Sony schützt seine Rechte - Per Rootkit!

#0
25.11.2005, 12:20
Member
Avatar Gool

Beiträge: 4730
#31 Würde das bedeuten, ich müsste auch erst etwas installieren, um die CD unter Linux abspielen zu können? Kann ich mir eigentlich nicht vorstellen...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
25.11.2005, 19:17
Member

Beiträge: 337
#32 Wenn man so einen Mist garnicht erst kauft, verdient so eine Firma auch nichts und wird das ruckzuck wieder einstellen. Die Konsequenzen (Imageverlust, Schadensersatzklagen, etc.) muss sie dann halt auch tragen können.
Was für Folgen so eine Aktion haben kann, sollte sich doch jede Firma vorher überlegen. Sony ist eine riesige Firma, die kann das zunächst einmal leicht wegstecken. Bei Wiederholung einer solchen Aktion kann das aber ganz leicht in's Auge gehen. Bei zunehmendem Verlust an Kunden geht auch die größte Firma irgendwann ein.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...
Seitenanfang Seitenende
12.12.2005, 11:49
Member

Themenstarter

Beiträge: 19
#33 Das Thema is zwar schon ein bischen ausgelutscht, aber es gibt immer noch neue Facetten. Jetzt hat SONY ein Removal-Tool herausgebracht, das erwiesenermaßen garnichts entfernt, warnt aber zugleich vor Tools wie BOClean, die das Zeug wirklich wegmachen:

http://www.dslreports.com/forum/remark,14817570~start=40#14983999

Orpheus

Zitat

reply to sonybmg
Based upon your challenge to *MY* honor with your post, I made it a point to test and examine your claim as to this "removal tool's functionality" and as a result, I am *compelled* by your comments to reply. I am greatly dishonored.

We took a pristine "lab rat" and installed the Van Zant album, "Get right with the man" once again. After installation was completed, we then applied the "complete removal" tool liked to in YOUR reply. And, after applying our own internal BOClean monitoring lab tools, we then followed the instructions to reboot.

IMMEDIATELY upon a reboot, after your "program" had completed its "removal" of the rootkit (we did not bother to opt for "removal of the cloaking" but rather opted for COMPLETE removal as claimed) BOClean INSTANTLY detected the existence of "SONYXCP" TROJAN (CDPROXYSERV.EXE) as SOON as the machine was rebooted, purportedly following COMPLETE removal. Repeated second detection occurred, whereupon it was removed.

*ALL* of the other files detected by BOClean remained, as well as ALL of the registry entries described in my written "Handyperson's guide to removal of SONY rootkit" REMAIN valid, and the alleged "removal" program offered by SONY/BMG is an absolute *LIE* ... your "removal tool" *FAILS* to remove the offending trojan.

For those who have our software, the reality remains that any claims that the official SONY removal tool is preferable to the use of BOClean or the manual removal steps we outlined, PARTICULARLY our insistence that if you are uncomfortable with registry editing, to LEAVE the "$sys$crater" and "$sys$cor" entries alone as they have no meaning unless your rootkit remains functional are *BOGUS* with respect to this so-called "removal tool."

It DOES NOT remove your rootkit, in fact it leaves it *COMPLETELY* operable.

BOClean HAS (since the summer of 2004) defeated this madness and defecation on people's computers. We are not ABOUT to remove detection and defeating of your trojan, particularly after this "dishonor" to my former employer's spirit.

PERMISSION GRANTED to post this to other sites regarding this nonsense.
--
Kevin McAleavey support@nsclean.com (Makers of BOClean - BOClean means never having to do an HJT log again)»www.nsclean.com
Seitenanfang Seitenende
12.12.2005, 12:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34

Zitat

Jetzt hat SONY ein Removal-Tool herausgebracht, das erwiesenermaßen garnichts entfernt, warnt aber zugleich vor Tools wie BOClean, die das Zeug wirklich wegmachen:
die Geschichte nimmt immer neue Dimensionen an....und DAS haette ich nun nicht erwartet.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2005, 23:04
Member

Beiträge: 39
#35 Dummdreist ist ja schon langsam kein Ausdruck mehr für das was sich SONY da als Firma von Weltrang leistet!

Wie auch immer... nachdem BOClean mutig voran gegangen ist, hat sich als erster großer AV-Hersteller nun auch Kaspersky an ein Removal Tool für den Sony Rootkit herangewagt. Hier ist es: ftp://downloads1.kaspersky-labs.com/utils/klsonycl/

Maxtor


P.S.: Warum spricht dieser McAleavey eigentlich von BOClean neuerdings als seinem "former employer"?

