|
bombinho, eines musst du hier noch lernen und das hat dir cosinus ja schon verdeutlicht: Freeware AV's ausser MSE bzw Windows Defender sind hier verpönnt, dürfen nicht empfohlen werden da kann cosinus ganz schön böse werden wenn man als User versucht hier im Forum ein anderes Freeware AV zu empfehlen ausser die AV's von Microspoft. Was man selbst für gute Erfahrungen mit einem Freeware AV über Jahre gemacht hat, das interessiert cosinus nicht. Gleiches was ich gerade geschrieben habe trifft auch noch auf ein paar andere User hier zu, cosinus ist nur ein Beispiel der sehr oft zu verstehen gibt was er von Freeware AV's hält die er nicht für empfehlenswert hält. Machs also wie ich: ab in die Ecke, dort kuschen und ja nicht bestimmten Usern hier widersprechen in solchen Dingen:eek::lach: |
Uebrigens kann man die Suchleiste, welche ohnehin nur fuer einige Browser ueberhaupt zur Verfuegung steht, auch in einem ansonsten unbenutzten Browser, welcher zum Zeitpunkt der Installation der Standardbrowser ist, installieren lassen und dann wechselt man wieder zu seinem normalen Browser. Ich nehme an, dass das nach wie vor funktioniert. purzelbaer ;) ist ein Charakterzug von mir, bis zum Gegenbeweis bleibe ich bei meiner Meinung. Und der ist aehnlich wie in der Win/iX Frage reine Geschmackssache. Ausserdem befinden wir uns hier im Diskussionsforum. Ergo Schade. |
bombinho, ich habe es aufgegeben mich mit cosinus und noch ein paar anderen Usern hier damit ewig lang rum zu streiten wegen den Freeware AV's:daumenhocFakt ist für mich ich bin seit Jahren zufrieden mit Avast Free oder AVG Free und was andere User dazu sagen, geht mir links am na du weißt schon:lach: vorbei. Aber zurück zu dennissteins: was meint ihr bzw du: wäre es für ihn einen Versuch wert wenn er seine Festplatte mal mit Diskpart überprüft und "Bereinigen" bzw löschen lässt? |
Aber selbstverstaendlich sehe ich die Notwendigkeit ein, dass cosinus sich an die ihm auferlegten Richtlinien als hier registrierter Freiwilliger halten muss. Privilegien kommen mit Verpflichtungen. |
Wenn kostenlos, dann Windows Defender bzw MSE. Aber doch nicht diese Junkware-Rotz :balla: |
Zitat:
Dann eher eine Windows- oder LiveCD/DVD. Stealthmalware faengt in aller Regel Laufwerkszugriffe ab und ersetzt sie mit Zugriffen auf die Originaldaten. Daher saehen MBR und Bootsektoren voellig normal aus vom System aus betrachtet. Ein Rootkit muesste das schon zwangsweise tun um ueberhaupt vernuenftig funktionieren zu koennen und nicht beim naechsten Schreibzugriff zerschossen zu werden. Ein Bootkit vom vermuteten Kaliber wuerde/muesste Hardwarezugriffe direkt abfangen und manipulieren. Also braeuchte es eigene NTFS Treiber und auch noch alle moeglichen in Linux machbaren Dateisysteme, da ist der CDFS-Treiber nur noch ein i-Tuepfelchen. |
Zitat:
|
Zitat:
Zitat:
Zitat:
|
Bei all den Faehigkeiten, die dennisstein vermutet, braucht es vermutlich schon eine eigene InstallationsDVD fuer das Bootkit. |
Zitat:
|
Zitat:
|
Wäre es nicht besser, hier nur die Bootkit-Diskussion weiterzuführen und die Linux/Windows-Diskussion in einen extra Thread zu verschieben? |
Zitat:
Zitat:
Zitat:
Nochmal zur Erinnerung, wir diskutieren hier ueber ein moegliches Bootkit, welches zusaetzlich multiple Betriebssysteme erfolgreich befaellt also wenn das keine Diskussion ueber die theoretische Machbarkeit ist, dann weiss ich es auch nicht. Bisher ist sowas noch nicht beim Heimanwender sichtbar geworden. Die Frage waere aber auch, wieso sollte es sichtbar werden (wollen). Wenn es sowas gibt, dann sollte man theoretisch moegliche Befallswege _nur_ via Analyse ausschliessen. Und nicht per Glaubensfrage. Der einzig moegliche Weg fuer ein solches Verhalten eines Bootkits waere, dass es von Profis erstellt wurde und von hochbegabten Amateuren zufaellig aufgefunden und an deren Anforderungen angepasst und dabei sichtbar geworden. |
Zitat:
Zitat:
|
Zitat:
|
Zitat:
Zitat:
|
Zitat:
|
Letztere meint er oder denkst du er würde nur ein gutes Haar an AVG, Avast oder Avira(das letztere benutze ich nicht)lassen? Vergiss es:pfeiff:Die sind alle 3 böse und nur das gut was er empfiehlt, das ist cosinus ungeschriebenes Gesetz:lach: hier und auch das manch anderer User hier bei TB. |
Ich spreche von Fakten, die gegen Avast, AVG und Avira sprechen. Wenn du die nicht kennst, dann lies es richtig, wenn du die ignorierst oder verharmlost wie ein Herr Kronos, dann sach ich nur willkommen im Fanboi Club. |
