Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Signatur für Ursprung einer Datei?

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 15.03.2010, 16:43   #1
Gooner85
 
Signatur für Ursprung einer Datei? - Frage

Signatur für Ursprung einer Datei?



Hallo zusammen,

ich wollte mal fragen, ob es eine Möglichkeit gibt, einer Datei (z.B. eine DLL) eine Signatur mitzugeben, mit der andere Programme (z.B. Anti-Viren-Programme) erkennen können, welchen Ursprung sie besitzen.

Der konkrete Fall würde dann so aussehn:
- Ein Benutzer installiert ein Programm durch eine *.msi-Datei
- Diese *.msi-Datei erstellt bei der Installation eine DLL-Datei (z.B. vnchook.dll)
- Viele Firewalls/Anti-Viren-Programme stufen diese DLL als gefährlich ein (z.B. weil über sie ein VNC-Zugriff erfolgen kann)
- Durch die Signatur der DLL wird aber klar, dass diese DLL keine Schadsoftware ist sondern von einem vertrauenswürdigen Hersteller erzeugt wurde
- Die Einstufung wird zurückgesetzt

Mir ist natürlich bewusst, dass es unzählige Trojaner gibt, die diese vnchook.dll auch mitliefern.
Allerdings ist es als Hersteller von Software, die eine VNC-Funktion (als HelpDesk) beinhaltet, äußerst aufwendig, dass der VNC-Zugriff von Firewalls von Haus aus geblockt wird.
Es ist dann jedesmal nötig mit dem Kunden zu telefonieren und ihm zu beschreiben, wie er das Programm/DLL in die Ausnahmeliste seiner Firewall eintragen kann.

Alt 15.03.2010, 17:58   #2
Shadow
/// Mr. Schatten
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Nein es ist (praktisch) nicht möglich, vor allem müsste dies ja dann auch extrem fälschungssicher sein und zertifiziert (Kosten, Aufwand) werden.
Es wäre übrigens auch Aufgabe einer sogar vernünftigen Firewall auch zertifizierten Müll zu blocken bzw. es ist ja auch ein Kritikpunkt an den Kiddie-Firewalls, dass sie dem dummen Nutzer ungefragt Sachen abnehmen und Diverses ungefragt zulassen, was dieser aber vielleicht gar nicht haben will.
__________________

__________________

Alt 15.03.2010, 18:12   #3
Gooner85
 
Signatur für Ursprung einer Datei? - Frage

Signatur für Ursprung einer Datei?



Zitat:
Zitat von Shadow Beitrag anzeigen
Nein es ist (praktisch) nicht möglich, vor allem müsste dies ja dann auch extrem fälschungssicher sein und zertifiziert (Kosten, Aufwand) werden.
Es wäre übrigens auch Aufgabe einer sogar vernünftigen Firewall auch zertifizierten Müll zu blocken bzw. es ist ja auch ein Kritikpunkt an den Kiddie-Firewalls, dass sie dem dummen Nutzer ungefragt Sachen abnehmen und Diverses ungefragt zulassen, was dieser aber vielleicht gar nicht haben will.
Von diesem Standpunkt betrachtet gebe ich dir natürlich vollkommen recht.

Angenommen, ein Programm beinhaltet z.B. eine Funktion, um per VNC auf den Desktop des Kunden zugreifen zu können. Diese Funktion basiert im wesentlichen auf dem OpenSource-Project UltraVNC (h**p://sourceforge.net/projects/ultravnc/). Bei der Installation des Programms werden u.a. auch Datein wie "vnchooks.dll" mitgeliefert. Diese Dateien werden dann leider von vielen Firewalls/Virenprogrammen als bösartig eingestuft.

Mir ist natürlich bewusst, dass viele Torjaner u.ä. Programme gleichnamige Dateien mit einschleusen. Weisen diese jedoch nicht eine andere Signatur auf als die herkömmliche vnchooks.dll? Wie ist es möglich, hier eine Unterscheidung zu fällen?
__________________

Geändert von Gooner85 (15.03.2010 um 18:38 Uhr)

Alt 15.03.2010, 18:48   #4
Shadow
/// Mr. Schatten
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Im professiopnellen Umfeld gibt es übrigens genügend Fernwartungs-/Hilfetools die zumindest durch normale (nicht "Personal-" oder "Desktop-")Firewalls durchkommen (mit PFs nicht getestet).
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 15.03.2010, 18:58   #5
Gooner85
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Zitat:
Zitat von Shadow Beitrag anzeigen
Im professiopnellen Umfeld gibt es übrigens genügend Fernwartungs-/Hilfetools die zumindest durch normale (nicht "Personal-" oder "Desktop-")Firewalls durchkommen (mit PFs nicht getestet).
Bleibt die Fragen, welche Tools das sind.
Dabei ist allerdings davon auszugehn, dass diese Tools auf keinem OpenSoure-Project beruhen und daher deren Dateien nicht von Trojanern misbraucht werden.
Verwendet man nämlich UltraVNC als Grundlage für Fernwartungstools ist es notwendig einige Dateien mit einzubeziehen (eben vnchooks.dll), welche auch von Trojanern verwendet/eingeschleust werden.