Zitat

particularly after this "dishonor" to my former employer's spirit.
Sein mutiges vorgehen wird ihn doch hoffentlich nicht den Job gekostet haben.
Seitenanfang Seitenende
13.12.2005, 11:42
Member
Avatar Ajax

Beiträge: 890
#36

Zitat

Sabina postete
eine Frage noch dazu: wenn nun der Rootkit entfernt wird, kann man dann dennoch die CDs abspielen und auch kopieren, oder wird mit der Entfernung auch die Software, die zum Abspielen berechtigt.... geloescht?
Man kann den Rootkit entfernen ohne damit den Kopierschutz aufzuheben. Die CD bleibt sowohl kopiergeschützt als auch abspielbar. Der Rootkit hat bloß die Funktion versteckte Verbindungen zu bestimmte (über 500 verschiedene) Server aufzunehmen und (Kopierschutz)Dateien unsichtbar zu machen.

Inzwischen wurde der XCP-Kopierschutz auf mehr als 47 unterschiedlichen CDs gesichtet - auch Tochterunternehmen von Sony BMG haben das Rootkit im Einsatz.

Es muß nicht immer XCP oder von Sony sein.

Sonys peinlicher Kopierschutz auch in Deutschland

Zum Nachdenken:

Zitat

What do you think of your antivirus company, the one that didn't notice Sony's rootkit as it infected half a million computers? And this isn't one of those lightning-fast internet worms; this one has been spreading since mid-2004. Because it spread through infected CDs, not through internet connections, they didn't notice? This is exactly the kind of thing we're paying those companies to detect -- especially because the rootkit was phoning home.
But much worse than not detecting it before Russinovich's discovery was the deafening silence that followed. When a new piece of malware is found, security companies fall over themselves to clean our computers and inoculate our networks. Not in this case.
The only thing that makes this rootkit legitimate is that a multinational corporation put it on your computer, not a criminal organization.
Who are the security companies really working for?
Schon mal nachgedacht welche verseuchte CDs ihr euren Lieben unter den Tannenbaum legen werdet? ;)

Gruß
Ajax
Dieser Beitrag wurde am 13.12.2005 um 11:45 Uhr von Ajax editiert.
Seitenanfang Seitenende
14.12.2005, 00:34
Member

Beiträge: 39
#37 Ajax,
mein Freund, ist Deine Quelle vielleicht das hier?: http://forum.kaspersky.com/index.php?showtopic=5767&view=findpost&p=38713

Gepostet am 17.11.2005 von 'Mele20' im Kaspersky Beta Forum. Das und mehr haben wir Beta-Tester denen um die Ohren gehauen.

Am 22.11.2005 hat McAleavey dann gepostet, daß BOClean das ganze SONY-Mistzeugs wegmacht: http://forum.kaspersky.com/index.php?showtopic=5767&view=findpost&p=40003

Als jemand von der Konkurrenz. Und Kaspersky hat das toleriert. Muß man denen irgendwie auch zugute halten.

Mein Statement vom 19.11.2005 dort ('bugbuster') gilt auch weiterhin:

Zitat

I tell you who I'm gonna boycott this christmas: SONY. Santa-Claus is not going to pick up any parcels for my family that have a SONY-label on them, this christmas. No electronic devices, no music, no nothing! There are enough alternatives. And unless they really change course, the same will go for next christmas.
Wir haben dann noch weiter auf die eingeprügelt... und dann, am 09.12.2005 gab es endlich das Removal-Tool von Kaspersky. Schwache Show. Aber wenigstens überhaupt eine.

Ich meine: BitDefender, McAfee, Norton, etc., wo seid ihr??

OK, ich weiß schon... immer auf der sicheren Seite.

Maxtor


P.S.: Falls BOClean wirklich McAleavey als Bauernopfer dargebracht hätte... zum kotzen. Aber denkbar.
Seitenanfang Seitenende
14.12.2005, 12:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 ich kann mir vorstellen, dass es fuer die Antiviren-Entwickler kein leichtes Ding ist, in diesem Fall eine Entscheidung zu treffen.
Es ist doch wahrhaft schon ein juristisches Problem, mit der Frage: was darf sich ein Weltkonzern erlauben und was nicht.
Die Antivirenentwickler trifft meiner Meinung nach keine Schuld ...sie haben den Mist doch nicht verbockt.
Und wenn man den Rootkit entfernt, bleibt immer noch das Problem mit dem Kopierschutz.

