"Copycat" - neuer Firewall-Leaktest |
|
---|---|
28.05.2003, 14:20
Member
Beiträge: 813 |
|
|
|
28.05.2003, 20:15
Member
Beiträge: 890 |
#2
Wen wundert's wenn aus SSM in Zukunft Shareware wird
Nein,ich habe keine Kristallkugel , bloß das hier gelesen: > All existent versions of SSM 1.9.*, including 1.9.2 beta 2, will stop functioning on June 1, 2003. New version will work until December 1, 2003 < Gruß Ajax |
|
|
06.06.2003, 01:57
Member
Beiträge: 58 |
#3
da schreit Kaspersky aber schon beim Downloadversuch,
darf der das? Ich meine, ist ja eigentlich nur ein Leaktest. Könnt ihr mir sagen ob KAV jetzt nur diesen speziellen Leaktest erkennt, oder das Prinzip welches dahintersteht? Letzteres kann eigentlich ja nicht sein, oder etwa doch? Gruss Der Zatu |
|
|
06.06.2003, 16:49
Member
Themenstarter Beiträge: 813 |
#4
KAV erkennt nur den Leaktest, und nicht das Prinzip.
Find ich auch nicht so toll, weil nun viele User von Copycat abgeschreckt werden bzw. gar nicht wissen, wie man das Teil _trotz_ KAV überhaupt runterladen kann... Ich hoffe, du lässt dich nicht davon abschrecken. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 06.06.2003 um 16:49 Uhr von forge77 editiert.
|
|
|
06.06.2003, 20:26
Member
Beiträge: 58 |
#5
Nönönö, lass ich schon nicht
Das Ding ist nur, dass ich zur Zeit gar keine Firewall benutze. Daher bringt mir auch der Leaktest nix. Hat den schon jemand mit der neuen Outpost getestet? Das fänd ich mal interessant. Der Zatu |
|
|
06.06.2003, 20:58
Member
Themenstarter Beiträge: 813 |
#6
Outpost 2 hat gegen aktuelle Leaktests leider nicht sehr viel zu bieten. Die neue dll-Authentifizierung hilft zwar gegen ältere Tests wie Firehole oder pcAudit, aber gegen Copycat, Thermite und (teilweise) AWFT ist sie machtlos.
Im Moment ist wohl eine Kombi aus (einfacher) Firewall und SSM am wirksamsten gegen Leaks. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
07.06.2003, 02:06
Member
Beiträge: 233 |
#7
Also ich wollte es mir gerade runterladen aber er sagt mir, ich hätte nicht die erforderliche Berechtigung (oder so ähnlich).
Was hat das zu bedeuten ? Ist das ein Fehler auf der Seite oder liegt das an mir ? Wenns bei euch funktioniert ... hat jemand ne Ahnung warum es bei mir nicht klappt ? __________ Wenn jeder an sich selbst denkt, ist an alle gedacht. |
|
|
07.06.2003, 14:45
Member
Themenstarter Beiträge: 813 |
#8
Offenbar wurde eine leicht veränderte Version online gestellt, die (noch) nicht von AV-Scannern erkannt wird.
Bei mir klappt der Download - versuch es auch nochmal. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
08.06.2003, 10:43
Member
Beiträge: 890 |
#9
Tja,das mit dem Erkennen ist sachte ausgedrückt eher symbolisch.KAV hat zwar auch bei mir anfangs gemeckert,nach der Dateiumbenennung war's dann vorbei
Ich erwarte ja nicht vom KAV daß er mir Leaktests erkennt aber diese Art von Erkennung könnten sich die Leute von KAV ersparen.Sicherheit vorzutäuschen und Effekthascherei sollte KAV besser anderen überlassen die dafür bekannt sind (siehe forge's Seite über Scheinsicherheit) Habe aus Neugierde das Teil ausprobiert,ohne FW (spielt eh keine Rolle ob mit oder ohne ) Mit der Grundeinstellung passierte erstmals nichts als ich dann bestimmte PIDs eingab ging's aber. SSM ist zwar eine feine Sache aber wenn mal so ein ausgereiftes Teil in einer Software geschickt eingebunden ist so wird die Warnmeldung möglicherweise wenig nützen da der User im guten Glauben den Prozess erlauben wird Kann übrigens jemand die Meldung bestätigen daß alle SSM v.1.9.* bis 1.9.2beta2 inklusive nur bis 01.06.03 fuktionieren? Auf die Schnelle habe ich leider keinen DL-Link für eine ältere 1.9.* Version gefunden. Gruß Ajax |
|
|
08.06.2003, 13:48
Member
Themenstarter Beiträge: 813 |
#10
Zitat KAV hat zwar auch bei mir anfangs gemeckert,nach der Dateiumbenennung war's dann vorbeiEcht? Nee, also das kann ich nicht bestätigen. Ich hab hier inzwischen drei verschiedene Copycat-Versionen, von denen KAV aber grundsätzlich nur eine (die nicht mehr downloadbar ist) erkennt - egal unter welchem Namen (hätte mich auch _sehr_ gewundert... ) Zitat SSM ist zwar eine feine Sache aber wenn mal so ein ausgereiftes Teil in einer Software geschickt eingebunden ist so wird die Warnmeldung möglicherweise wenig nützen da der User im guten Glauben den Prozess erlauben wirdStimmt, wenn der User mit den Warnmeldungen einer 'Firewall' (egal ob Network- oder System-) nix anfangen kann, wird ihm dieses Schutztool eher wenig nützen, keine Frage. Allerdings sind die SSM-Warnmeldungen, die ein Leaktest wie Copycat provoziert, schon ziemlich signifikant, sprich: ein 'normales' Programm möchte i.d.R. keinen 'remote thread' in einem fremden Prozess erstellen oder öffnen... Mit der begrenzten Laufzeit von SSM hast du wohl recht. Die dezeit aktuelle Version ist imho bis Dezember lauffähig... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 08.06.2003 um 13:49 Uhr von forge77 editiert.
