Spyware tarnt sich mit Root Kits/Streams |
||
---|---|---|
#0
| ||
24.06.2005, 01:13
MerlinX
zu Gast
|
||
|
||
24.06.2005, 10:19
Ehrenmitglied
Beiträge: 29434 |
#2
ja, das stimmt, es wird immer schwerer an die Rootkits zu kommen, ich weiss wovon ich spreche, aber es gibt inzwischen schon Moeglichkeiten, auch diese zu finden.
Allerdings ist es manchmal fuer den einfachen User sehr schwer zu verstehen, wenn ich ihm 5 oder 6 Erkennungstools zumute, nur um sehen zu koennen, wo sich der Ursprung der Verseuchung befindet. Das werden dann ellenlange Threads und erfordern vom User einiges PC-Wissen. Es ist nicht mehr wie frueher, wo man AdAware und Spybot empfahl und der Sache war erledigt. Zitat Zu jeder Datei können beliebig viele Unter-Streams gespeichert werden. In der Praxis heißt das, dass man jeder Datei beliebig viele andere Dateien zuweisen kann, die nicht sichtbar sind, aber - solange der Vorgang innerhalb von NTFS-Laufwerken stattfindet - zusammen mit der Datei verschoben und kopiert wird. Der Zugriff auf die versteckten Dateifragmente findet mit einem Doppelpunkt statt: beispiel.txt:meinedatei.txt kennzeichnet einen zu der Datei beispiel.txt gehörigen Datenstream namens meinedatei.txt aus. Neben Dateien können auch Ordner zusätzliche Datenströme beinhalten, was das Auffinden von ungewollten ADS erschwert. Zitat Sicherheit Zitat Dateiname:Stream-Name __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.06.2005, 13:38
Member
Beiträge: 669 |
#3
Sehr interessant, hat jemand von euch Informationen welche Anti-Viren-Hersteller schon ADS scannen und welche nicht?
Ich denke das wäre in Hinsicht auf solche Malware gut zu wissen (für die Zukunft, wenn vllt die aktuelle Lizenz ausläuft etc) __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
24.06.2005, 14:35
Member
Beiträge: 3306 |
#4
Steht in dem Heise-Artikel:
http://www.heise.de/security/artikel/52139/2 Wie so oft: Norton kann es nicht, alle Scanner mit Kaspersky Engine schon. Und wie gesagt das ist schon jahrelang bekannt __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
24.06.2005, 15:11
Member
Beiträge: 669 |
#5
Hoppla, den Link zu dem Heise Artikel hab ich ganz übersehen, vielen Dank asdrubael *g*
So wie's ausschaut können das mittlerweile ja doch fast alle gängigen, nur das Trend Micro es nicht kann hat mich etwas überrascht. Beim Norton hab ich gar nix anderes erwartet Bei Trend Micro scheint man sich aber durch etwas Fummelei helfen zu können: Zitat Die Gründe warum Trend Micro, NAV, BitDefender, F-Prot und die Virus Utilities den Virus nicht erkannten sind vielfältig. Bei Trend Micros Produkt muss der Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ TmFilter\Parameters\TrapHiddenDataStream in der Registry auf 1 stehen, um Ströme On-Demand zu durchsuchen -- aus Performance-Gründen ist das bislang standardmäßig ausgeschaltet. Zukünftige Versionen von TIS sollen immerhin ADS per Default On-Access durchsuchen.Das mit den Performance-Gründen versteh ich nicht, zur Not kann man ja eine Funktion in der GUI einbauen zum An- und Abschalten der Funktion (wie z.B. bei Computer Associates)? Denn Otto-Normal-User weiß sicher nicht wie er in der Registry rumfummeln muss nur weil er den maximalen Schutz aus seinem Scanner herauskitzeln möchte. __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 24.06.2005 um 15:15 Uhr von Malkesh editiert.
|
|
|
||
Eines der größten Ärgernisse von Internet-Nutzern ist die Spyware "Cool Web Search" (CWS), die sich bereits in der Vergangenheit immer wieder als nicht so leicht entfernbar erwiesen hat. Neuere Versionen von CWS enthalten nun Funktionen, die denen von Rootkits zumindest sehr ähnlich sind. Sie sollen verhindern, dass betroffene Anwender die Programmdateien finden, die ihren PC ausbremsen, den Bildschirm mit Pop-ups füllen und ihre Suchanfragen umleiten. Früheren CWS-Versionen waren relativ leicht zu finden, aber nur schwer zu entfernen. Dazu leistete das Programm " CWShredder " oft gute Dienste, das nach der Übernahme von Intermute ( wir berichteten ) nun bei Trend Micro zu finden ist.
Jetzt kommt auch noch eine Art Tarnkappe hinzu. Nach Angaben von Roger Thompson von Computer Associates nutzt CWS so genannte Alternate Data Streams (ADS) des Windows-Dateisystems NTFS, um Teile des Rootkits zu verbergen. Das bedeutet für den Anwender, dass die Dateien weder im Windows Explorer noch mit dem Kommandozeilenbefehl "dir" sichtbar sind. Sie werden von Anti-Spyware-Programmen oder Virenscannern nur gefunden, wenn diese auch mit ADS umgehen können.
Spezielle Rootkit-Detektoren wie der "Rootkit Revealer" von Sysinternals oder "Blacklight" von F-Secure sollen den versteckten Programmen ihre Tarnkappen entreißen. Letztlich setzt sich jedoch auch hier das altbekannte Katz-und-Maus-Spiel zwischen Malware-Programmierern und den "Guten" fort.
Gruß an alle User Merlinx