Dazu kommt, dass viele keine Ahnung von dem Rootkit haben, und die CD aus dem Geschenkpapier ausgewickelt wird und direkt auf dem PC abgespielt. Man hoert Musik...was fuer ein Rootkit ??? Der Normaluser versteht davon nichts.
Er wird bestimmt nicht das Removal-Tool von Kaspersky suchen und anwenden.....

Man kann nur sagen: keine CDs kaufen, welche diesen Kopierschutz haben und punkt.
Dann wird sich Sony ueberlegen, ob es an dieser Sache festhaelt oder nicht.

Was McAleavey betrifft, so redet hier Insider kryptisch.... ;) Ich verstehe nichts.....wieso ist er Job usw. losgeworden und wieso das Bauernopfer ????
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.12.2005, 20:02
Member
Avatar Ajax

Beiträge: 890
#39 @Maxtor
Nein Max, ich habe zwar das KAV-Forum in meine Lesezeichen, doch habe ich schon ewig lange dort nicht mehr mitgelesen ;)

@Sabina

Zitat

Sabina postete
ich kann mir vorstellen, dass es fuer die Antiviren-Entwickler kein leichtes Ding ist, in diesem Fall eine Entscheidung zu treffen.
Solange der Schutz der Kundschaft eher eine untergeordnete Rolle bei den AV-Herstellern spielt, ist es verständlich daß die Entscheidung schwer fällt.
Der installierte Rootkit öffnet eine riesige Sicherheitslücke im BS. Außerdem werden heimlich Verbindungen zu fremde Server aufgenommen und Daten übermittelt.
All dies geschieht ohne Einwilligung und Wissen des Anwenders.(Siehe die EULA)
Nicht zuletzt funktioniert der Kopierschutz auch ohne Rootkit.

Zitat

Sabina posteteEs ist doch wahrhaft schon ein juristisches Problem, mit der Frage: was darf sich ein Weltkonzern erlauben und was nicht.
Die richtige Fragestellung wäre m.E. in diesem Falle eine andere.
Stehen Weltkonzerne über das geltende Recht???

Zitat

Sabina posteteDie Antivirenentwickler trifft meiner Meinung nach keine Schuld ...sie haben den Mist doch nicht verbockt.
Es ist deine persönliche Meinung die ich zwar respektiere aber nicht teilen kann.
"Sie haben den Mist doch nicht selber verbockt" soll etwa heißen, sie haben den Rootkit nicht selber programmiert und verbreitet? Tun sie es etwa mit anderer Malware??

Zitat

Sabina posteteUnd wenn man den Rootkit entfernt, bleibt immer noch das Problem mit dem Kopierschutz.
Welches Problem? Ein Produkt mit Kopierschutz zu versehen und entsprechend zu kennzeichnen ist doch das gute Recht eines jeden Herstellers.

Zitat

Sabina posteteDazu kommt, dass viele keine Ahnung von dem Rootkit haben, und die CD aus dem Geschenkpapier ausgewickelt wird und direkt auf dem PC abgespielt. Man hoert Musik...was fuer ein Rootkit ??? Der Normaluser versteht davon nichts.
Hat denn der unbedarfte User eine Ahnung von andere Rootkits oder sonstiger Malware die von seinen AV erkannt wird?
Ist denn nicht der einzige Sinn eines AV ihn vor solche Sachen zu schützen oder wenigstens zu warnen?? Falls dies nicht der Sinn ist, welcher anderer denn sonst??

Zitat

Sabina posteteEr wird bestimmt nicht das Removal-Tool von Kaspersky suchen und anwenden.....
Er bräuchte auch von dem Removal-Tool auch nichts wissen.
Sein AV, falls er eins installiert hat, müsste diesen Job erledigen. Darum geht es ja!

Zitat

Sabina posteteMan kann nur sagen: keine CDs kaufen, welche diesen Kopierschutz haben und punkt.
Persönlich würde ich auch von kopergeschützte CDs abraten, welche nicht diesen Kopierschutz haben. Siehe hier.

Gruß
Ajax
Seitenanfang Seitenende
14.12.2005, 23:16
Member

Beiträge: 686
#40 Die neue C'T nimmt den SONY-Rootkit zum Anlass, in ihrer neuesten Ausgabe über Rootkits zu informieren. Leider wird der Artikel nicht im Netz veröffentlicht, sodass ihr hier mit meiner Zusammenfassung vorlieb nehmen müsst.