Zitat:
|
Und was ist mit den Fakten, die fuer Avast, AVG und Avira sprechen? Ich denke, wir sollten auf Fragerin hoeren und Glaubensfragen in der Gemeinde diskutieren. |
So, du meinst also es sei eine Glaubensfrage, ob es gut und richtig sei, in einem Sicherheitsprodukt absichtlich malware reinzubasteln? Erklär mir mal was es da zu diskutieren gibt. Eine Schutzsoftware soll schützen, nicht selbst die malware mitbringen. Wenn du diesen eklatanten Verstoß nicht kapierst, dann ist dir nicht zu helfen... |
Abgesehen von Glaubensfragen zum Bootkit. Aber es fehlt nach wie vor noch ein Aufhaenger / Ansatz von dem aus mal ein paar Schleier ueber dem vermuteten Schaedling gelueftet werden koennten. Cosinus, du als Malwarespezi wirst sicher kein Problem haben, mir mal schnell die Spezifikationen der in Avast, AVG und Avira real enthaltenen Schaedlinge zu umreissen? |
Ich hab dir extra nen Thread verlinkt. Und dagibt es viele ähnliche zu. Einfach mal lesen. Wir wollten nicht den 47. Thread über die Triple-A-Ka...e eröffnen... |
Witzigerweise hatte ich gerade Werbung fuer Avira Antivirus 2016 hier eingeblendet. Schon ein Stueck weit pervers. Fuer Geld geht es dann anscheinend doch ins Bett. Das Kreuz der Werbefinanzierten. |
du hast offensichtlich keine Ahnung davon, wie Werbung auf Webseiten genau funktioniert...darüber wurde in einem der vielen Threads über Triple-A auch schon gesprochen => http://www.trojaner-board.de/173557-...ml#post1539135 |
Wenn Du das sagst. Verlinken wird das auch nicht aendern. Das Geld kam trotzdem von Avira und wurde angenommen, ob da noch jemand dazwischen war oder nicht. Dann muesst ihr euch Werbeanbieter suchen, die keinen Vertrag mit Avira machen oder selbst Werbung vermarkten. Das ist am Ende als ob eine Kartenzahlung bei einer Prostituierten den Vorgang der Prostitution aufheben wuerde, da die Zahlung ja ueber eine serioese Bank lief. |
Freieillige Skeptiker vor Okay, so kommen wir ja nicht weiter. Das mir hier nicht geholfen werden kann ist okay, dafür ist das einfach die falsche Stelle. Aber da einige immmer noch der Meining sind, da ist nichts bei uns, folgender Vorschlag: Sucht euch den grössten und kompetentesten Skeptiker inter euch aus, von mir aus auch zwei. Denen schicke ich dann einen infizierzen Stick/Cd zu, die ihr dann auf einem System ausführen dürft. Bedingung: Das Ganze mit der Handycam Filmen, vom Öffnen der Post bis zum kopieren einiger Datein auf euren Rechner .Das Ganze hochladen und hier posten. Dann eine Woche regelmäßig Berichten,was passiert. Sollte doch überhaupt kein Problem sein, da es so eine Malware nach Meinung vieler nur im Labor gibt-höchstens. Wäre doch gar kein Ding und kostet den auserwählten Skeptiker 5 Min., Porto übernehme ich gerne! Warte auf zahlreiche Skeptiker! Von mir aus könnt ihr auch allen Schwachsinn an AV-Tool aktivieren und Fabar oder was auch immer x-mal laufen lassen. Vollkommen egal. Zudem steht mein Angebot noch mich in Berlin zu besuchen und das ganze vor Ort zu bestaunen. Eindach PM an mich. Könnte auch gerne eine AV-Tool-Sammlung mitbringrn und euch stindenlang hier auslassen -Caffee inkl. Danach dürft ihr hier dann gerne Berichten, ob solch ein von mir beschriebene Malware höchstens im Labor existiert und niemals Privatpersonen befällt. Bin auch gerne Kompromissbereit was die Bedingungen des Tests/Berichts angeht. Aber Ablenkungen und Ausreden helfen den Skeptikern jetzt nicht mehr weiter. Pragmatismus und Fakten sind angesagt |
Zitat:
Ansonsten wuerde ich bemaengeln, dass Du bisher noch nicht wirklich hilfreich warst, was aber auch einfach nur in dem Wust untergegangen sein kann. Ich wuerde trotzdem gerne mal einen Screenshot der Win-Nutzer sehen wollen. Eventuell auch mit Gruppenzugehoerigkeit. Hast Du den bereits mehrfach erwaehnten Bruteforce-Schutz unter Win eingerichtet? Ich persoenlich bevorzuge eine Sperrzeit von 3 Minuten und eine vernuenftige Anzahl an Versuchen. Das duerfte erfolgreiche Angriffe der simplen Art in den Bereich von vielen tausend Jahren befoerdern. Selbst ein Woerterbuchangriff wuerde noch eine einstellige Anzahl Jahre brauchen bei einem sehr einfachen Passwort. Vorausgesetzt der Angreifer kennt die Anzahl der eingestellten Versuche. Sonst kann er nur 1 Passwort alle 3+ Minuten probieren ansonsten schnappt der Schutz zu. Fuer Linux bin ich der falsche Ansprechpartner. Und