zu zip dateien:
ich dachte dabei an ähnliches wie forge (tauschbörsen).
man sollte ja ein gewisses verantwortungsgefühl haben, ich weiß von meinem eigenen bekanntenkreis, dass die meisten sich nicht mal die dateierweiterungen anzeigen lassen bzw gar nichts von deren existenz wissen.

generell meinte ich es so: ich hab ne zip datei auf meinem rechner, die aus einer quelle stammt, der ich nicht 100% vertraue (es kann sich also auch um MS handeln ) ich scanne sie, bevor ich damit irgendwas anstelle, mit dem virenscanner/trojanerscanner.

vielleicht mache ich ja etwas falsch..(?)..
auf wächter verlasse ich mich nicht, ich scanne sie extra nochmal manuell. so verfahre ich grundsätzlich bei allen ausführbaren dateien von filesharingprogrammen.

die zip datei *vor* jeglichen aktionen zu scannen erscheint mir am sichersten und deshalb bin ich davon ausgegangen, dass viren/trojaner eben auch in diesem zustand erkannt werden (sollten).

dass die zip datei im originalzustand harmlos ist, ist mir schon klar..
ich verfahre aber auch mit exe, vbs etc dateien nicht anders - niemals würde ich einfach draufklicken. wenn ich eine datei mit einer verdächtigen endung sehe, scanne ich die.

für mich macht das also keinen großen unterschied, welches format eine datei hat. ich habe sie mir beschafft, um sie auszuführen und will sie vorher überprüfen.
ich glaube, wir haben da irgendwie aneinander vorbeigeredet. [img]smile.gif[/img]

²Magnus

also erstmal finde ich das sehr gut, dass man hier die möglichkeit hat, direkt mit den entwicklern der trojanerscanner in kontakt zu kommen. bin ziemlich überrascht

leider hatte ich nach der "testaktion" alles gelöscht, da es sich, wie gesagt, um meinen quarantäne PC handelt und ich den normalerweise nur für filesharing benutze.
werde aber versuchen, mir die trojaner nochmal zu 'besorgen'.
vielleicht wars ja tatsächlich auch ein anwendungsfehler meinerseits.


²Bitmaster

danke für den Tipp mit KAV - ich denke, ich werde dann bei dem bleiben (hatte bisher NAV).

mit dem Leichtsinn und der Faulheit der inet-Benutzer hast du sicherlich recht.
das Problem fängt aber eigentlich schon früher an - beim eigenen PC, bevor man überhaupt jemals ins Netz geht. wenn man alles richtig konfiguriert hat, keine software aus dubiosen quellen installiert, einen sicheren browser benutzt und sein surfverhalten ein bisschen im griff hat (=nicht alles mögliche blind anklickt), dann braucht man mM nicht mal ne firewall.

es kann aber vorkommen, man macht doch mal einen fehler und fängt sich einen trojaner ein, ohne es zu bemerken.
dazu hab ich ne frage: wenn der sich angenommen eingenistet hat und bereits alles mögliche im system modifiziert wurde, wie kann man den dann überhaupt noch entdecken?

wo genau hinterlassen trojaner bzw die "anwender" spuren? kann man im nachhinein zb noch herausfinden, ob man mal gehackt wurde; gibt es da irgendwelche logs, wo man das auch später noch anhand von verdächtigen veränderungen feststellen kann?