Nach der Einleitung mit der SONY-Geschichte berichtet die C'T über eigene Tests, inwieweit die bekannten Antivirenhersteller (15 getestet) den Rootkit von Sony erkennen und beseitigen können. Zunächst wurde festgestellt:
"War das Rootkit aktiv, entdeckte bei einem On-Demand-Scan des Systems kein einziges [der Antiviren-Programme] mehr die unter der Tarnkappe versteckten Testviren..."
Nur Antivir, Norton, McAfee und PC-cillin haben den Rootkit überhaupt beim Scan erkannt.Und weiter heißt es: "Noch schlimmer wurde es, als wir den Ernstfall testeten, also mit einfachsten Methoden das SONY BMG-Rootkit einsetzten, um einen Rechner mit einem bekannten Schädling zu infizieren: Im Schutz des Rootkits entpackte und startete dabei ein Skript einen Optix-Server." [Das ist ein Backdoor, der üblicherweise erkannt wird]. "Doch bei installiertem Rootkit konnten lediglich fünf der 15 getesteten Virenwächter die Infektion...verhindern."
Im Anschluss wird die Funktionsweise verschiedener Rootkits im Prinzip erklärt und man fragt natürlich, wie man sich schützen kann. Insbesondere werden einige Tools erwähnt und kommentiert:
Rootkit Revealer ; Beschreibung und download hier
Hook Analyzer hier
Ice Sword hier . Vielversprechend, aber nur für Experten. Allerdings stammt das Tool von einem unbekannten chinesischen Autor. Da ohne Quellcode, rät die C'T zur Vorsicht.

Insgesamt kommt die Redaktion zu dem Schluss, dass keines der getesteten Tools einen Rootkit mit Sicherheit erkennen könne. Deshalb rät man auch dazu, nach einem Befall besser das System neu aufzusetzen, da man nie genau wisse, was für Hintertüren diese komplexen Schädlinge sonst noch eingebaut hätten.
[Zitate aus: C'T Nr.26/2005, "Tarnkappen", S186-188]

Meine Meinung dazu: Der alte Wettlauf geht mal wieder in eine neue Runde. Was im Zahlungsverkehr die Geldfälscher sind, die immer besser gemachte Fuffziger in den Umlauf bringen, worauf der Staat wieder mit "unfälschbaren" Banknoten reagiert usw usw, das waren und sind in der Computerbranche die Mails mit den immer raffinierter werdenden Anhängen. Diese Welle scheint mir bald abzuebben, da ja allmählich auch dem dümmsten User dämmert, wie man mit Anhängen umgeht. Nun rollt langsam die neue Welle der Rootkits an, und die Bösen werden sich neue Verbreitungsmethoden ausdenken, um die Guten auszutricksen. Die Kits werden intelligenter werden und es kann für Interessierte spannend werden zu beobachten, ob die Antivirenbranche mithalten kann. Sony hat mit seinem Kopierschutzkit nach meiner Meinung nur einen Fehler gemacht, die Reaktion hätte ein Profi doch voraussehen können. Der Imageschaden ist doch wahrscheinlich jetzt schon höher als der beabsichtigte Gewinn aus dem Kopierschutz. Sony hat hat aber auch was Gutes getan: Hat einer Menge Leute die Augen geöffnet, wie gefährlich eine neue Generation von Schädlingen werden kann. Denn die reale Gefahr geht nicht von Sony aus, sondern von den Sobers, Netskys und Sassers, die getarnt daherkommen.

Also in die Hände gespuckt und ran an die Arbeit. Beschäftigen wir uns hier im Forum mit den Rootkits und warnen und helfen wir den Geschädigten.

Gruß Reinhart
Seitenanfang Seitenende
15.12.2005, 01:25
Member
Avatar Ajax

Beiträge: 890
#41

Zitat

rherder posteteDie neue C'T nimmt den SONY-Rootkit zum Anlass, in ihrer neuesten Ausgabe über Rootkits zu informieren. Leider wird der Artikel nicht im Netz veröffentlicht, sodass ihr hier mit meiner Zusammenfassung vorlieb nehmen müsst.
Die Nichtveröffentlichung dieses Artikels im Netz könnte man kaum als Verlust bezeichnen.
Immerhin wäre es lustig gewesen zu lesen was der Schreiber von C'T von sich gibt.
Anderseits ist der Humor von C'T auch nicht so toll, also werde ich mir die Kröten sparen.