strip das System erstmal auf das Minimum, wenn Du unbedingt bei diesem System bleiben willst. Aber wie bereits mehrfach erwaehnt, ein Ausbau der Platte waere der erste vernuenftige Schritt. Fuer Kaffee und Kuchen bin ich zu weit weg, sorry. Haette ich aber auch gerne in Anspruch genommen. AV Tools sind nur wenig geeignet bei einer unbekannten Infektion, da duerfen es schon Logger und Debugger sein. Wie reagiert das System auf VMs? Welcher Prozessor ist verbaut? Grafikkarte? Wie funktioniert das System bei minimalstem Speicherausbau? Fragen ueber Fragen... Aber fangen wir nochmal mit der ersten an, welche Nutzer sind im Win registriert? Wenn sich das Ding im Netz vermehrt, dann muss es ja einen Loader haben, welcher zumindestens kurzfristig irgendwo zur Ausfuehrung liegen muss. Und da bin ich wieder skeptisch, das Teil kann im Urzustand gar nicht alle Faehigkeiten zur Verfuegung haben. Die derzeit heftigsten Teile sind in Module aufgesplittet, welche verschluesselt vorliegen und erst bei einem definierten Zustand das Passwort aus dem Zustand generieren. Die aktivieren sich stufenweise. Und werden auch nicht unbedingt alle zur selben Zeit vom "Urlader" gleich geladen und aktiviert. Entspricht ein Rechner nicht haargenau der Zielgruppe, wird der Zustand nie erreicht und damit das Passwort nicht generiert. Der Zustand ist quasi das Passwort. Quasi vorstellbar wie ein Handy mit eingespeicherter Nummer. Wenn man das Handy nicht in die Hand gedrueckt bekommt, weiss man nicht wen und unter welcher Nummer man anrufen soll. Man kann zwar alle Telefone der Welt durchprobieren aber dann ist vermutlich der Gespraechspartner schon lange lange nicht mehr zu erreichen. Und man weiss nicht einmal, wenn man tatsaechlich den mysterioesen Gespraechspartner am anderen Ende hat, ob er es denn ueberhaupt ist. Soweit ich weiss, sind diese Dinger noch nicht vollstaendig entschluesselt worden also vorerst nur Datenklumpen. Im Uebrigen ist bei Vielen der hochentwickelten Schaedlinge eine Heuristik dabei, ob es sich in einer Testumgebung befindet. Dann bleiben sie inaktiv. Desweiteren sind Zeitverzoegerungen zur Vermeidung von Entdeckung sehr populaer. Alles in Allem passt die Beschreibung von dem was passiert in keine der ueblichen Kategorien. Aber die Italiener sind ja gehackt worden, da kann schon einiges freigesetzt worden sein. Ein neuaufgesetztes System ohne groessere Abwehrmasznahmen sieht auf jeden Fall nach einer Testumgebung aus. Mach doch mal den Test ob es dann ruhig bleibt. Hast Du ueberhaupt schon einengen koennen, wie genau es sich verbreitet (hat)? Netz / Datentraeger / (Hardware)? Ist Autostart fuer externe Datentraeger eingeschaltet? Hier kommt jetzt die Diskussion iX vs Win zum Tragen, wenn es keinen Hypervisor benutzt, muss es Linux auf eine herkoemmliche Art infizieren (nur wie?). Wie lange dauert es, bis ein Linuxsystem gekapert erscheint? Die selbe Frage waere natuerlich auch beim Win-System relevant. Handys wurden erwaehnt, sind die auch betroffen? Und wenn ja, in welcher Art und Weise? Wenn es reingekommen ist, wieso kommt es nicht raus? Etwas so hochentwickeltes und hochinfektioeses muesste doch schon laengst draussen unterwegs sein, unter anderem bei den beiden erwaehnten IT-Firmen, die sich das angeschaut haben. Wenn es aber Hypervisor-basiert ist, wie konnte dann eine hoehere Systemauslastung ohne Strommessgeraet festgestellt werden? Und vor allem, ohne das Wissen, wie Auslastung/ Verbrauch vor der Infektion waren?! Zitat:
Und die Beschreibung von dennisssteins vermuteten Schaedling und die FireEye Beschreibung von Nemesis haben fast nichts gemeinsam. |
@bombinho Den Link hatte ich schon in einen meiner ersten Post zum Thread gepostet....Es ist aussichtslos. Die meisten hier wollen auch gar nicht erst konzentriert lesen, sich auf etwas einlassen was sie nicht kennen, sich mit Bedrohungen auseinander setzten, die den eigenen Horizont/Verständnis sprengen oder darüber hinaus gehen. Das bestätigt auch mein Angebot: niemand der Skeptiker, die als erstes hier rein geschrieen haben "höchstens im Labor" usw. ist bereit sich ersthaft damit auseinanderzusetzen. Wundert mich schon sehr, einerseits existiert die Malware bei uns laut deren Ansicht gar nicht, andererseits wird ein direkter Kontakt, der vieles klären könnte per se vermieden. Passt hinten und vorne nicht. Und mit dem Argument Zeitverschwendung kann mir auch niemand kommen, die 5-10 Min. Lebenszeit... Verstehen kann ich es trotzdem, wäre mich vor diesem Problem ähnlich gegangen. @bombinho bekommst später eine PM, bezüglich deiner Fragen. Acker mal den Thread durch, da beantwortet sich schon einiges. |
