möchtest, um das Geschäft anzukurbeln
Ich trau von den ganzen 1000 Ratboardusern vielleicht 10 Leuten zu, einen undetected Flux (welche nicht nur billige packer verwenden) hinzubekommen. Fünf davon nutzen keine RATs zur Fernwartung sondern für die ist es nur Hobby und der Kick; bleiben noch 5 "böse" Jungs übrig....
Wenn ich das jetzt auf die sagen wir mal 4 anderen "Szene- Boards" hochrechne sieht mir das nicht nach "einer neuen Seuche, die derzeit im Untergrund des Internets grassiert und zunehmend beängstigende Ausmaße annimmt." aus, ehrlich.


Scrapie

[Gast_Andreas Haak_*]

Was ich nur andeuten will ist lediglich, dass ein guter Undetected bei weitem nicht so schnell erzielt werden kann wie du es hier propagierst.

Ich seh es nur pragmatischer . Undetected ist undetected. Ob aufwendig gepatcht oder mit 2 Tools undetected gemacht. Von Deinen 1000 Ratusern können sicher die Hälfte bei MEW ne Datei auswählen und nen Befehl fürs Rebasing ausführen. Bei UPX schaffens das ja auch .

Letztlich haben wir in den letzten 7 Tagen mehr Flux Reports submitted bekommen, als alle anderen Backdoors ZUSAMMEN. Daher die Aussage, daß Flux sich anscheinend großer Beliebtheit erfreut und sich massiv verbreitet. Sicher wird ein Backdoor nie die Verbreitung eines Wurms erreichen - daher kann man Zahlen nicht wirklich vergleichen. Wenn ein Backdoor aber schlagartig in der Verbreitung alle anderen zusammen übertrifft ist es schon eine beängstigende Beobachtung die man nicht ignorieren sollte - Panikmache hin oder her .

[Heike]

@Andreas,
ich traue eigentlich immer nur der Statistik, die ich selbst gefälscht habe.

Wie ist es denn nun? Du stellst es so dar, als ob eine Infizierungswelle über alle schwappt, der alle hilflos ausgeliefert sind, wenn sie nicht a² nutzen. So wird es mit Sicherheit realistisch betrachtet nicht sein.
Dein Newsletter war doch nur Panikmache, jetzt verteidigst Du ihn, das ist auch irgendwie verständlich.

Wenn ein Backdoor aber schlagartig in der Verbreitung alle anderen zusammen übertrifft ist es schon eine beängstigende Beobachtung die man nicht ignorieren sollte- Panikmache hin oder her .

Vielleicht werden ja auch nur ein paar Updates vollzogen, die sich dann eben in einer Verschiebung der Marktanteile bemerkbar macht.
Die Anzahl der PCs, die einen Server laufen haben, ist sicherlich nicht wesentlich gestiegen, und mit Sicherheit nicht in der Weise, wie Du es hier darstellst.

[Gast_Andreas Haak_*]

>ich traue eigentlich immer nur der Statistik, die ich selbst gefälscht habe.

Du fälscht Statistiken?

>Wie ist es denn nun? Du stellst es so dar, als ob eine Infizierungswelle über alle
>schwappt, der alle hilflos ausgeliefert sind, wenn sie nicht a² nutzen. So wird es
>mit Sicherheit realistisch betrachtet nicht sein.

Realistisch betrachtet gehen immer mehr "Kiddies" dazu über Flux zu nutzen. Man brauch ja nurmal in die "Fanboards" schauen bzw. generell in Boards die sich mit RATs beschäftigen. Das die Leute hilflos sind, wenn sie a² nicht nutzen steht ebenfalls nirgendwo. Nur das a² als eines der ersten Programme Flux im Speicher erkennt und beenden kann und das dies unter anderem neu ist in v1.5. Abgesehen davon:

Es steht im Produktnewsletter der über Neuigkeiten in Bezug auf a² informiert, der großteils von Leuten abonniert ist, die a² eh längst nutzen. Die Fluxerkennung ist ebenso hinzugekommen wie ein neuer Updater z.B. innerhalb von 1.5. Wenn man also das Ganze für Marketing Zwecke nutzen wollen würde, hätte man wohl eher einen Security Ticker rausgeschickt. Den haben nämlich auch viele abonniert, die a² noch nicht nutzen .

