Virus den kein Scanner erkennt

[cane]

Hi @all,

habe mal einige Tests mit aktueller und gemodeter Malware gefahren, hier ein paar Worte dazu:

1. Wenn man sich eine Malware einfängt macht man in 90 % der Fälle irgendwas grundlegend falsch:

- man hält das System nicht up2date

- man arbeitet mit administrativen Rechten

- man installiert Software aus nicht vertrauenswürdigen Quellen, häufig Cracks / Warez

Lösung:

1. System automatisch aktualisieren lassen.

2. NICHT als Admin arbeiten - wer behauptet das er das muss hat Windows nicht verstanden oder kennt die vielen anderen möglichkeiten Applikationen wenn es denn sein muss als Admin laufen zu lassen (Ausführen als / machmichadmin) nicht. Besser ist es die NTFS-Rechte so zu vergeben das der user die Programmdateien wenn nötig beschreiben kann und die Registryzweige die benötigt werden zu evaluieren. Dazu dienen die Tools filemon und regmon von Sysinternals, sie schneiden mit welche Aufrufe fehlschlagen wenn man ein programm ausführt.

3. Wer unbedingt jeden Mist installieren oder ausführen muss sollte auf einem cleanen Zweitsystem / einer virtuellen Maschine prüfen was die Datei macht. Ich empfehle wiederrum die o.g. Sysinternals-Tools. Es kann auch vorteilhaft sein kurz mit Ethereal zu prüfen ob die Software Phone-Home versucht... Es ist erschreckend wie über verseuchte Cracks vor allem die allgemein leichtgläubige und auf jeden Crack wahllos doppelklickende Gamer-Fraktion momentan massiv infiziert wird.

Das offiziell größte entdeckte Botnetz hatte ja kürzlich 1.5 Millionen befallene Rechner integriert - das ist erst der Anfang und oft liegen die Grenzen in der Auslastung der steuernden IRCds und nicht am Nichtvorhandensein weiterer Opfer.

##############

Warum ist das so wichtig?

Es ist nicht schwer alle gängige Malware von Trojanern über Viren bis hin zu Würmern so zu modden das kein Virenscanner sie mehr erkennt. Ich habe das an gängigen Trojanern getestet - Zeitaufwand bis kein Virenscanner sie mehr erkannte ist meist < 15 Minuten da alle gängigen Virenscanner vornehmlich signaturbasiert arbeiten und auch gute Heuristiken wie bei Kaspersky ihre Grenzen haben.

Personal-Firewalls sind auch relativ sinnbefreit wenn der Angreifer einen Funken Intelligenz besitzt, ich konnte alle gängigen Firewalls tunneln so das sie einen verindungsversuch nicht bemerkten. Meist habe ich mit DLL-Injection gearbeitet und meinen Code im Context einer bekannten Applikation wie dem IE ausgeführt.

Dann haben wir noch die Rootkits. Auch hier werden neuere Techniken von keinem einzigen Standard-Tool, auch nicht Tools wie RootkitRevealer, erkannt. Gehookte APIs werden meist noch erkannt aber sobald man den Win-Kernel im Betrieb patcht sind auch diese Tools machtlos.

##############

FAZIT: Augen auf im Netz!

NIE als Admin arbeiten - gerade bei MS Systemen ist das tödlich und ein Bild kann reichen eine Malware ins System zu schleusen die kein virenscanner erkennt und zukünftig erkennen wird!

Hoffe der beitrag sensibilisiert - Anregungen, Kritik etc. erwünscht

mfg

cane

[baba007]

:schlaf: Ich hacke jeden Rechner in < 1 min. Ich fahre ihn runter ne mal im Ernst, wenn alles so einfach wäre, wie du es beschreibst, dann hätten wir nicht 1500000 mio Viren, sondern zig tausend mal mehr. Kaspersky, Firewaller und Co sind schon wichtig und nicht so leicht zu knacken.

Wenn man nicht als Admin eingeloggt ist, ist die Gefahr sich was einzufangen MINIMAL. Wer gekrackte Software saugt ist selber schuld.