Zitat

rherder postete"War das Rootkit aktiv, entdeckte bei einem On-Demand-Scan des Systems kein einziges [der Antiviren-Programme] mehr die unter der Tarnkappe versteckten Testviren..."
Logisch, wie denn auch?

Zitat

rherder posteteIm Schutz des Rootkits entpackte und startete dabei ein Skript einen Optix-Server."
Also lediglich das Skript der Optix entpackte(.RAR, .ZIP, ...) und startete wurde getarnt?
Das klingt nach einen schwachsinnigen Test.
Ob durch einen getarnten oder ungetarnten Skript Optix gestartet wird macht keinen großen Unterschied. Er sollte so oder so erkannt werden. Wenn er nicht erkannt wird so spricht das für einen AV daß nur mangelhaften Schutz bietet.

Zitat

rherder postete"Doch bei installiertem Rootkit konnten lediglich fünf der 15 getesteten Virenwächter die Infektion...verhindern."
Beim manuellen Starten von Optix (ohne versteckten Skript) wären es auch diese 15 gewesen.
Soweit spielt die Existenz des Rootkits keine Rolle.
Entweder hat C'T selber diesen Unfug geschrieben oder Du hast etwas falsch verstanden.
Ich weiß nicht ob KAV auch unter die Testkandidaten war.
Ich kann dir aber sagen daß fast ausschließlich alle Kandidaten Optix durch Signatur erkannt haben. Hätte man Optix mit einen weniger bekannten Packer gepackt(Laufzeitkomprimierung) dann wären es wahrscheinlich nur maximal 2 AVs gewesen die Optix rechtzeitig erkannt hätten.
Wie gesagt, mit oder ohne installierten Rootkit spielt dabei keine Rolle.

Zitat

rherder posteteIm Anschluss wird die Funktionsweise verschiedener Rootkits im Prinzip erklärt und man fragt natürlich, wie man sich schützen kann.
Gab es da auch einen vernünftigen Ratschlag?
Vermutlich nicht, denn es ist doch toll für das Geschäft wenn ein jeder DAU mit Rootrechte am PC sitzt. Dabei könnte man so über 90% aller Infektionen mit Malware verhindern.

Zitat

rherder posteteInsgesamt kommt die Redaktion zu dem Schluss, dass keines der getesteten Tools einen Rootkit mit Sicherheit erkennen könne.
Zu diesem Erkenntnis ist man schon gekommen als die ersten(Linuxwelt) Rootkits gebastelt wurden und das ist schon sehr lange her.

Zitat

rherder posteteNun rollt langsam die neue Welle der Rootkits an, und die Bösen werden sich neue Verbreitungsmethoden ausdenken, um die Guten auszutricksen.
Rootkits sind wie gesagt schon lange im Umlauf. Die Epidemie wurde aber nicht von böse Hacker oder Scriptkiddies ausgelöst sondern von einen etablierten multinationalen Konzern.

Zitat

rherder posteteSony hat hat aber auch was Gutes getan: Hat einer Menge Leute die Augen geöffnet, wie gefährlich eine neue Generation von Schädlingen werden kann. Denn die reale Gefahr geht nicht von Sony aus, sondern von den Sobers, Netskys und Sassers, die getarnt daherkommen.
Da irrst Du gewaltig.
Die eigentliche Gefahr geht jetzt von multinationale Komnzerne aus die in ihrer Profitgier auch vor kriminelle Handlungen nicht zurückschrecken. Warum auch, wenn sie Politik und Gesetzgebung ihrer Länder bestimmen. Genauso ist es mit Spyware der neuesten Generation. Programmiert werden sie im Auftrag großer Konzerne die sie dann auch einsetzen.
Ob das Zeug Rootkit oder Spyware heißt wird in Zukunft davon abhängen wer es einsetzt.
Tun es die Konzerne dann wird es halt daraus legale Software welche den Konsum ankurbelt und somit den Wohlstand(der Vorstände) garantiert.