>Dein Newsletter war doch nur Panikmache, jetzt verteidigst Du ihn, das ist auch
>irgendwie verständlich.



Um ihn verteidigen zu können, müsstest Du ihn angreifen. Um ihn angreifen zu können, müsstest Du ihn gelesen haben. Hast Du offensichtlich nicht. Ansonsten würdest Du nicht versuchen uns zu unterstellen, daß wir a² Nutzern versuchen a² anzudrehen.

>Die Anzahl der PCs, die einen Server laufen haben, ist sicherlich nicht wesentlich
>gestiegen, und mit Sicherheit nicht in der Weise, wie Du es hier darstellst.

Darum geht es nicht. Die Anzahl der mit Würmern verseuchten Rechner wird sich rein quantitativ ebenfalls wenig ändern, wohl aber welcher Schädling prozentual den größten Anteil an den Infektionen ausmacht.

Das ein reiner Backdoor niemals die Verbreitung eines Wurms erzielen kann, ist klar. Das er aber relativ zu seinen Verwandten hervorstechen kann in seinem prozentualen Anteil an allen gemeldeten bestehenden Infektionen dieses Malwaretyps, sollte ebenfalls klar sein. In solch einem Fall einen entsprechenden Warnhinweis an unsere Kunden zu schicken, versteht sich dann von selbst. Machen wir bei Würmern ja auch nicht anders - und mit uns so gut wie jeder anderer AV Hersteller, der einen Produktnewsletter bzw. Securityticker anbietet, ebenfalls .

Für mich ist jedenfalls EOD .

Der Beitrag wurde von Andreas Haak bearbeitet: 09.11.2004, 01:31

[Gast_Scrapie_*]

Letztlich haben wir in den letzten 7 Tagen mehr Flux Reports submitted bekommen, als alle anderen Backdoors ZUSAMMEN.

Sag doch mal konkrete Zahlen.
Reden wir hier von 10, von 100 oder von 1000?
Was gilt als Report? Infektionen oder gescannte (und abgefangene) Files?
Nur von a2- Kunden oder auch sonstigen?
Gelten Webdownloader und Proxies auch bei euch als Backdoors oder nur Kaliber wie Assasin, Optix, Flux, Bifrost, usw.?
Fragen über Fragen...

Ich jedenfalls kann auf allen mir bekannten "Viren- Tickern" keinen Anstig von Flux finden. Er ist oft gar nicht aufgeführt. Proxy- Trojaner scheinen zur Zeit eher bei den Spammern beliebt zu sein, daher deren Anstieg, aber Flux???

Scrapie

[Heike]

Sag doch mal konkrete Zahlen.

Ich habe da gleich noch mal eine Zusatzfrage.

Gibt es realistische Erhebungen, wieviele Rechner prozentual mit Backdoors infiziert sind? Aussagen von AV-Herstellern ist da m. E. nicht zu trauen, da die Zahlen mit Sicherheit nach oben "geschönt" wurden, um die Wichtigkeit und Unverzichtbarkeit der Produkte doch nun jedem zu vermitteln.

Hier entsteht ja auch, da wird mir jeder zustimmen, ein objektiv falscher Eindruck. Viele neue Mitglieder haben Probleme, doch der Schluß, alle PC-User, die hier noch nicht Mitglied sind, haben Probleme oder sind infiziert, ist mit Sicherheit falsch.

Diese Schlußfolgerung wäre genauso unsinnig wie diese Aussage von einem Mitarbeiter einer Kfz-Werkstatt: "VW ist Mist, die Autos sind ja nur in der Werkstatt." Logisch, andere Fabrikate sind selten in einer VW-Werkstatt und die, die keinen Aufenthalt benötigen, sieht er auch nicht.

[Remover]

Ausserdem ging der Newsletter auch an Leute die, die alte A2 Free Version benutzen
und da kann man sich schon durchaus hoffnung machen, ein paar leute
zum Umstieg zu bewegen.

Bezueglich anzahl der Backdoors, weise ich wie immer auf meine
Malwarestatistik hin, da sieht man das Backdoors durchaus ein
Problem sind.

Ein Flux ist mir noch nicht untergekommen aber vielleicht ist er ja
wirklich so unsichtbar, das ich ihn nicht gesehen habe.
Wage dies trotzdem zu bezweifeln....