Alt 15.03.2010, 19:16   #6
Shadow
/// Mr. Schatten
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Zitat:
Zitat von Gooner85 Beitrag anzeigen
Bleibt die Fragen, welche Tools das sind.
Ich könnte nachsehen und dir eine (kleine) "Liste" zusammensuchen.
Zitat:
Zitat von Gooner85 Beitrag anzeigen
Dabei ist allerdings davon auszugehn, dass diese Tools auf keinem OpenSoure-Project beruhen
Davon ist nicht nur auszugehen, sondern es ist so. Deshalb ist das Zeug mitunter auch deutlich teuer, wird erst im großen Stil "pro Einsatz" halbwegs günstig.
Zitat:
Zitat von Gooner85 Beitrag anzeigen
und daher deren Dateien nicht von Trojanern misbraucht werden.
Ich tippe drauf, dass du Backdoors meinst. Allerdings hat eine Urheberrechtsverletzung Malware bisher selten aufgehalten. Aber die offene und allgemeine Verfügbarkeit einer Open-Source-Lösung macht es halt für alle Seiten einfacher und billiger.
__________________
--> Signatur für Ursprung einer Datei?

Alt 15.03.2010, 22:43   #7
Gooner85
 
Signatur für Ursprung einer Datei? - Frage

Signatur für Ursprung einer Datei?



Zitat:
Zitat von Shadow Beitrag anzeigen
Ich könnte nachsehen und dir eine (kleine) "Liste" zusammensuchen.
Du würdest mir wirklich einen großen Gefallen machen, wenn Du mir einige dieser Tools nennen könntest

Es würde vermutlich auch nichts nützen, wenn man die "indizierten" Dateien einfach etwas verändert, oder?
Dann würden sie nicht mehr genau der Signatur des Origianls entsprechen und dadurch nicht mehr von Firewall und Konsorten erkannt werden.

Alt 16.03.2010, 06:35   #8
ordell1234
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Soweit ich mich erinnere, stufen die AVPs/Firewalls vnc als Riskware ein, d.h. als nicht per se schädlich. Es kommt auf den Einsatzzweck an und davon haben AVPs idR null bis gar keine Ahnung. vnchooks.dll verfügt über eine gültige Signatur, nur hilft das wenig, wenn sie - eher ungewöhnlich - als Backdoor mißbraucht wird. Die Signatur hilft nicht viel weiter.

Was spricht gegen den Remotedesktop von Windows? Jetzt sag nicht Linux...

edit: ich hänge es mit dran
Code:
ATTFilter
G:\Downloads\vnc\vnchooks.dll:
        Verified:       Signed
        Catalog:        G:\Downloads\vnc\vnchooks.dll
        Signers:
                uvnc bvba
                GlobalSign ObjectSign CA
                GlobalSign Primary Object Publishing CA
                GlobalSign Root CA
        Signing date:   14:04 30.08.2008
        Publisher:      UltraVNC
        Description:    VNC hooks DLL for Win32
        Product:        UltraVNC - VNCHooks
        Version:        1, 1, 0, 0
        File version:   1, 1, 0, 0
        Strong Name:    Unsigned
        Original Name:  VNCHooks.dll
        Internal Name:  VNCHooks
        Copyright:      Copyright (C) 2002 UltraVNC, Copyright RealVNC Ltd.® 200
2, AT&T Research Labs Cambridge® 1996-2001
        Comments:
         

Alt 16.03.2010, 08:34   #9
Shadow
/// Mr. Schatten
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Die Signatur ließe sich aber fälschen, ebenso wie ein normaler Hash-Wert. Je fälschungssicherer und je verlässlicher zertifiziert so eine Datei mit Signature wäre, desto teurer ist die Zertifizierung und desto aufwändiger in jeder Richtung wäre das Zertifikat und dessen Überprüfung.
Und die Signatur einer dll (im Beispiel) hilft ja nichts (wie ordell1234 richtig sagt, dass AV-Programm weiß ja nicht wozu es genutzt wird), die gesamte Anwendung müsste eine neue (fälschungssichere, sicher zertifizierte, teure) Signatur bekommen, inkl. der dll, damit - theoretisch - ein AV-Programm bzw. eine Personal-Firewall diese dll diesem (zertifiziertem) Programm zuordnen könnte.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 16.03.2010, 10:01   #10
Gooner85
 
Signatur für Ursprung einer Datei? - Frage

Signatur für Ursprung einer Datei?