Zitat

rherder posteteAlso in die Hände gespuckt und ran an die Arbeit. Beschäftigen wir uns hier im Forum mit den Rootkits und warnen und helfen wir den Geschädigten.
Keine bange. Dieses Problem soll in Zukunft eleganter gelöst werden.
Der Chipsatz wird das Rootkit schon implementiert haben. Natürlich den Guten ;)

Gruß
Ajax
Dieser Beitrag wurde am 15.12.2005 um 01:29 Uhr von Ajax editiert.
Seitenanfang Seitenende
15.12.2005, 01:33
Member

Beiträge: 39
#42 @Sabina

Zitat

Was McAleavey betrifft, so redet hier Insider kryptisch.... Ich verstehe nichts.....wieso ist er Job usw. losgeworden und wieso das Bauernopfer ????
Insider? Danke für's Kompliment, falls es echt gemeint war. Ich gehe da mehr wie ein "Profiler" vor. Also: früher hat McAleavey über sich und BOClean immer in der ersten Person Plural gesprochen. Erst letztens rutschte ihm plötzlich ein "former employer" raus. Weiter: bereits hier deutete er juristische Schwierigkeiten mit der Veröffentlichung eines kostenlosen Removal_Tools an:
http://www.dslreports.com/forum/remark,14802823

Zitat

But what *I* am angered about is that we can't give away our solution to this for FREE because that would legally expose us. THAT upsets me to no end given that I've already written
the code. And we're going to be forced to BURN it.
Dann hat er's aber doch getan (s.o.)... als "Do-it-yourself"-Anleitung. Neben Mark Russinovich war McAleavey damit Sony's zweitgrößter Feind geworden. Ich hab' dann erst mal darauf hin gewirkt, daß das möglichst schnell auf möglichst viele Server verteilt wird, damit es unkillbar wird. (Unter anderem auch auf Euren.)

Das hat aber wohl nicht gereicht. :-( Neuerdings ist BOClean also der "former Employer". Und McAleavey befleißigt sich einer Sprache gegenüber Sony, die kein Mensch verwenden könnte, der noch einen Job hat. Zumal unter echtem Namen. Und schon zweimal nicht, wenn er mit diesem Namen immer noch eine Firma vertreten würde.

Kostproben: "Madness": Wahnsinn, "Defacation into...": Schei... in...

Die Frauen sind doch angeblich das einfühlsamere Geschlecht. Also - zweite Chance: worauf könnte all dies hindeuten?

Maxtor


P.S.: Ich habe vier Jahre in den USA gearbeitet. Streit kann entstehen... und durch ein Telefongespräch auf höchster Ebene beigelegt werden. Wenn der Kopf von so einem kleinen McAleavey das Problem ist - dann gibt es kein Problem. VERSTANDEN???
Seitenanfang Seitenende
15.12.2005, 02:54
Member

Beiträge: 145
#43 Tatsächlich habe ich bis Heute noch nie etwas von Rootkits gehört um so erschreckender war alles das, was ich in den letzten Stunden rund um diese Dinger herausgefunden habe.

einige Fragen sind jedoch noch offen geblieben:
1.: Es handelt sich hier ja nun offensichtlich um ein kernel-rootkit. Kann sich dieses erfrischende Stück Software auch in meinem Windows-System einnisten, wenn ich nicht über administrative Berechtigungen verfüge? Wie will es ohne diese einen Filtertreiber installieren?
2.: Linux: Meines Erachtens dürfte dieses Tool unter Linux nicht funktionieren, denn die Filtertreiber sind nunmal für einen Windows-Kernel geschrieben?!

Dann möchte ich noch ein paar Links anbringen:
CTsec zu Rootkits generell (06.2003): http://www.heise.de/security/artikel/38057/0
CT zu Mark Russinovichs RootkitRevealer: http://www.heise.de/security/artikel/58158/0

Aus beiden Artikeln folgere ich, dass es zwar mit ein bisschen Erfahrung keine Schwierigkeit ist LAUFENDE Rootkits zu entdecken, es bleiben jedoch einige schwierige Probleme:
- was machen, wenn Freund Rootkit eben gerade mal nicht läuft?
- Rootkit gefunden!! Und jetzt? Es erscheint mir so als ob man jedes mal ein extra Tool, Reboots, etc. benötigt um den Driss los zu werden. Das ist nichts für den Laien. Zitat maxtor:

Zitat

Liest sich wie die Entschärfungsanleitung zu einer High-Tech-Bombe.
- überhaupt wird der Laie, welcher schon mit seinem HiJackThis Log überfordert ist, so einen Rootkit erst garnicht finden.
Ich sehe im Moment auch keine Chance einem laufenden System einen Weg beizubringen Rkits aufzudecken, welche diesen in der nächsten Version nicht einfach wieder Ars..*patsch* können.
Der einzige gangbare Weg erscheint mir ein klassischer Scanner, welcher von einem anderen System gestartet wird und das Zielsystem im ausgeschalteten Zustand scannt.
Was zu der Frage führt, was man dann mit einem Server machen soll, aber mit dieser Frage will ich mich als Anwender hier nicht weiter belasten.