[Heike]

@Remover,
einen Flux-Server kann man eigentlich genauso erkennen, wie andere Backdoors auch, es dürfte also keiner auf den von Dir betreuten Rechnern vorhanden gewesen sein.

Bei Deiner Statistik nennst Du ja nur die PCs, die irgendwas laufen hatten, was man nicht will. Wie hoch ist denn ungefähr der Anteil der PCs, bei denen auf diesem Bereich alles in Ordnung ist? Das ist dann natürlich auch nur ein Anteil von Deinen Kunden, also nicht repräsentativ.

[Remover]

Sieht man dann jetzt Flux eigentlich mit Hijackthis in der Registry oder nicht?

@Heike
Ja ich fuehre natuerlich nicht die unverseuchten Systeme auf.
Das sind sicherlich auch zuviele, wobei man schon sagen kann
das man bei Privaten Endkunden zu 80% etwas findet.
(Nicht unbedingt einen Wurm aber Spy und Adware)

[Heike]

Man kann einen Flux-Server mit HiJackThis erkennen, auch normal entfernen, wenn nicht zusätzlich die "persistant" Startmethode aktiviert wurde, dann ist es etwas aufwendiger.

Spy und Adware halte ich für nicht ungewöhnlich und wird auf unseren Rechnern auch meist gefunden, wenn ich die betreffenden Programme zum Entfernen laufen lasse.
Einen Browser-HiJacker gab es allerdings bei uns noch nie, lediglich Spyware-Cookies. Das sehe ich locker und würde deshalb meine Rechner nicht als "infiziert" ansehen.

[Remover]

@Heike

Was macht dann diese Option persistant genau?

Der Beitrag wurde von Remover bearbeitet: 10.11.2004, 16:52

[Heike]

@Remover,

"persistant" bewirkt, dass Du den Server zwar beenden kannst, dass er aber sofort wieder gestartet wird.
Ich würde Dir empfehlen, Dir Flux mal selbst anzusehen und die verschiedenen Startmethoden zu testen. Falls Du dann doch mal einen Kunden mit einem Flux-Server haben solltest und er nicht von dem AV-Programm entfernt werden kann, weißt Du, was zu machen ist.

[Lucky]

"persistant" bewirkt, dass Du den Server zwar beenden kannst, dass er aber sofort wieder gestartet wird.

Was hieße, das da noch was anderes mitläuft, denn sonst geht der Server ja nicht wieder an wenn er aus ist...

- björn

[Remover]

Da ich alles im abgesicherten Modus entferne, sollte eigentlich nix mehr laufen.
Dann heisst es wohl, aus die Maus....aehm oder aus der Flux?

Nebenbei bemerkt soll es aber auch Malware geben, die selbst im abgesicherten
Modus noch laeuft, kann mir da mal jemand ein Beispiel geben und wie machen
die Teile das? Flux gehoert wohl nicht dazu, oder!?

[Heike]

Dann heisst es wohl, aus die Maus....aehm oder aus der Flux?

Ich kenne einen anderen Spruch: Versuch macht kluch

[Remover]

@Heike
Kennst du den?:
-Wir haben doch keine Zeit.....!!!-

Aber mal ernsthaft, vielleicht probiere ich das wirklich mal aus.
Zur Zeit stehen aber andere Sachen bei mir an......

Kennt jemand Malware die im abgesicherten Modus funktioniert?

[zulu]

Wo is' er denn, der Herr Haak. Kalte Füße bekommen oder Propaganda beendet?

Wie man dem noch eine Plattform bieten kann ist mir nicht nachvollziehbar. Außerdem sollte es doch langsam reichen um sich zusammen mit dem Ankündigungsminister in die Sonne legen zu können. Es fehlt jetzt nur noch ein gewisser Berliner und dann ist der Dauerbrechkrampf perfekt.

[Lucky]

Gehts hier neuerdings eigentlich nicht mehr ohne irgendwelche Provokationen?
Vor allem kommen die meisten Provokationen von Leuten die nicht gerade viel gepostet haben, komisch.

- björn

[Gast_Janerik_*]

[edit: Sowas bitte via PM klaeren]

Der Beitrag wurde von raman bearbeitet: 11.11.2004, 14:05