Bedeute das also, dass die Fernwartungs-Tools, die nicht durch Firewalls/Anti-Viren-Programme gesperrt werden, auch nur deshalb berücksichtigt werden, da sie eine teure Zertifizierungs-Prozedur bei Kaspersky, Symantec & Co durchlaufen haben?
Wer nimmt diese Zertifizierungen eigentlich vor? Es ist doch sicher nicht notwendig, sich bei jedem einzelnen Hersteller seperat zertifizieren zu lassen.

Nutzt man jedoch ein Open-Source-Projekt bzw. ein VNC-Programm, dass auch von Schadsoftware schon verwendet wurde, wird man von Haus aus erstmal ausgesperrt.

Alt 16.03.2010, 10:17   #11
Shadow
/// Mr. Schatten
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Zitat:
Zitat von Gooner85 Beitrag anzeigen
Bedeute das also, dass die Fernwartungs-Tools, die nicht durch Firewalls/Anti-Viren-Programme gesperrt werden, auch nur deshalb berücksichtigt werden, da sie eine teure Zertifizierungs-Prozedur bei Kaspersky, Symantec & Co durchlaufen haben?
Weiß ich nicht und glaube ich auch nicht unbedingt.
Denn es ist schließlich für eine AV-Software mindestens so peinlich (ich würde sagen deutlich peinlicher) ein False-Positive-Ergebnis zu liefern, als für ein Fernwartungstool fälschlich als mögliche Malware falsch identifiziert zu werden.

Zitat:
Zitat von Gooner85 Beitrag anzeigen
Nutzt man jedoch ein Open-Source-Projekt bzw. ein VNC-Programm, dass auch von Schadsoftware schon verwendet wurde, wird man von Haus aus erstmal ausgesperrt.
Dies hat mit Open-Source (ob als Begriff richtig verwendet oder in falscher Wikipedia-Weltsicht) nichts zu tun, sondern mit "das auch mit Schadsoftware verwendet wird". Du darfst dich also bei Script-Kiddies bedanken, nicht bei kommerziellen Softwareproduzenten.
Egal ob Open-Source oder Closed-Source, egal ob Freeware oder kommerzielle Software, ein Programm oder Programmteil welches für Malware benutzt wird, sollte unbedingt erst einmal gemeldet oder geblockt werden. Weder ein AV-Programm noch eine Desktop- oder gar echte Firewall kann ja die Intention erkennen oder den Kontext in dem (als Beispiel) VNC läuft. Alles andere würde ja die Malwarebekämpfungssoftware vollkommen unsinnig machen.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 16.03.2010, 10:49   #12
Gooner85
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Danke für die Auskunft und Information.
Dann wird dieses Problem also auf absehbare Zeit bestehn bleiben.

Ohne teure Zertifizierung heißt es dann also weiterhin, bei einem notwendigen Einsatz eines Fernwartungs-Tools, den Kunden anzurufen und mit ihm gemeinsam herauszufinden, wie man die entsprechenden Files in die Ausnameliste seiner Firewall aufnimmt

Wer nimmt diese Zertifizierungen eigentlich vor?

Alt 16.03.2010, 11:43   #13
Shadow
/// Mr. Schatten
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Noch einmal:
Ich weiß es nicht und ich bezweifle, dass da eine Zertifizierung möglich ist, die dein Teil (der VNC-Software) davor bewahrt von AV-Software, Desktop-Firewalls und echten (externen) Firewalls als mögliche Malware identifiziert zu werden.
Bei einer externen Firewall hilft eine Zertifizierung naturgemäß sowieso niemals und bei pc-interner Software wird eine Zertifizierung auch nur wenig helfen, denn du wirst eher nicht eine fremde Software (den VNC-Teil) so simple zertifizieren können bzw. sollen, er wäre ja austausch- und missbrauchbar.
//Ich will als Bösewicht deine als sauber zertifizierte vnchooks.dll-Kopie nutzen um AV-Software auszutricksen und schon ist dein Zertifikat ein Anzeichen für Malware - du müsstest also zu verhindern wissen, dass (ohne weiteres) deine dll-Version anderweitig einsetzbar ist. Kritisch wiederum bei Open-Source nach GNU/GPL/OSI/FSF oder sonstwie, wenn du die Nutzung faktisch unmöglich machen wolltest. //