|
|
|
08.06.2003, 22:46
Member
Beiträge: 890 |
#11
@forge
"Nee, also das kann ich nicht bestätigen." Deine Aussage bezüglich KAV beruigt zwar aber ich kann mir nicht vorstellen warum das bei mir nicht so war.Danach habe ich KAV extra mit ein paar Viecher gefüttert aber da war alles ok. Den Test mit Copycat kann ich nicht wiederholen da ich das Teil gelöscht habe und die neue Version wird nicht erkannt.Sicherheitshalber hab ich KAV neu installiert. Copycat hab ich noch paarmal getestet und bin auf ein merkwürdiges Ergebnis gekommen. Na vielleicht bin ich wieder der einzige mit diesem Ergebnis : Copycat meldet ohne Internetverbindung > This file was d/l from http://mc.webm.ru/1.txt You may take a look at http://maxcomputing.narod.ru/ssme.html?lang=en now Also wie es Copycat schafft ohne Internetverbindung ein File downzuladen wird wohl ein Geheimnis bleiben Das einzige was es schafft war den Browser(wenn ich den PID eingebe) auf einen local port zu bemühen wo aber kein Dienst lauscht Bin sicher daß bei einer Standardkonfiguration alles klappen würde. Übrigens hat auch AWFT wohl aus ähnliche Gründe versagt.Thermite bemängelte daß kein Standardbrowser eingerichtet ist.Bin mal gespannt wann der erste Leaktest kommt der sämtliche Konfigurationsprobleme überlistet und zusätzlich nicht wie die meisten Trojaner eine aufallende Größe hat. |
|
|
09.06.2003, 00:17
Member
Themenstarter Beiträge: 813 |
#12
Zitat Na vielleicht bin ich wieder der einzige mit diesem Ergebnis :Zuerst wollte ich dich daran erinnern, die 'exploited.txt' von früheren Testdurchläufen auch wieder zu löschen ... bis mir eben gerade was ganz ähnliches aufgefallen ist ... (Test mit Opera als Standardbrowser): Nachdem ich Copycat einmal durchgelassen hatte, wurde beim nachfolgenden zweiten Versuch (ohne den Browser neu zu starten) die 'exploited.txt' auch dann 'platziert', wenn Opera keinen Internet-Zugriff hatte. Allerdings deutet sonst nichts auf irgendein geartetes Schummeln hin (Copycat kann definitiv Firewalls tunneln), weshalb ich denke, dass irgendeine Cache-Geschichte dahinter steckt. Darauf deutet z.B. auch hin, dass sich nach einem Copycat-Run in den 'Temporary Internet Files' (obwohl der IE nicht im Spiel ist!) ein Eintrag zu der 'exploited.txt'-URL befindet... Tja, wie gesagt: ganz ausgereift ist das Teil wirklich nicht... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 09.06.2003 um 00:18 Uhr von forge77 editiert.
|
|
|
09.06.2003, 12:22
Member
Beiträge: 890 |
#13
@forge77
Den Cache von Opera hatte ich zwar gelöscht an den IE habe ich aber nicht gedacht. Nun ist es mit dem Spuk von offline Downloads glaube ich zumindest vorbei Das Teil ist tatsächlich noch nicht ausgereift aber es funktioniert. Unabstellbare Windowsdienste bieten dabei gute Möglichkeiten Mit dieser Angelegenheit habe ich mir nach längerer Zeit SSM wieder angeschaut und war angenehm überrascht.(auch ein paar bekannte Namen gesehen ) Sooo einfach ist die Erkennung eines Schädlings doch nicht.Im Falle Cpycat warnt zwar SSM beim Starten,das eigentliche code injection wird aber dann nicht mehr wahrgenommen. Jedenfalls blieb bei mir SSM nach der Eingabe der PID und die darauffolgende Verbindung stumm. Habe den Eindruck daß code injection auch von SSM (noch) nicht richtig erkannt wird. |
|
|
09.06.2003, 12:48
Member
Themenstarter Beiträge: 813 |
#14
Jaaa, endlich eine Bestätigung!
Ich dachte, es läge wieder mal nur an meinem Rechner... frag mich nicht wieso, aber die neueste der drei Copycat-Versionen wird von SSM nicht richtig 'erkannt' (bei den anderen beiden kommt erwartungsgemäß eine 'NT_open_thread'-Warnung) - sprich: der Autor von SSM trickst sein eigenes Produkt aus! Sehr merkwürdig... mal sehen, ob er sich dazu bald äußert (z.B. im Wilders-Board) __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 09.06.2003 um 12:48 Uhr von forge77 editiert.
|
|
|
09.06.2003, 22:47
Member
Themenstarter Beiträge: 813 |
#15
So, Bug gefixt.
Bis eine neue Version von SSM bereitsteht, kann man die alte 'mchooknt.dll' mit der neuen überschreiben (SSM vorher beenden): http://mc.webm.ru/mchooknt.dll __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
Link: http://mc.webm.ru
Sein eigener SSM kann die von Copycat vorgestellte FWB-Methode dagegen blocken (wen wundert's... )
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?