Du hast nichtmal ein einziges Indiz für deine tolle Infektion gepostet. Deine tollen "Beweise" in Form von loop devices, unbekannten SIDs in der Benutzerverwaltung und so ne Art Stolpersteine durch die zig arktools auf die andere malwarecanner stoßen sind lächerlich. Meine Fragen wurden nicht wirklich beantwortet. Schraubers Hinweise willst du offensichtlich auch ignorieren. Aber fröhlich weiter ellenlang scheiß posten, den keiner angefordert hat. Entweder trollst du hier nur herum oder du hast ganz andere, persönliche Probleme... |
Hier hätten 90% der völlig überflüssigen Diskussionen um die Fähigkeiten von Rootkits gesparrt werden können, wenn man hin und wieder News der AV-Gemeinde verfolgt: Kleiner Ausschnitt: https://blog.gdata.de/2014/02/23822-uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln https://blog.gdata.de/2014/05/23812-uroburos-rootkit-belgisches-aussenministerium-befallen hxxp://www.pcworld.com/article/2948092/security/hacking-teams-malware-uses-uefi-rootkit-to-survive-os-reinstalls.html https://www.helpnetsecurity.com/2011/09/14/bios-rootkit-found-in-the-wild/ hxxp://resources.infosecinstitute.com/nsa-bios-backdoor-god-mode-malware-deitybounce/ DEB CON https://www.youtube.com/watch?v=QDSlWa9xQuA PAPERS https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPaper_EN_v1.pdf hxxp://www.intelsecurity.com/advanced-threat-research/content/AttackingHypervisorsViaFirmware_bhusa15_dc23.pdf Mein Tipp (v.a. an die Nachwuchs-Virenjäger): mal nach "Rutkowska" googeln. @Cosinus Sehr gerne würde ich Fragen beantworten, wenn der Thread nicht permanent von überflüssigen Diskussionen vollgespamt werden würde. |
Zitat:
|
Und wieder die alt bewährte Diskussion, welche noch sehr wenig mit dem Thema zu tun haben. purzel, dass was andere TB- Mitarbeiter ( Nicht User ) empfehlen, beruht auf unsere Erfahrung, Recherche und auch der persönlichen Meinung. Das du diese nicht verstehen willst, habe ich bereits verstanden. Hoffentlich verstehen das andere auch und jeder hier darf seine Meinung haben aber in wirklich jedem Thema, wo ich Beiträge von dir lese, kommt es zu dieser Diskussion mit immer dem selben "Inhalt" Bisschen Geschichtsunterricht ? Avira fing damals an, mit der ASK Toolbar potenzielle ungewollte, sogar von Research-Engineers als Malware eingestufe, Software einzubauen. Da kam in der ganzen Malware Removal Szene, als nicht nur TB sondern MSDN, BC, ... und weiteren MVPs eine riesige Diskussion zu Stande, ob wir diese Software noch als AVP empfehlen können. Und diese Diskussion beruhte auf Fakten und nunmal, dass wir das nicht so hinnehmen können. Avira hat das gespührt, wenn 1000ende(!) freiwillige Helfer diese Software nicht mehr empfehlen und wollte das dann mit der optionalen Nutzung des Browserschutzes, welche nur in Verbindung mit der ASK- Toolbar funzte, gerade biegen. Verkackt ist verkackt. Da jetzt viele weiter AVP Hersteller solch PUPs im peto haben, macht es für uns, bzw den Usern, nicht gerade einfacher. Da hat man all den Junk weg bekommen, installiert sich ein AVP von der Herstellerseite, welche man ja als vertrauenswürdig einstufen können sollte, hat man wieder Junk auf dem System. ( Komm mir jetzt nicht mit deinem Standardspruch, dass man das ja eh alles abwählen kann. ) Das muss man nicht verstehen aber alles kostet Geld und ich verurteile keine Software, welche das so macht. Was ich aber kann ist diese zu empfehlen oder aufgrund der Tatsachen lieber nicht. Vor einigen Jahren hab ich auch diese 3 empfohlen, und damals galt MSE als absoluter Müll. Das Blatt hat sich gewendet und sobald diese Adware-Kacke wieder aufhört, wird sich auch in unserer Welt wieder was ändern. Wir müssen am Stand der Dinge bleiben um das Niveau hier hoch zu halten. Also tu mir und dem ganzen Forum einen gefallen und lass es gut sein. Ich will dich nicht umstimmen sondern, dass du aufhörst über dieses Thema, in Threads die absolut nichts mit diesem Thema zu tun haben, zu diskutieren ! |