Mein System läuft schon seit 2 Jahren und ich hatte noch nie probleme ... nichts desto trotz läuft meine FW und AVG top und blocken ohne Ende, auf die beiden will ich nicht verzichten

[t3quill4b0y]

Ich bin ehrlich gesagt nicht wirklich sicher ob ich nicht doch irgendein rootkit drauf habe da ich auch nachgelesen konnte, dass aktuelle Scanner diese oft nicht finden. Aber weglassen von FW und Virenscanner wäre totaler blödsinn da es ja die "erkennbare" malware gibt.

Ich denke mal ein großer Schritt richtung Sicherheit ist eben den standart beutzer nicht mit admin rechten zu versehen. werde ich bei der nächsten neuinstallation auch so machen. Immo läuft aber mein system sauber und meine finden scanner nix ... das is immerhin mal etwas beruhigend.

cu

[cane]

ne mal im Ernst, wenn alles so einfach wäre, wie du es beschreibst, dann hätten wir nicht 1500000 mio Viren, sondern zig tausend mal mehr.

Es ist so einfach. Ich habe es nicht nötig Topics zu eröffnen um mich zu profilieren sondern war selbst erstaunt wie einfach es ist und wollte das nur mal euch allen mitteilen.

Außerdem ist deine Aussage sinnlos da pauschal - ich habe es getestet...

mfg

cane

[volker81]

Einspruch euer Ehren.

Ich arbeite immer mit administrativen Rechten, da ich keine Lust habe mich immer umzumelden, bzw auf der ganze Account-Passwort-Anmelden-Abmelden etc.

Ich habe eine Firewall im Router, einen ständig aktuellen Virenscanner, Surfe mit Firefox und halte mein System permant auf dem aktuellsten Stand.

Wenn mir mal was untergeschlüpft ist, dann durch mein "mutwilliges" zutun. Serials, Cracks, etc.

[cane]

Ein Informatiker der als Admin arbeitet ist in meinen Augen wie ein Busfahrer der besoffen Bus fährt.

Erschreckend und für mich nicht nachvollziehbar wie naiv sich selbst Informatiker verhalten...

Ich arbeite immer mit administrativen Rechten, da ich keine Lust habe mich immer umzumelden, bzw auf der ganze Account-Passwort-Anmelden-Abmelden etc.

Wieso muss man sich ummelden oder Abmelden?

Das ist ein Vorwand der völlig falsch ist.

a) Läuft 99 % aller Software als User, davon 70 % ohne Anpassungen und 30 % mit kleinen Anpassungen was Rechte auf einzelne Files oder registry-Zweige betrifft. Zeitaufwand wenige Minuten.

Braucht man keine Passwörter einzugeben wenn man Tools in anderem kontext starten will da "runas" einen Parameter hat der sich das Passwort merkt. Die ganz faulen nutzen Tools wie machmichadmin oder schreiben sich ein Wrapperscript das das gewünschte Programm als Argument entgegennimmt und automatisiert in einem anderen Kontext startet.

mfg

cane

[janlutmeh]

Ich habe es nicht nötig Topics zu eröffnen um mich zu profilieren sondern war selbst erstaunt wie einfach es ist und wollte das nur mal euch allen mitteilen.

Genau. Ich persönlich vermisse hier die Problemstellung oder Frage. Hätte dann vielleicht eher in den Daily Talk gesollt.

[Kelnor]

Wenn das alles so einfach ist wie du hier behauptest frage ich mich wieso Heerscharen von hochbezahlten Spezialisten sündhaft teure Programme entwerfen die nach deiner Ansicht eh nichts bringen und Legionen von PC - Nutzern mit Admin - Rechten arbeiten bzw. surfen oder spielen und trotzdem nicht von Trojanern, Malware oder Würmern überschwemmt werden (wie ich auch, habe 4 Jahre lang im Netz rumgesurft, gezockt, etc. Mittlerweile nutze ich auch keine Admin-Accounts mehr im Dauerbetrieb, aber die Jahre davor hatte ich ebenfalls keine Viren drauf. Glück?). Bei den ganzen Gelegenheits- Usern ist es in der Regel das völlig zugemüllte Windows welches den Rechner ausbremst, in dem Programme grundsätzlich nicht über die Deinstallationsroutine gelöscht, tausende von Demos installiert und das OS an sich nicht optimiert wird.