Und noch ein paar Meinungen frei nach dem Motto: "Es ist zwar schon alles gesagt, aber noch nicht von allen".
@antivirenhersteller: diese Leute halte ich für absolut verantwortlich!! Die werden dafür bezahlt unsere Rechner von gefährlicher Software frei zu halten und nicht um Musik-cds abzuspielen.
Wenn die bösartigen Code nur Herr werden können, indem sie das abspielen einer cd ebenfalls unmöglich machen, dann haben sie das gefälligst in Kauf zu nehmen. Sekundär ist es, dem aufgeklärten user eine Möglichkeit zu schaffen den bösartigen Code doch auszuführen um so die cd abzuspielen. Primär müsste es aber erst einmal "auf Teufel komm raus" verhindert werden!!!

Und jetzt? Was ist die Moral aus der Geschicht?
Wenn ich bisher noch niemandem dazu geraten habe Musik aus dem Internet zu laden, trotz aller bisherigen Kopieschutzsysteme, so muss ich das doch nun in Erwägung ziehen. Schliesslich kann ich niemandem mehr sagen: "Kauf deine Musik im Laden, dort hast du keine Probleme mit Viren, etc." Ich gebe zu: Diese Erkentniss ist nicht neu, wie asdrubael bereits bemerkte.

Noch schlimmer finde ich jedoch, dass entgegen der mehrfach geäusserten Meinung, dass diese Geschichte Sonys Image schwächen wird, Sony kaum schaden nehmen wird. Es ist den meisten Menschen doch total egal, was mit ihren Daten passiert. Wer achtet denn schon darauf, seinen Rechner sauber zu halten. Die meisten Leute sagen doch "Ja, der Rechner wird eben mit der Zeit langsamer, da Hilft es ihn alle drei Monate zu formatieren." Wir wissen alle, dass diese Unbelehrbaren nach einer Woche wieder Spyware in Mengen auf ihren Rechnern haben.
Jetz würde mich das nicht stören, wenn Sie eine Minderheit wären, aber das sind sie nicht!!
Sie werden weiter Sony CDs kaufen. Sie werden DRM mit M$Vista akzeptieren und sie werden auch weiter Mainboards und CPUs kaufen, wenn die ersten TCPA, wasweissichnichtwas-Chips eingebaut werden. Hauptsache das neue M$ ist schön bunt und die Grafikkarte bringt mir den neuesten Shooter mit Pixelshader-120fachantialiasing-hyperkantenglättung Funktion ins Wohnzimmer.
Im besten Fall fragen Sie sich im Nachhinein: "Huch, das habe ich aber nicht gewollt."
Es ist mit Lebensmittelskandalen doch auch nicht anders: Großes Geschreie wenn mal wieder Wurst von Gestern verkauft wurde, aber Morgen wird wieder nach den billigsten Lebensmitteln gefahndet.
Beim Verbraucherschutz gibt es auch in Europa noch längst kein vorsorgendes Denken. Probleme werden gelöst, aber die Ursachen werden nicht bekämpft. Bis Europa begreift, dass Vorsorge auch beim Datenschutz besser ist, wird es wohl so lange dauern, wie die Amerikaner brauchen werden um Vorsorge im Zusammenhang mit dem Klimawandel zu akzeptieren.

so, ich entschuldige mich bei allen die meinen literarischen erguss bis hierhin ertragen mussten.
Seitenanfang Seitenende
15.12.2005, 13:02
Member

Beiträge: 686
#44 @Ajax:
bissige Kommentare zu einem Artikel abdrücken, von dem du nur die Zusammenfassung kennst, ist ziemlich einfach. Eine sachliche Analyse aber erfordert halt ein genaues Studium der Quelle. Also: Entweder du beschaffst dir das Orginal oder du versuchst deine Vorurteile bei der Bildzeitung unterzubringen.
Die wird das aber aus politischen Gründen nicht drucken ;)