Bei mir faellt gerade MSE in Ungnade, da man sich nicht auf die Erkennung von Malware beschraenkt sondern auch Software und Inhalte blockiert, unabhaengig von der rechtlichen Lage am Aufenthaltsort des Anwenders. Es braucht nur ein "Rechteinhaber" zu schreien und schon bueckt sich MS ueber den Tisch. Es wird nicht einmal ueberprueft ob das rechtlich ueberhaupt korrekt ist. Erstmal blockieren, freigegeben werden kann dann immer noch. Mehr ist besser. Und dann hoere ich etwas von "false Alarms" dabei tut sich ausgerechnet Avira in dem Bereich sehr positiv hervor. Noch schlimmer aber ist das voellig unreflektierte Geschimpfe auf diese Firmen, welche zum Teil hervorragende Software und etliches davon kostenlos und ohne PUP anbieten. Die Virendatenbank von Avira ist fuer mich um einiges brauchbarer und wie ich bereits erwaehnt habe, befindet sich alles was mir bisher ueber den Weg gelaufen ist in dieser Datenbank auch wenn manches erst nachtraeglich. Am Ende ist es eine Entscheidung des Benutzers. Selbstverstaendlich duerft ihr empfehlen aber ihr solltet auch vorsichtig sein, den Nutzer nicht in die falsche Richtung zu schicken. Ihr bietet Kurse an um den Umgang mit der Software die ihr empfehlt, zu lernen. Seid ihr auch bereit, diese Kurse kostenlos jedem Anwender, der die von euch empfohlene Software benutzt und sich dann am Ende darauf auch noch im Alltag verlassen muss dass diese zuverlaessig, automatisch und weiterhin kostenlos funktioniert, in der selben Tiefe anzubieten? Und der Avira Browserschutz war bereits in den ersten Versionen, die ich gesehen hatte optional und es wurde sehr deutlich darauf hingewiesen, dass die Suchleiste bei Benutzung installiert wird. Ganz im Gegenteil, bei den ersten Versionen konnte man die Suchleiste nachtraeglich deaktivieren oder teils gar deinstallieren und der Browserschutz blieb erhalten. Wer anderes behauptet, dem sei gesagt, dass ich die kostenlosen Versionen von Avira seit vielen Jahren in temporaeren Installationen und VMs nutze und zahllose Installationen und Deinstallationen hinter mir habe und deshalb nicht leicht vom Gegenteil zu ueberzeugen bin. Und bitte, bitte nicht in einem Atemzug "Adware-Kacke" und "Wir müssen am Stand der Dinge bleiben um das Niveau hier hoch zu halten." Ganz besonders nicht, wenn ihr selbst werbefinanziert seid und ebenfalls automatisiert Werbung verteilt ohne diese vorher auf ihren Inhalt ueberprueft zu haben. Wer im Glashaus sitzt, ... . Malvertising ist nichts gaenzlich Unbekanntes. Da gab es schon schicke Sachen. |
Ich frage jetzt mal ganz blöd, wieso wurde noch nicht das Bios vom Mainboard neu installiert oder mal richtig zurückgesetzt? Tutorial zur Entfernung eines VBR Rootkits https://www.youtube.com/watch?v=YMjjoPWTaqw Zitat:
Wieso, wenn man eine wichtige Position inne hat, ist es durchaus möglich gezielt mit professioneller Schadware angriffen zu werden |
Zitat:
|
Zitat:
Nichts ist unmoeglich, wenn es maszgeschneidert wird aber dann muessten auch die Tastatur und die Maus ausgetauscht werden, denn die haben teils wesentlich mehr Speicher frei verfuegbar. Selbstverstaendlich kann man das machen, ganz besonders wenn eine neuere Version verfuegbar ist. Allerdings weiss man nicht, ohne den Schaedling zu kennen, wieviel Erfolg beschieden sein wird. Denn von innerhalb des infizierten Systems wuerde ja moeglicherweise das Bios gleich wieder kompromittiert. Und wie boote ich in einen Zustand vor dem Bios? Ah, ASUS Dual-Bios muesste jeder haben ... Desweiteren sollte man nicht unbedingt das Bios ohne Not flashen, ohne Dual-Bios kann das auch mal mit einem Neukauf enden. Selbst Hersteller empfehlen oft, das Bios nur zu flashen zur Fehlerbehebung. Ein EEPROM laesst sich nur im Stueck schreiben. Also muesste der Schaedling das BIOS auslesen, modifizieren und modifiziert inklusive korrekter Checksumme zurueckschreiben. Ein erfolgreich verbreiteter Schaedling muesste eine moeglichst vollstaendige BIOS-Datenbank mit allen moeglichen Versionen mitfuehren fuer alle moeglichen Mainboards. Okay, einige Interrupte sind einfacher zu kompromittieren als andere, aber dann muesste der Schaedling immerhin in der Lage sein, erfolgreich kleinere Codestuecke zu analysieren. Und das bei einer absolut minimalen Groesse. Wie wir heute wissen, eine Maus zu infizieren ist erfolgversprechender. Sollten sich solche Schaedlinge irgendwann doch durchsetzen, dann muessen die BIOS-Programmierer nur den freien Platz im ROM mit Zufallszahlen fuellen und der Schaedling waere ausserstande Platz zu finden. Lohnt sich nicht mehr denn dank UEFI sind zukuenftig neue Strategien gefragt. Zertifikate, Zertifikate, Zertifikatkollisionen. Zitat:
Auch Google-Tochter Youtube hat es schon erwischt. (Ganz zu schweigen von Disaster-doubleclick) Wenn diese ihre Werbung outsourcen oder anderweitig gehackt werden, dann ist Unfug nicht weit. Zitat:
|
Jetzt weiß ich auch warum eine Google Suchmaschinenfunktion in TB integriert ist:blabla: Wegen Avira: Avira arbeitet nicht mehr mit Ask zusammen falls man Avira Safe Search installieren würde, steht zwar noch so auf deren Webseite, aber ein Mitarbeiter von Avira hat heute in einem anderen Forum gepostet das Avira nun Yahoo als Partner hat: Zitat:
|
Um mal noch "kurz" meinen Senf dazuzugeben (Muss ich ja fast irgendwann mal bei einem Thread über Boot- bzw. Rootkits) - In einem oder mehreren Logs von dennissteins werden "Hooks" im Kernel angezeigt. Die Hooks auf dem 32-Bit Windows 7 sind zum Grossteil von Kaspersky. klif.sys biegt hier einiges auf sich um, damit dein AV informiert wird, wenn seltsames Verhalten im System auftritt (Behavior-based Analysis). Hooking ist hier in Ordnung, weil es für x86 keinen PatchGuard (KPP) gibt. Usermode-Hooking hängt mit Sandboxen (von vorgestern) und/oder mit Kompatibilitäts-Shims zusammen. Das APIset Schema von Windows 7?+ z.B. kann zu Meldungen von IAT- resp. EAT-Hooks in Rootkitscannern führen. - Hooking seitens Boot-/Rootkits ist absolut veraltet und untauglich. - Wenn ich ein Rootkit schreiben müsste, das auch nur annähernd so unentdeckbar sein soll, wie du es beschreibst, würde ich es als wiederentladenen Gerätetreiber tarnen, dessen Code per APC zur Laufzeit EINZIG und ALLEIN im Kernelspeicher umherhüpft. Eher NIEMALS würde ich unbekannte Benutzer anlegen, oder gar Systemaufrufe modifizieren. Abgesehen von der Sinnlosigkeit von Hooking und unbekannten Benutzern hat dein Rootkit sein primäres Ziel ganz deutlich verfehlt. Das primäre Ziel ist es, solange wie möglich ohne Notiz des Opfers die Maschine zu infiltrieren. Du hast das Bootkit aber "entdeckt". Wenn der Angreifer tatsächlich BIOS und UEFI patchen würde, würde er bestimmt keine Entdeckung wollen. Fazit, ich gehe kaum bis nicht davon aus, dass da in deinem PC oder Netzwerk irgendetwas 0.08 % Spezielles ist. @bombinho: Der grösste Sprung bzgl. Kernelveränderung ist für mich Windows 2003/XP zu Vista. Die ganzen Neuerungen wie Protected Media Path, UAC, Session-Isolation und neue Prozesserstellung mittels "NtCreateUserProcess" statt "NtCreateProcess(Ex)" beziehen sich nicht nur auf den Usermodus... Markant sind auch die Unterschiede von 32- und 64-Bit. PatchGuard, Treiber-Signierungszwang, x64-ABI und Neudesign von strukturierter Fehlerbehandlung (SEH). Mit Windows 10 wurde ausser DeviceGuard und weiteren HV-basierten Neuerungen nicht viel am Kernel verändert. Die Einführung des Metro-Designs hat ausser AppContainer nicht viel mit dem Kernel zu tun. Was hingegen stark überarbeitet wurde, ist der graphische Teil des Kernels. Neben tiefem (!) "Aufräumen" und "Ausmisten" des Codes gibt's jetzt statt nur einer "win32k.sys" gleich drei davon. Freundliche und bootkit-freie Grüsse! Microwave |
Zitat:
Zitat:
Zitat:
Nochmal: Es gibt Bootkits, ja Es gibt Rootktis, ja Gibt es sowas wie du es beschreibst > vielleicht Wo > nur im Labor oder bei Personen, die von Interesse sind Jetzt gehen wir mal davon aus du wärst US Präsident oder Trilliardär, und nicht jedem anderen Menschen, vor allem Malwareschreibern, scheiss egal, und du hättest so eine Malware: Glückwunsch. Bau das Board und die Platte mit allen Controllern aus, kannste dir einrahmen und hinhängen. Da kann kein Mensch helfen, und erst recht nicht über ein Forum, mit normalen Tools und Logs. Und weil wir das wissen, brauchen wir auch keine 10 Minuten Lebenszeit zu verschwenden. |
Zitat:
Ich guck mal ob ich das finde aber im Prinzip ging es darum, dass viele Aufrufe nichts im Kernel verloren haben und eine Ausfuehrung im Usermode voellig ausreichend ist. Dass der Umbau fuer die Software transparent bleiben sollte ist ziemlich klar aber es wurde Augenmerk darauf gelegt, was ueberhaupt zwingend im Kernelmode laufen muss, alles andere flog raus und darf sich jetzt im Usermode tummeln. Damit soll im Prinzip die Angriffsflaeche fuer Rechteausweitungen deutlich verschlankt werden bei moeglichst hoher Rueckwaertskompatibilitaet. |
Zitat:
Es reicht aus ein hoher Beamter, ein Ingenieure, ein Techniker bei einem sicherheitsrelevanten Unternehmen zu sein oder man ist ein Dschihadist. Ein Szenario: Max Mustermann hat nach der Schule eine Ausbildung bei Rheinmetall gemacht. Auf einer Messe trifft er die hübsche Asiatin Hanna. Hanna ist traurig:heulen:, ihr Laptop sei kaputt gegangen und sie müsse wichtige Dokumente nochmal bearbeiten und dann unbedingt drucken. Ganz verzaubert von Hanna steckt Max Mustermann den USB Stick von Hanna in den Firmenlaptop und öffnet die Dokumente. Drei Knutscher später:bussi: wählt sich Max Mustermann via VPN ins Interne Firmenetz ein |
MaxMustermann hat natürlich auch volle Adminrechte und weil man bei $bigCompany noch nie was von Gruppenrichtlinien und Security gehört hat gibt es auch keine aktiven Software Restriction Policies :crazy: |
Zitat:
Zitat:
So ganz nebenbei ist das hier aber ein vermutetes Bootkit, was erstmal nur auf Max Mustermanns Rechner haust, der MBR vom AD-Server ist in weiter Ferne. Moeglicherweise ist ueber das VPN aber gar nur ein Webinterface erreichbar. Also muss das Boot/Rootkit furchtbar leise sein, denn es weiss nicht, welche (Netzwerk)aktivitaeten ueberwacht werden. Es sollte sich am besten nur auf den lokalen Rechner beschraenken. Aber dann wird es mit dem Verbreiten bloed. Oder wir kommen wieder auf die maszgeschneiderte Loesung zurueck, aber da schliesst sich der Kreis wieder (Aufwand/Nutzen). Lohnt es sich, hunderte oder gar tausende von Mannstunden fuer ein paar Euro vom Paypalkonto und ein paar Dokumente eines Mitarbeiters, der keine streng ueberwachten Informationen bearbeitet, aufzuwenden? Wenn das so ist, dann tausche ich freiwillig meine Tabelle mit den Heizkosten gegen ein Exemplar solch ausgefeilter Malware. Schon aus Neugier. Ich lege auch noch freiwillig ein paar Screenshots drauf. Malware zu schreiben ist einfach, erfolgreiche Malware zu schreiben ist schon schwieriger, aber langfristig verbreitete Malware zu schreiben ist ein Vollzeit-Job. Denn es ist ziemlich ungewoehnlich, dass sich ein Impressum in der Malware befindet, wo dann auch Supportadressen zu finden sind, falls die Malware mal nicht wie erwartet funktioniert. Ob man Dschihadisten mit Cyberwaffen ausstatten sollte, bleibt fraglich. |
Joar, das kommt noch hinzu. Selbst wenn Max über VPN drin ist ist die Frage was die malware denn nun da machen soll ohne aufzufallen. Mal abgesehen davon, dass die liebe Hanna ja nur "normale" malware auf das Notebook gebracht hat und keine magic malware wie DennisSteins die |
Zitat:
|
@dennissteins Ich habe nochmal deine Posts angeschaut, mein dringlichster Rat ist, nicht mehr als Administrator zu arbeiten ausser es ist notwendig, wenn Du Adminrechte brauchst, dann nutze einfach "Ausfuehren als". Manchmal ist der Umweg ueber einen Rechtsklick auf das Symbol in der Taskleiste notwendig aber es ist fast alles machbar. Zum anderen wuerde ich mal Sysinternals ProcessExplorer benutzen. Mark Russinovich hat eine tolle Anleitung (auf Englisch) in https://www.youtube.com/watch?v=Wuy_Pm3KaV8&ebc . Genial ist die Moeglichkeit, die Signaturen ueberpruefen zu lassen und in der Uebersicht anzeigen zu lassen. Ebenfalls genial finde ich die Farbcodes. |
Process Hacker >> Process Explorer (imho) Grüsse - Microwave |
@Microwave, Cool, habe ich schon seit Jahren nicht mehr angeschaut, hat sich zu einem netten Spielzeug entwickelt. |
Yep, und ist dank seines fähigen Kerneltreibers auch nicht zimperlich mit bockigen Prozessen :) Ich weiss nicht, ob das normal ist, aber bei mir läuft das Ding immer aus irgend einem Grund rund um die Uhr =P Grüsse - Microwave |
Link zum Registry eines infizierten Win10-Systems: RegHODeskWin10INFECT.reg 109.799 MB hxxp://www.fileconvoy.com/dfl.php?id=gf38c360ed38aef779998097211b9ff11d9189c982 Überneme keine Haftung für mögliche Schäden die durch den Download entstehen. Kopie wurde mit Regedit unter Win erstellt. |
Wenn das nicht gerade die Registry von einer zu diesem Zweck erstellten VM ist, dann enthaelt eine Registry sehr viele private Daten und sollte unter keinem Umstand veroeffentlicht und verbreitet werden. Ich finde schon die Flut an privaten Daten, die hier im Forum fuer jedermann einsehbar ist aeusserst genzwertig. |
