Entschärft PFW einen KeyLog-Trojaner?

#1 Ich habe vor kurzem ein exe-File analysiert und festgestellt, daß es den "KeyLog-Briss"-Tojaner (McAfee Bezeichnung) enthält. Hätte ich das File ausgeführt, so wären (lt. McAfee) alle Tastendrücke aufgezeichnet worden und an einen Remote-PC gesendet worden. So was wäre natürlich fatal wenn man Passwörter eingibt, gerade eine Bezahlung per Kreditkarte abwickelt, etc.

Jetzt meine Frage:
Würde eine Personal-Firewall so einen Sendeversuch prinzipiell verhindern bzw. zumindest melden?

Ich würden eventuell ZoneAlarm bei mir installieren (oder eine andere PFW, falls ZoneAlarm damit nicht zurechtkommen würde).

Danke im voraus für eure Antworten.

#2 Nein natürlich würde die Firewall das nicht blocken dafür wurde ja der Trojaner sozusagen entwickelt...
En tip.. Vergiss Zonealarm (Kinderspielzeug).. Nimm entweder Kerio oder Norton welche allerdings auch nicht dein Problem lösen denn der Trojaner ist nun mal schon auf deinenm System.. Geh auf die symantec website und mach den Viruscheck..

#3 So ich das verstehe, hast du (hodi) bis jetzt keine Firewall auf deinem System!?
Ich denke mal, dass ZoneAlarm genauso wie Kerio, Norton und die meisten anderen Application Firewalls, die Verbindung nicht ohne entsprechende Regel zugelassen hätte.
Ich denke du kannst ohne Bedenken ZoneAlarm einsetzten. Hatte ich selber Jahre lang am Laufen gehabt.

Am Besten ist es immer einen Virenscanner (Damit nichts aufs System kommt) und eine Firewall (damit sich keine Verbindung unerlaubt öffnet) zusammen am laufen zu haben.

Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#4 Vorweg: Mein System ist nicht infiziert - war ja nur eine hypothetische Frage. Und Virenscanner habe ich auch laufen.

Da habe ich ja wieder zwei gegensätzliche Meinungen (jetzt auch mal unabhängig von den einzelnen bevorzugten FWs).

@uds:
Ich hatte bis jetzt noch keine PFW installiert und habe gerade (weil gratis) probeweise ZoneAlarm installiert. Anfangs fragte ZoneAlarm bei jedem Programm nach, ob es eine Internet-Verbindung dafür zulassen soll. Nachdem ich so ZoneAlarm mit den erlaubten und nichterlaubten Zugriffen konfiguriert hatte war im großen und ganzen Ruhe.
Darum auch meine Frage: Wenn ich jetzt den obengenanten Schädling starte (ich glaube das Programm hieß a.exe), würde dann nicht ZoneAlarm melden (wie vorher bei allen "guten" Anwendungen auch), daß a.exe einen Internet-Zugriff versuche - den ich natürlich ablehnen würde?
Soweit ich Spike20 verstanden habe, meint er, daß sich die Firewall melden würde.

#5

Zitat

Würde eine Personal-Firewall so einen Sendeversuch prinzipiell verhindern bzw. zumindest melden?

Das kommt auf die Firewall und die Funktionsweise des Keyloggers an.
Leider konnte ich aus den Beschreibungen des Schädlings nicht rausfinden, ob er versucht, Firewalls zu umgehen oder auf "herkömmliche Art" seine Verbindungen aufbaut. Aber selbst falls er versucht, Firewalls zu umgehen, heißt das noch nicht viel, denn viele aktuelle Firewalls sind recht resistent gegen viele "Umgehungs-Methoden".
ZoneAlarm z.B. (und vermutlich auch Norton und Kerio) würde mit großer Wahrscheinlichkeit irgendeine Warnmeldung ausgeben.

Von daher liegt die Wahrheit wohl irgendwo in der Mitte zwischen den beiden o.g. Aussagen von uds und Spike20...

Zitat

Vergiss Zonealarm (Kinderspielzeug)

Was genau veranlasst dich zu dieser Aussage? Die mangelnden Konfigurationsmöglichkeiten?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#6 Thx für eure Antworten!

Vielleicht kann mir wer, der sich mit ZA auskennt, noch folgendes beantworten:
Ich habe gesehen, daß man bei ZA Pro noch benutzerdefinierte Firewall-Einstellungen machen kann, u.a. bestimmte Ports freigeben. Ich verstehe nicht was das bringt, da ZA ja für jedes Programm einzeln bestimmt, was erlaubt ist und was nicht.

Folgendes Beispiel:
Ich habe die Ports 20 und 21 für FTP explizit freigegeben. Als ich mein FTP-Programm aufrief fragte ZA (obwohl ich vorher die Ports dafür freigegeben hatte), ob dieses Programm Zugriff haben darf. Wenn ich ablehne kann ich (trotz vorher freigegebener Ports) keine FTP-Verbindung aufbauen. Was bringt also die benutzerdefinierte Portfreigabe bei ZA?