</font><blockquote>Zitat:</font><hr />Original erstellt von mysterieux:
wenn der sich angenommen eingenistet hat und bereits alles mögliche im system modifiziert wurde, wie kann man den dann überhaupt noch entdecken?</font>[/QUOTE]Reine Glückssache. Daher wird ja auch zunehmend empfohlen, ein einmal kompromittiertes System komplett neu aufzusetzen, da man eben NICHT wissen kann, was alles manipuliert wurde. Natürlich muss man dazu erstmal erkennen, DASS es überhaupt kompromittiert wurde. Auch das ist reine Glückssache, allerdings erhöht man seine Chancen durch einen guten AV-Scanner, wenn möglich bootfähig auf einer CD oder Diskette, also unabhängig vom eventuell befallenen System.
</font><blockquote>Zitat:</font><hr />wo genau hinterlassen trojaner bzw die "anwender" spuren? kann man im nachhinein zb noch herausfinden, ob man mal gehackt wurde; gibt es da irgendwelche logs, wo man das auch später noch anhand von verdächtigen veränderungen feststellen kann? </font>[/QUOTE]Wo genau: lässt sich nicht beantworten. Typische Orte sind die Run-Schlüssel der Registry, die Schlüssel für EXE-und TXT-File-Handling, WIN.INI, SYSTEM.INI usw. Beinhaltet ein Trojaner-Server einen Keylogger, dann existieren ggf. dessen Logdateien irgendwo. Man kann sich lediglich bei den AV-Herstellern die Dokumentationen der bereits bekannten Trojaner/Backdoors/Keylogger usw. ansehen und mit dem eigenen System vergleichen. Absolute Sicherheit gibts da natürlich nicht.

Mysterieux besorg dir TDS, alles andere ist nicht sehr brauchbar, da heutzutage jeder zweite weiß wie man Server modifiziert und unsichtbar gegen alle AVs macht. Nur TDS besiegt so ziemlich alles.
Du bist damit auch gegen alle zukünftigen Trojaner gesichert, außerdem sind die Leute bei diamonds sehr hilfsbereit und freundlich, kann ich nur empfehlen. Beachtlich das nur die Australier dazu in der Lage waren bisher so ein professionelles Programm zu entwickeln.

KAV versagt bei: mod.Server, bei diversen mod rootkits, bei unbekannten Trojanern.

TDS: findet mod Server, findet die hinter rootkits versteckten Trojaner, findet unbekannte Trojaner durch Speicherscan.

[ 15. Mai 2003, 03:09: Beitrag editiert von: MEGAFREAK ]

IRON - danke (klingt ja alles nicht sehr toll.. )

MEGAFREAK -

ich habe mir mal die trial version installiert und das Teil hat jetzt gefunden:

suspicious filename in suspicious location -&gt; c:\ht.hta

was ist das, hast du ne Ahnung?

dann noch so etwas:

suspicious filename excessive space characters -&gt; ne seite in den fav (denk ich mal ist harmlos)

danke für den Tipp, wäre ja echt cool, wenn das prog auch rootkits etc erkennt!

hta dürftest du dir wohl beim Surfen eingeheimst haben, genau weiß ich auch nicht was es ist, aber es benutzt die bekannte hta Variante.

Rootkits wenn sie richtig gut getarnt sind entdeckt TDS nicht, aber es erkennt den Trojaner darin und macht ihn unschädlich selbst wenn es im Rootkit hängt und das ist ja das wichtige, alles andere spielt weniger eine Rolle, hauptsache der Server wird gekillt. TDS ist definitiv das beste,
ich frage mich warum das hier im Forum noch niemand erwähnt hatte, wahrscheinlich weil sonst die Scriptkiddies keinen Spaß mehr haben,
wenn alle über das Programm bescheid wüßten, gäbe es kaum noch großartigen Trojanerbefall.

</font><blockquote>Zitat:</font><hr />Original erstellt von MEGAFREAK:
TDS ist definitiv das beste,
ich frage mich warum das hier im Forum noch niemand erwähnt hatte, wahrscheinlich weil sonst die Scriptkiddies keinen Spaß mehr haben,
wenn alle über das Programm bescheid wüßten, gäbe es kaum noch großartigen Trojanerbefall. </font>[/QUOTE]*ROFL*

</font><blockquote>Zitat:</font><hr />Original erstellt von MEGAFREAK:
Rootkits wenn sie richtig gut getarnt sind entdeckt TDS nicht, aber es erkennt den Trojaner darin und macht ihn unschädlich selbst wenn es im Rootkit hängt</font>[/QUOTE]*ROFL #2*

ja, mit Ausnahme von "Anti"viren Programmierern wie dir, die Spaß daran haben andere Menschen zu ärgern... dein Ruf ist nicht der beste und es gibt einige die was gegen dich haben aus gutem berechtigtem Grunde..