Wie bereits in einigen Posts zuvor erwähnt, nutzen wir seid 6 Monaten keinen einzigen Account/Passwort oder sonstige privaten Daten mehr über infizierte Systeme. Alle Daten die ich hier von den Systemen veröffentliche sind für Untetsuchungszwecke angelegte Accounts, egal ob MS Bebutzerkonten, Google Konten, AV-Konten oder IP-Daten... Das einzigste mit was ansatzweise als "relevant" eizustufen wäre, sind die Zugangsdaten zu diesem Account, da ich mich über infizierte Systeme darüber einlogge... Aber selbst das ist irrelevant,weil ich eifach einen neuen erstellen könnte und die hier geposteten daten auf 3 unterschiedlichen clouds verschlüsselt gesichert sind Folglich darf die Registry vollumfänglich analysiert und ohne Zurückhaltung durchsucht werden.... Sollte die kritischen Nachwuchs-Vierenjägen mit den Daten überfordert sein -wovon man mit Blick auf die vergangenen Beiträfe ausgehen muss- , empfehle ich einen Registry-Vergleich mit einem sauberen Win10-System nach Neuinstallation. |
Dürfen wir deine IP-Adressen und den daraus resultierenden Adressen den örtlichen Krankenhäusern mitteilen? Nur für den Fall der Fälle. |
aber hallo, zumal ich beteits mind 2 mal erwähnt habe -unabhängig von veröffentlichten daten- das wir in berlin wohnen und der veröffentlichte auszug mehrere wochen alt ist, die ip aber alle 24 std wechselt.. aber das weist du ja alles. zudem hast du als mod sowiso meine aktuelle ip, guck mal genau in deinen überarbeitsungsbereich... Hier nochmals ein bischen nichts aussagender Dünschüss vom aktuellen System: sysinternals via WSCC logonSessions.exe Code: [CONSOLE] 14.04.2016 01:00:21 - C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe startedCode: [CONSOLE] 14.04.2016 01:25:27 - C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe started |
Berlin ja, aber genaue Adresse? :D |
HIHO Leute von Heute, Mal Ganz ehrlich da hat einer ein Problem und dann sowas....wenn man sowas ließt....könnt man echt denken....das hier die beiden die regelmäßig antworten so nette leute von heute sind die seulch lustigen spaß fabraktizieren und mit charme u melone dezent auf kann ja nicht sein....was?trojaner???was ist den das?nee nee sowas gibts doch garnicht das ist....nein mal im ernst ich habe mir nicht alles angeschauen und sind echt eventl übertrieben viele logs etc usw und sofort aber das was ich "überfliegen" konnte....hm......wenn ich jetzt ein wenig dumm wäre was ich nicht bin..dann könnte ich dummer weise denken leute die helfen können auch nicht helfen -auf deutsch:leute die so lustige bits u bytes u codes in die welt setzen = leute die vermeindlich lustige bits u bytes u codes "bekämpfen" u nebenbei verleugnen.....ein wenig weit her ich weiß.....aber mal ehrlich....auch wenn der jenige der hier mit logs um sich "schmeißt" hat nicht ganz unrecht.....leider....u möglich wäre es das er sich das sich in die heimischen laufwerke gehollt hat...aber da ich ja "dumm" bin kann ich das natürlich nicht einschätzen. Hab vor jedem Respekt der hier sich die mühe macht u helfen tut auch von allen Proganoisten in diesem Threat....sorry aber....man könnte echt fast denken was man halt so denken könnte. jetzt könnt ihr gern noch meine Gramatische belächeln oder auch nicht :) Fakt ist doch aber das hier jemand ein problem hat was durchaus eins ist.und da ist nichts gegen zu sagen. Mit Freundlichen Grüßen Main Neme |
Ich musste den Text jetzt 5 mal lesen..... Ich geh aber nur auf eines ein: Zitat:
Wir haben uns lediglich erdreistet zu erwähnen, dass die Chance dass ein normaler Bürger so was bekommt ungefähr so hoch ist wie: 2mal direkt hintereinander einen 6er im Lotto zu haben, und beim Einlösen der Scheine vom LKW überfahren zu werden. Aber ok, gehen wir einfach mal davon aus es ist so, ändert es nichts an der Kernaussage: WIR, ONLINE, mit irgendwelchen TOOLS und LOGFILES von irgendwelchen TOOLS, werden da nie, never, niemals in diesem Leben einen echten BEWEIS finden und sehen, geschweige denn irgendwas dagegen machen können. Ist das endlich mal bei jedem angekommen? Und wenn der TO noch 200 Logs postet, ändert sich NULL. So eine Infektion (wenn überhaupt vorhanden) wird NIEMALS durch so ein Tool 100 % NACHWEISBAR erkannt werden. Und NIEMALS auch entfernt werden können. Und kein theoretisch möglicher Eingriff durch uns oder den TO selbst, physisch vor dem Rechner, wird die Situation je ändern. Also gibt es hier 2 Optionen: 1) endlich mal lesen und das Gegebene hin nehmen > Thread zu machen 2) weiter wild Logs posten die nix bringen, und weiter erwähnen dass es nix bringt > das wird ein verdammt langer Thread..... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board