Du magst aber als Entwickler mal bei den AV-Herstellern nachfragen, wie du dieses Problem umgehen kannst.
Ich halte aber auch eine einfache, bebilderte Anleitung wie ein potentieller Nutzer dies regeln kann für sinnvoll.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 16.03.2010, 14:22   #14
Gooner85
 
Signatur für Ursprung einer Datei? - Ausrufezeichen

Signatur für Ursprung einer Datei?



Danke Shadow, Du hast mir wirklich sehr geholfen.

Ich werde mal bei Kaspersky & Co nachfragen. Wenn's produktive Ergebnisse gibt, poste ich sie hier noch rein.

Greets
Gooner85

Alt 16.03.2010, 17:55   #15
Shadow
/// Mr. Schatten
 
Signatur für Ursprung einer Datei? - Standard

Signatur für Ursprung einer Datei?



Mich würden auch die unproduktiven Ergebnisse interessieren
Ganz im Ernst, es würde mich freuen, wenn du jegliche Antworten dem Forum oder mir "irgendwie" zukommen lassen könntest (natürlich ohne persönliche Daten u.ä.). Auch wir wollen lernen (und den nächsten Frager dann ausführlicher beraten zu können).
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Antwort

Themen zu Signatur für Ursprung einer Datei?
andere, benutzer, beschreiben, bewusst, datei, dll, erkennen, erstell, erstellt, frage, fragen, geblockt, gefährlich, hallo zusammen, help desk, installation, installiert, kunde, natürlich, nötig, programme, signatur, telefonieren, trojaner, vertrauenswürdige, vnchook.dll, würde, zusammen



Ähnliche Themen: Signatur für Ursprung einer Datei?


  1. Untersuchung einer EXE-Datei
    Plagegeister aller Art und deren Bekämpfung - 09.06.2015 (3)
  2. Chrome hat download einer Datei abgebrochen
    Plagegeister aller Art und deren Bekämpfung - 30.05.2015 (9)
  3. Download einer .scr Datei von saveimage.com
    Log-Analyse und Auswertung - 04.11.2014 (1)
  4. email mit einer fragwürdigen zip datei bekommen
    Alles rund um Windows - 10.07.2014 (7)
  5. Analyse einer Log Datei
    Log-Analyse und Auswertung - 01.01.2014 (7)
  6. Mahnung mit Anhang einer DOS Datei
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (2)
  7. Untersuchung einer Datei auf Malware
    Plagegeister aller Art und deren Bekämpfung - 10.03.2013 (1)
  8. Probleme mit einer Flash Player Datei
    Alles rund um Windows - 29.05.2012 (8)
  9. Öffnen und bearbeiten einer .exe Datei
    Diskussionsforum - 17.11.2010 (2)
  10. F-Secure meldet Trojanerbefall einer Datei
    Plagegeister aller Art und deren Bekämpfung - 08.11.2010 (6)
  11. Laptop such nach einer Datei
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (1)
  12. Porbleme mit einer VBS datei
    Log-Analyse und Auswertung - 12.02.2010 (1)
  13. NOD32 scannt bei einer .mp3 datei 2 dateien
    Antiviren-, Firewall- und andere Schutzprogramme - 19.06.2009 (0)
  14. virus total fünde bei einer datei
    Plagegeister aller Art und deren Bekämpfung - 08.10.2008 (1)
  15. Tool zum restlosen Schreddern einer Datei?
    Alles rund um Windows - 14.11.2007 (1)
  16. Original DVD zu einer einzigen .avi Datei umwandeln?
    Alles rund um Windows - 15.11.2006 (8)
  17. Habe TR auf pc in einer versteckten datei
    Log-Analyse und Auswertung - 21.11.2004 (1)

Zum Thema Signatur für Ursprung einer Datei? - Hallo zusammen, ich wollte mal fragen, ob es eine Möglichkeit gibt, einer Datei (z.B. eine DLL) eine Signatur mitzugeben, mit der andere Programme (z.B. Anti-Viren-Programme) erkennen können, welchen Ursprung sie - Signatur für Ursprung einer Datei?...
Archiv
Du betrachtest: Signatur für Ursprung einer Datei? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.