[ 15. Mai 2003, 07:33: Beitrag editiert von: MEGAFREAK ]

Mal eine Frage:
Ist ein Rootkit nicht ein Trojaner?
Dachte ich jedenfalls immer, da "Hacker" dadurch ja zugriff auf Server/Rechner bekommen.
Oder ist das doch was anderes?

Björn

&gt;Mysterieux besorg dir TDS, alles andere ist
&gt;nicht sehr brauchbar,

Na auch TDS ist nicht sonderlich brauchbar; man kann es aber als einäugigen unter den Blinden bezeichnen - neben TrojanHunter.

&gt;da heutzutage jeder zweite weiß wie man Server
&gt;modifiziert und unsichtbar gegen alle AVs macht.
&gt;Nur TDS besiegt so ziemlich alles.

*rofl* ... ja, bis man sich dann einen Trojaner nimmt und einen Hexeditor und dann den Trojanernamen durch Suchen/Ersetzen durch etwas anderes austauscht. Oder aber man nimmt einfach einen Packer wie TELock *g*.

&gt;Du bist damit auch gegen alle zukünftigen
&gt;Trojaner gesichert, außerdem sind die Leute bei

Was ich für ein Gerücht halte ... .

&gt;diamonds sehr hilfsbereit und freundlich, kann

Diamond CS ist vorrangig ein kleiner arroganter Haufen *g*.

&gt;ich nur empfehlen. Beachtlich das nur die
&gt;Australier dazu in der Lage waren bisher so ein
&gt;professionelles Programm zu entwickeln.

"Professionelles Programm" ... mhm, man sieht es ...

&gt;KAV versagt bei: mod.Server, bei diversen mod
&gt;rootkits, bei unbekannten Trojanern.

Modifiziert in welcher Form? Ist klar, wenn Du willst kannst Du jeden Trojaner unsichtbar machen - KAV ist nunmal die größte Herausforderung.

Rootkits für Windows existieren nur sehr wenige, die von KAV erkannt werden soweit ich weiß. Zumindest alle die ich habe. Die meisten Linux Rootkits erkennt KAV auch *g*.

Wirklich gute Rootkits wird aber kein Programm erkennen - denn sobald sie als Treiber implementiert sind, können sie ALLES verstecken.

&gt;TDS: findet mod Server, findet die hinter
&gt;rootkits versteckten Trojaner, findet unbekannte
&gt;Trojaner durch Speicherscan

Ok, dann verklicker ich Dir mal was. Nimm Dir mal einen Trojaner Deiner Wahl. Z.B. Optix oder Asylum. Dann lad Dir z.B. UltraEdit runter und wechsel immer den Trojanernamen durch etwas anderes aus. Es reicht schon wenn Du Groß- und Kleinschreibung änderst. Aus Optix mach z.B. OPTIX. Danach schau mal ob er nocht erkannt wird - Du wirst Dich wundern.

Bei Optix wird evtl. noch die Heuristik anspringen. Das fatale an der Heuristik ist aber, daß sie Case Sensitive ist. Sprich:

Die berühmte "Passwortstehlen" API auf der mpr.dll wird nur gefunden, wenn sie aus mpr.dll oder MPR.DLL geladen wird - nicht aber wenn sie aus MPR.dll geladen wird. Eine ICQ Notify wird nur dann entdeckt, wenn die Notify URL in kleinbuchstaben steht. Wenn sie aber z.B. als http://www.ICQ.com... gespeichert ist, wars das.

TDS hat eine "Execution Protection" - ja. Allerdings ist diese Execution Protection nicht wirklich brauchbar, da sie defacto eine ShellExtension ist. Sprich sie ist nur dann aktiv, wenn ein Prozess über ShellExecute gestartet wird. Nicht aber wenn es durch ein anderes Programm gestartet wird oder in der Console. Letztlich kann man das auch umgehen indem man einen einfachen Packer benutzt.

Sicher - TDS hat einen Speicherscan. Sobald der Trojaner aber einmal gestartet ist, kann er problemlos TDS modifizieren (simpler IAT Hook von OpenProcess und schon kann TDS nicht mal mehr den Prozessspeicher scannen). Damit wars dann ... .