P.S.:
Ich habe testweise die Ports 1-65535 freigegeben und dann mein FTP-Programm aufgerufen. Klappte auch nur wenn ich Zugriff erlaubte.

#7 Kannst du die genaue, vollständige ZoneAlarm-Meldung hier mal posten?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#8 Folgende Programmwarnung wird ausgegeben:
CuteFTP versucht auf das Internet zuzugreifen, Anwendung: cuteftp32.exe, Ziel-IP:195.34.133.14:DNS


Ich habe jetzt noch ausprobiert was passiert, wenn ich ALLES zulasse. D.h. ich habe bei den benutzerdefinierten Firewall-Einstellungen, unter "Sicherheit für Internetzone" ÜBERALL (genauer gesagt bei den "Zulassen"-Punkten) ein Hakerl gemacht und auch die Ports 1-65535 freigegeben. D.h. der PC sollte so offen sein, wie wenn ich keine Firewall hätte.
Trotzdem fragt mich ZA (egal bei welchem Programm), daß das Programm Internetzugriff verlangt und ob ich es zulasse.
Warum? Wenn ohnehin alles offen ist...

#9 Hm, bei dem Verbindungsversuch von CuteFTP handelt es sich ja um eine DNS-Abfrage, also Namensauflösung, und noch nicht um die eigentliche FTP-Verbindung.
Vielleicht wird bei ZoneAlarm der DNS-Verkehr separat von den sonstigen Programmregeln reglementiert? Hast du auch UDP-Verkehr freigegeben?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 Es liegt ja nicht am CuteFTP oder auch nicht an der DNS-Abfrage. Das habe ich ja auch gedacht, daß vielleicht noch andere Ports benutzt werden.
Darum habe ich ja auch, wie oben geschrieben, mal alles was geht angehakt bzw. aufgemacht. Unter anderem ist ja auch der Punkt "Zulassen abgehendes DNS" dabei. Aber auch dann wurde (auch bei allen anderen Programmen, z.B. Mailprogramm) nachgefragt.

Damit du mich richtig verstehst:
Diese Programmwarnungen kommen ja nur, wenn ich die Programme nicht in der Programmliste eintrage und den Internetzugriff erlaube.
Ich wollte eben nur wissen, ob es bei ZA geht, daß ich generell bestimmte Ports freigebe, ohne daß ich die Programme, die diese Ports benutzen, freigebe. Wenn das eben nicht gehen sollte, dann verstehe ich die benutzerdefinierten Einstellungsmöglichkeiten nicht. Denn diese suggerieren eben, daß es gehen sollte.

#11 Nein, geht nicht. ZA ist eine programmorientierte Firewall. Das heißt es erstellt für jedes Programm, welches ins Itnernet möchte eine eigen Regel. Egal, welche Ports du freigegeben hast. Das verhindert, das irgendwelche Schädlingsprogramm unerlaubt sich ins Internet verbinden.

Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#12 Aha - das habe ich mir eigentlich eh gedacht.
Nur wofür gibt es dann eine Menge an benutzerdefinierten Firewall-Einstellungen, wenn diese nicht gelten ?!? Bzw. wofür gelten sie?
Z.B. gibt es da u.a.:
Zulassen abgehendes DNS (UDP-Port 53)
Zulassen abgehendes DHCP (UDP-Port 67)
Zulassen eingehender Ping-Befehl
Zulassen eingehende/abgehende UDP/TCP Ports (wobei ich die Ports angeben kann) <--- !!! Wofür ????
etc.

#13 Hm... keine Ahnung. ZA Pro kenne ich nicht. Was steht denn in der Beschreibung?
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#14 Dort steht auch, daß ich damit "nicht von einem berechtigtem Programm verwendete Ports" sperren (bei mittlerer Sicherheitsstufe) bzw. zulassen (bei hoher Sicherheitsstufe) kann.

Weiters steht dort:

Zitat

Aktivieren Sie das daneben stehende Kontrollkästchen, um einen bestimmten Port oder ein spezifisches Protokoll zu blockieren oder zuzulassen.
ACHTUNG:Beachten Sie, dass Sie mit der Auswahl eines Datenstromtyps in der hohen Sicherheitsstufenliste diesem Datenstrom ERMÖGLICHEN, bei hoher Sicherheitsstufe in Ihren Computer einzudringen. Damit reduzieren Sie den Schutz, der durch die "hohe" Sicherheitsstufe gewährt wird. Andererseits SPERREN Sie mit Auswahl eines Datenstromtyps in der mittleren Sicherheitsstufenliste den entsprechenden Datenstrom und erhöhen damit den Schutz, der durch die "Mittlere" Sicherheitsstufe gewährt wird.

Naja, werde mich dann sowieso von der Pro-Version nach dem Testzeitraum verabschieden müssen. Und in der Freeware-Version gibts das glaub ich ohnehin nicht.
Aber falls sich wer mit ZAPro gut auskennt und die Antwort weiß, würde ich mich über eine Erklärung freuen.

Danke für die bisherigen Antworten,
Hodi