[cane]

Wenn das alles so einfach ist wie du hier behauptest frage ich mich wieso Heerscharen von hochbezahlten Spezialisten sündhaft teure Programme entwerfen

Mal was von Angebot und Nachfrage gehört, Marktwirtschaft hat nichts mit Wahrheiten zu tun...

Es ist einfach wenn man nen Hexeditor bedienen kann... Allerdings gibt es auch Tools die das verschieben von EIPs im Assembler-Code automatisieren. Bei vielen Virenscannern muss man auch nur ein paar sinnlose Leerbefehle enfügen um die Erkennung zu verhindern.

Legionen von PC - Nutzern mit Admin - Rechten arbeiten bzw. surfen oder spielen und trotzdem nicht von Trojanern, Malware oder Würmern überschwemmt werden (wie ich auch, habe 4 Jahre lang im Netz rumgesurft, gezockt, etc.

Woher wissen diese User das denn? Hatte als ich bei einem Dienstleister gearbeitet hab oft Rechner zur Problemanalyse da die sich nachträglich als verseucht herausstellten. Vor 0815 Malware schützen Personal Firewall und Virenscanner, verändert man die Funktionalität oder arbeitet mit API-Hooking um Virenscanner zu täuschen und DLL-Injection um die Firewall zu tunneln sind 99 % aller Virenscanner und Personal Firewalls machtlos.

Sowas fängt man sich meist aber nur ein wenn man als Admin arbeitet...

Noch einfacher ist es wenn der User ständig als Admin arbeitet da man der Firewall, wie jeder anderen Software auch, dann einfach Systemkommandos zuschicken kann...

Einige Fachkräfte sind ja nicht einmal in der Lage ein Rootkit (von denen es mittlerweile ein dutzend öffentlich verfügbare und mehrere dutzend gibt die im kleinen Kreis verwendet werden) zu erkennen... Das finde ich traurig da sogar Heise online, die c't und andere Magazine das Thema mehrfach abgehandelt haben und die Problematik seit Jahren bekannt ist.

mfg

cane

[PieDie]

Welches Thema wird eigentlich nun behandelt? "Viren die kein Scanner erkennt"? Oder "Arbeiten mit Adminrechten - pro und contra"?

Zu ersterem: Glaube nicht, dass es Viren gibt, die sich ewig verstecken können, sie können sich nur sehr gut verstecken (siehe rootkits). Aber das perfekte Verstecken halte ich für schwierig.

Zu Letzterem: Ich denke, es ist einfach nur ein gewisser Grad an Faulheit, die einige von uns Informatikern daran "hindern", die eigenen Userrechte zu beschneiden. Wie in der c't oft zu lesen ist, tun sich viele Programme damit schwer, im eingeschränken Modus zu laufen. Um diese Problematik zu umgehen, tastet man die Rechte einfach nicht an.

"Schuld" kann man in gewissen Maße Microsoft geben, die sich der Problematik von Viren, Würmern und Sicherheitslecks, die in jedem System (auch Linux, Unix und wie sie alle heißen) lauern, während der implementierung des Userkonzepts in XP zwar bewusst waren, ihr aber nicht ausreichend entgegengewirkt haben. Damit rede ich nicht von Sicherheitslecks im IE, oder irgendwelcher Exploits mit manipulierten Bilddateien - das kann jedes System treffen und bei einem System dieser Größe ist es einfach nicht möglich, alle Lücken schon in der Entwicklungsphase zu stopfen - ich rede davon, dass man scheinbar nicht ausreichend darüber nachgedacht hat, welche Folgen die Vergabe von administrativen Rechten an den Standarduser haben kann.

Die Softwareentwickler sind scheinbar trotz der inzwischen hochprominenten Problematik noch immer nicht in der Lage (beziehungsweise nicht Willens, sich damit auseinanderzusetzen), Programme zu veröffentlichen, die den "faulen User" dabei unterstüzen, auf die sensiblen Rechte während der nicht-administrativen Arbeit zu verzichten.

Aber man sieht ja, dass auch Microsoft aus Schaden klug wird. In Vista (respektive Longhorn) soll das Userkonzept von XP umgestossen werden udn der Standarduser nur eingeschränkte Rechte haben

[LaDragonfly]

Moin, ich wollte nebenbei verlauten lassen, dass ich bisher auch IMMER mit Admin Rechten gearbeitet habe.

Mag sein das viele das für hirnkrank halten,aber in den letzten 5 Jahren hatte ich keinen einzigen Virus und auch keinen Hack in meinem System.

Was Spyware angeht,sowas habe ich in seltenen Fällen mal,jedoch lasse ich wöchentlich Adaware bei mir durchscannen.

Nebnbei habe ich eine SPI Firewall im Router integriert und nutze auch den Firefox. Ich finde es ehrlich gesagt der größte Schwachsinn,wie einige hier meinen Personal Firewalls bieten 0 Wirkung.

Es gibt nie eine 100%ig Schutz gebende Firewall,jedoch kann man sagen,dass auch die Personalfirewalls mittlerweile gar nicht mehr soo schlecht sind. Im übrigen muss man das immer relativ sehen...

Nicht jedes Kind kann "hacken",die die sich aufspielen sind eh meist die Scriptkiddies die ne batch datei schreiben können, und meinen Tron 2 zu sein.

Die Leute sollten einfach alle mehr Brain 2.0 nutzen,dann ginge es vielen PC`s da draußen besser...

Gruß LaDragonfly

[volker81]

Brain 2.0 nutzen,...

Beste Security-Suite wo gibt

[Grandmasta]

FAZIT: Augen auf im Netz!

NIE als Admin arbeiten - gerade bei MS Systemen ist das tödlich und ein Bild kann reichen eine Malware ins System zu schleusen die kein virenscanner erkennt und zukünftig erkennen wird!

Diese Aussage halte ich für falsch. Du hast geschrieben, dass du Malware so verändert hast, sodass sie nicht mehr erkannt wird.

Mal angekommen diese veränderte Malware kommt in den Umlauf. Wie meinst du, werden die Hersteller von Anti-Viren-Programmen reagieren? Richtig, sie werden ein Update bringen, welches die Malware erkennt und entfernt.

Die Sache mit den Adminrechten unter Windows ist auch nichts neues und muss eigentlich garnicht mehr diskutiert werden.

Deshalb verstehe ich den Sinn dieses Threads nicht so ganz...

[ingh]

Mal angekommen diese veränderte Malware kommt in den Umlauf. Wie meinst du, werden die Hersteller von Anti-Viren-Programmen reagieren? Richtig, sie werden ein Update bringen, welches die Malware erkennt und entfernt.

Und was machst du in der Zeit, bis das Signaturupdate auf deinem Rechner aktiv ist?

Viele der aktuellen Trojaner streben gar keine hohe Verbreitung an, um die Zeit bis zur Entdeckung und der Entwicklung eines Virenscanner-Updates möglichst weit auszudehnen. Bis dahin aber kann die Malware auf dem befallenen Rechner eine Menge anstellen - den Virenscanner unbrauchbar machen zB.....

[Grandmasta]

Aber das Problem besteht doch bei jeder Art von Malware. Wenn sie neu ist, dauert es natürlich etwas, bis der Client auch dagegen geschützt ist.

Mir leuchtet trotzdem nicht ein, was cane mit seiner Aussage "Ich habe Malware verändert und nun wird sie nicht mehr erkannt" überhaupt sagen will.

Fakt ist, dass es für fast alle neuen erscheinenden Trojaner, Würmer oder Sonstige, nach sehr kurzer Zeit bereits ein Update der Virendefinitionen gibt.

Die Entwickler von Viren sind immer einen Schritt voraus, das wird sich vermutlich auch nie ändern. Wie auch?

Und natürlich kommt man bei manchen Viren um eine Neuinstallation des OS nicht herum.

Aber um so etwas zu verhindern, reicht es beim surfen das Gehirn einzuschalten. Es ist ja nicht ohne Grund so, dass die Leute, welche sich am wenigstens mit PCs auskennen, am Meisten davon betroffen sind. Und das wird sich in naher Zukunft auch nicht ändern.

Vielleicht macht es MS bei Vista mit der Einschränkung der Benutzerrechte besser. Dann besteht eventuell die Möglichkeit, dass das Problem Malware in 7 oder 8 Jahren, wenn fast alle Anwender umgestiegen sind, nicht mehr so akkut ist, wie jetzt.

[hades]

Ich persönlich vermisse hier die Problemstellung oder Frage.

Und deswegen closed.