Das ganze könnte man dann noch beliebig weiter führen, aber wir wollen hier ja keine Anleitungen posten ... .

&gt;entdeckt TDS nicht, aber es erkennt den Trojaner
&gt;darin und macht ihn unschädlich selbst wenn es

*lach* ... nun ... Du bist schon lustig, geb ich ja zu ... . Allerdings ist TDS nicht mal in der Lage einen Optix mit aktivierter Cloaking Funktion korrekt zu erkennen beim Plattenscan - und glaub mir, das ist deutlich einfacher als einen Trojaner hinter einem Rootkit zu erkennen. Abgesehen davon ist in 99% der Fälle das Rootkit der Trojaner.

&gt;alles andere spielt weniger eine Rolle,

Genau - weil da ja nur ein kleines Program mit Admin Rechten rumspuckt, das schön seine Aktivitäten verschleihert und brav auf Befehl von außen wartet - träum weiter.

&gt;TDS ist definitiv das beste, ich frage mich
&gt;warum das hier im Forum noch niemand erwähnt
&gt;hatte, wahrscheinlich weil sonst die
&gt;Scriptkiddies keinen Spaß mehr haben, wenn alle
&gt;über das Programm bescheid wüßten, gäbe es kaum
&gt;noch großartigen Trojanerbefall.

Doch gäbe es - weil sich jedes ScriptKiddie auf TDS stürzen würde. Bei den ganzen Lücken die es aufweist würde man sehr schnell fündig werden.

Letztlich wird TDS hier nur von wizard empfohlen - allerdings auch nicht mehr so häufig. Außerdem glaube ich, daß die meisten hier das marketing blablabla aus "down under" relativ schnell durchschauen. Hier ist es ja - GOTT SEI DANK - nicht so wie in den USA. Obwohl ich bei Personen wie Dir da manchmal ins Zweifeln komme ... .

</font><blockquote>Zitat:</font><hr />Rootkits für Windows existieren nur sehr wenige, die von KAV erkannt werden soweit ich weiß. Zumindest alle die ich habe. Die meisten Linux Rootkits erkennt KAV auch *g*.
</font>[/QUOTE]Nun lange Zeit hatten die Jungs und Mädels aus dem Hause Kaspersky Ltd. wohl die "alten" rootkits von hoglund wohl übersehen..jetzt werden diese auch erkannt.

</font><blockquote>Zitat:</font><hr />...außerdem sind die Leute bei diamonds sehr hilfsbereit und freundlich, kann ich nur empfehlen. </font>[/QUOTE]ja ne is klar

nun ja!
jetzt bin ich wieder da, wo ich am anfang war - ich hab keinen schimmer, welcher scanner wirklich gut ist. ich glaube, ich vertraue gar keinem.

@Andreas Haak

doch, ich finde deine ausführungen sehr interessant.
außerdem ists ja eher unwahrscheinlich, dass das anleitungen sein könnten. entweder man kann hacken, dann weiß man das eh oder man kanns nicht und dann "lernt" man das auch nicht mal so eben nebenbei in einem inet forum.

ich finde schon, dass man möglichst viel über das vorgehen + tricks der lieben script kiddies wissen sollte; umso besser kann man sich schützen. wohl weniger durch virenscanner (s.o.) sondern mehr durch eigenes verhalten.

was mich noch interessieren würde - diese mod. trojaner können sich doch niemals perfekt verkrümeln..also irgendwelche spuren hinterlassen die auch. wo und wie?

</font><blockquote>Zitat:</font><hr />Original erstellt von mysterieux:
jetzt bin ich wieder da, wo ich am anfang war - ich hab keinen schimmer, welcher scanner wirklich gut ist. ich glaube, ich vertraue gar keinem. </font>[/QUOTE]Es ist sicher gut, keinem Scanner zu vertrauem, sondern nur Brain 1.0. Aber ich habe den Eindruck, dass in diesem Thread die Schwächen von Kaspersky doch etwas überbewertet werden. Ich bin der Meinung, dass KAV bei Trojanern immer noch die Nase vorn hat.