Zitat

Da irrst Du gewaltig.
Die eigentliche Gefahr geht jetzt von multinationale Komnzerne aus die in ihrer Profitgier auch vor kriminelle Handlungen nicht zurückschrecken. Warum auch, wenn sie Politik und Gesetzgebung ihrer Länder bestimmen. Genauso ist es mit Spyware der neuesten Generation. Programmiert werden sie im Auftrag großer Konzerne die sie dann auch einsetzen.
Beweise, Ajax?
Außerdem (gähn): Die Geschichte mit den profitgierigen Konzernen kennen wir ja schon zur Genüge, ist geschenkt.
Und wir können ja gerne mal sehen, ob es Material zu der Frage gibt, welche Viren bzw. Schädlinge bisher mehr volkswirtschaftlichen Schaden angerichtet haben: Die von den privaten Hackern, Scriptkiddies und Co. oder die von den Konzernen, wie du offenbar meinst. Ich glaube, die Frage ist eher rhetorisch. Aber halt, man könnte natürlich Windows als Spyware und überhaupt als größten Schädling aller Computerzeiten bezeichnen; so hättest du dann natürlich recht.
Seitenanfang Seitenende
15.12.2005, 19:55
Member
Avatar Ajax

Beiträge: 890
#45

Zitat

Maxtor postetefrüher hat McAleavey über sich und BOClean immer in der ersten Person Plural gesprochen. Erst letztens rutschte ihm plötzlich ein "former employer" raus. Weiter: bereits hier deutete er juristische Schwierigkeiten mit der Veröffentlichung eines kostenlosen Removal_Tools an:
http://www.dslreports.com/forum/remark,14802823
Soweit mir bekannt, ist BOClean ein Projekt von McAleavey daß er zusammen mit seiner Frau Nancy(deswegen in der ersten Person Plural) betreibt. Ich gehe davon aus daß der "former employer" nichts mit BOClean zu tun hat.
Er hatte bloß juristische Bedenken was eine als Freeware ins Netz gestelltes Reinigungstool anbelangt. Im Falle seiner Shareware(BOClean) hatte er diese Bedenken nicht!
Übrigens sei bemerkt daß bevor sich McAleavey über dieses Thema erstmals öffentlich äußerte, schon eine Anleitung zum Entfernen des Rootkits im Netz kursierte.

@jmk

1. Es ist möglich.
Circumventing Group Policy as a Limited User
2. Richtig

Zitat

jmk posteteAus beiden Artikeln folgere ich, dass es zwar mit ein bisschen Erfahrung keine Schwierigkeit ist LAUFENDE Rootkits zu entdecken,...
Das ist ein Trugschluss da ein Rootkit auch Teile des Kernels ersetzen könnte ;)
Analysetools auf dem bereits infizierten Rechner würden in diesem Fall nichts bringen.

Zitat

rherder posteteEine sachliche Analyse aber erfordert halt ein genaues Studium der Quelle.
Das Niveau der C'T kenne ich. Nie selber gekauft aber schon öfter bei Freunden durchgeblättert.

Zitat

rherder posteteEntweder du beschaffst dir das Orginal oder du versuchst deine Vorurteile bei der Bildzeitung unterzubringen.
Ich gehe davon aus daß Du die Quelle zitiert hast.
Ja, ich liebe die BZ! Wirklich empfehlenswert, vorausgesetzt man liest parallel auch da mit ;)

Zitat

rherder posteteBeweise, Ajax?
Ist das Beweis genug für dich?
Der bislang erfolgreichste Rootkit aller Zeiten.
More than half a million networks, including military and government sites, were likely infected by copy-restriction software distributed by Sony on a handful of its CDs, according to a statistical analysis of domain servers conducted by a well-respected security researcher and confirmed by independent experts Tuesday.
Rootkits sind nicht neu aber ihr Verbreitungsgrad war nie eine ernste Gefahr.
Sony hat bewiesen daß ein finanzstarker Konzern mit genügend krimineller Energie dies schnell ändern kann.

Oder vielleicht das?
Investors Supporting Spyware
How Yahoo Funds Spyware
How Expedia Funds Spyware
How Affiliate Programs Fund Spyware
More on Google's Role
Dell's Spyware Puzzle
Man könnte die Liste beliebig ausweiten wobei es nur die Spitze des Eisbergs ist.

Spyware würde ohne Nachfrage und Finanzierung sogut wie nicht existieren.
Die Nachfrage kommt seitens der Wirtschaft, die Finanzierung übrigens auch ;)

Gruß
Ajax
Dieser Beitrag wurde am 15.12.2005 um 19:58 Uhr von Ajax editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: