ATTENTION: mdm.exe

#1 Bin ein bisschen herumgesurft, und aufeinmal merk ich das meine Firewalls dauernd eine "mdm.exe" betstätigung brauchen... ? hmmm... hab ich mir gedacht, das gibts ja ned, hab ja nichts installiert außer das VS6.0 tja, und das ist das problem... Im Visual Studio gibt es einen FILE NAMENS :

MDM.exe -> REMOTE SPIONAGE

diese "MDM.exe" generiert USERNAMEN und Serialnumbers/Seriennummern...
und verschickt sie -> tztztzt... hab sie sofort von meiner Platte gelöscht.

MEHR DAZU FINDET IHR ZU:

http://pub3.ezboard.com/fbavariantommysmessageboardbavariantommyssecureboard.showMessage?topicID=724.topic

Unglaubliche Sache...
__________
Erreichbar im IRC im Computer Security Channel: irc.euirc.net / 6666 / #compusec

#2 oder ich zitiere einfach den Text:



Hallo Leute,

nachdem mir am Freitag morgen mein 19_Zoll Monitor abgefackelt ist, habe ich eigentlich
gar keine Lust mehr dieses Script über Micisaft zu schreiben, aber.....ich versuche es mal.

Nun gut.
Wer hat Visual Studio 98, oder Frontpage 98/2000, Office 2000, Win2000Pro, IE5.x auf
seinem Rechner installiert ?? Sehr schön..., oder Pech gehabt ?

Fangen wir bei.....egal was an und picken uns MDM.EXE, das immer in
das System - Verzeichnis von Windows bzw. System32 - Verzeichnis von NT installiert
wird.
Ein Eintrag in der Registry erfolgt unter HKEY_USER_LOCAL_MACHINE/Software/Microsoft/
CurrentVersion/RUN mit Namen ---- Machine Debug Manager ! Gefolgt von dem Pfad !
Im Windows Verzeichnis gibt es dann noch sinnigerweise eine .ini Datei (mdm.ini)
mit einem recht pfiffigen Eintag: Dynamic Debugging. Übersetzung vorweg ins Deutsche:

Dynamisches Auspionieren eines Users.

Der Haupttäter ist MDM nicht, wohl aber ein "Beschleuniger" in Sachen Lesen und Schreiben,
und ein Erster schneller Initiator.

Also, Mdm.exe gibt über Fensterbotschaften den "Befehl" an Frontpage vX.x in die Registry zu
gehen und dort installierte Programm zu "finden", auszulesen und zwar Username und Lizenz,
bzw, Seriennummer ! So geschehen schreibt MDM (falls nicht vorhanden macht das Frontpage
selber) zwei Schlüssel als .tmp Datei in das Windows Verzeichnis. Beispiel:

F200BBE1-DCC3-12F3-CC43-0049245E1AW9.tmp
F100BBB3-DGH5-13F6-GA43-0049245H1AX9.tmp

Die Größe der Dateien ist gleich NULL. Es wird immer immer Zweiertakt ins Windows Verzeichnis
geschrieben.

Jetzt ist da aber kein Programm, daß sofort diesen Schlüssel überträgt, nein...nichts.
Es wird kein Server oder was auch immer angesteuert.... es passiert erst mal gar nichts !
Dieses beiden Dateien stehen da solange bis Du im IE eine neue URL eingibst, oder einen
Link anklickst, dann aber passiert folgendes:

Die beiden Schlüssel werden eingetütet und "reiten" auf der IE Engine als fragmentierte
Packete, vielleicht sogar mit reverse Bit, ins Netz !
Nachdem die Schlüssel raus sind, werden sie auch gleich wieder gelöscht !!!
Tja, wenn´s funktioniert..., bei mir funktionierte das auch nicht, und so hatte ich nach
einer Weile ne ganze Menge Registry - Schlüssel in meinem Windows Verzeichnis
stehen. Ich wußte nur nicht woher, warum....hmm keine Ahnung ?!

Das was jetzt folgt ist leider Spekulation, da bisher kein Provider bereit war mit mir
zusammenzuarbeiten...zuviel Arbeit und Nerv, und Andere waren einfach in ihrer Fantasie
dermaßen beschränkt....kann ich mir einfach nicht vorstellen, was nicht sein darf,
kann nicht sein....und Tschüss !

Die fragmentierten Packete werden im Router(Provider) entschlüsselt unter dem Motto:
Na ihr Kleinen, ihr gehört aber woanders hin, wollen doch sehen WOHIN ??
Zwei Schlüssel von der Länge her gleich NULL, mit Ziel IP versehen, werden dann
von dem Router an die "Richtige" Adresse verschickt !!, und drin steht Usernamen
inklusive Seriennr. bzw, Lizenz !

Schaut Euch die Schlüssel mal richtig an...genau... so ziemlich am Ende kommt
0049....das ist in jedem der Schlüssel, die ich abgefangen habe enthalten. 0049 =
Deutschland !
Ich habe das alles per Zufall mitbekommen, da ich kein Intel Prozessor habe. Auf Intel
Prozessoren, wie ich das bei Freunden und Bekannten gecheckt habe...ist absolute nichts
zu sehen, geschweige denn zu bemerken ! ABER....es passiert !!

Ich hatte dann vor einiger Zeit ESAFE v2.0 ( nehmt das bloß nicht, ist letzlich Müll, erst recht Esafe
Protect v2.2 ) installiert, nur um herauszufinden, wie das Proggie arbeitet (beschissen).
Er fragte mich jedoch urplötzlich, ob ich es zulassen möchte das Frontpage an der Winzip
Adresse XX Usernamen und Seriennummer lesen und schreiben darf ?
Ich war echt baff ? Wie bitte ?

Ich klickte natürlich auf NEIN ! Beim nächsten Klick ins WWW, poppte das Teil schon wieder auf
und fragte mich ob ich es gestatten würde, das Frontpage an der Staroffice Adresse xx den User-
namen und die Serial lesen darf ? Nein verdammt nochmal, was ist hier denn los ?

Beim übernächsten Klick fragt mich Esafe schon wieder, ob Frontpage Norten Utilities Adresse xx
lesen darf... und so ging das weiter und weiter und weiter.
Ich war völlig von der Rolle und dacht erst an einen Trojaner, aber nein es sollte doch viel besser werden !
(Hab 4 verschieden Virenscanner und drei Troja Scanner durchlaufen lassen ?! - ......nix, absolute Fehlanzeige)

Im übrigen, bei Esafe v2.2 haben die doch tatsächlich den "Fehler", die Lesearien aufzudecken
beseitigt ! Wenn man mal sieht woher und wie nah Esafe Microsoft steht, dann ist das kein Wunder !
Also, nehmt das Teil nicht, denn es hilft nicht, weder als Firewall noch als Viruskiller !
Wer Esafe v2.0 haben sollte, der kann sich doch durchaus den Spaß machen und selbst
herausfinden wie und was da so passiert ! Voraussetzung ist natürlich die Installation der oben
angegebenen Programme.

Ein guter Firewall der immerhin alles in dieser Beziehung mitbekommt ist Secure4u v4.2 !
Ein Firewall der aber erst gelesen und verstanden werden will, bevor man ihn installiert,
denn der schützt gleich die Registry, und wenn ihr Progs installieren wollt, dann gibt schon derbe
Probleme. Aber....er verhindert das Lesen und das Schreiben der Schlüssel und das ist un-
bestritten ein Vorteil. Wenn ihr Secure4u nicht installieren wollt, weil zu kompliziert, dann gibt
es noch eine ganz andere Abhilfe ! Folderguard v4.10, jedenfalls bei mir, der 4.11 stürzt immer ab.
Ihr konfiguriert FG v4.10 einfach so, das keine Lese und Schreibzugriff auf Verzeichnisse wie
Visual Studio 98, Microsoft Frontpage möglich sind. In der Tat, das Ganze hört dann auf, zwar versucht
rpcss.exe immer noch Auswege, zuletzt muß sogar der WindowsKernel ran, aber es läuft nichts mehr in
Punkto Schlüssel lesen...schreiben !!

Der Tat dringend verdächtige und erwischte Dateien und Funktionen sind:

rpcss.ex
mdm.exe
fp98win.exe
fpexplorer.exe (ich glaub so heißt der Frontpage 98, benutze ihn lange nicht mehr)
windows Explorer.exe

DCOM Service (IE5 Internet Explorer)
DCOM Service (Service himself....Achtung Port 135) Sperren mit Atguard !

Mdm.ex ist unter Windows2000Pro im übrigen als DCOM SERVER deklariert.
ActiveX Technologie von Micisaft setzt hier auf, na ja auch unter Win9x.....natürlich.

Also, Ihr könnt ohne Probleme, erst den Task beenden, dann aus der Registry den Eintrag
löschen, MDM.EXE aus dem Windows/System Verzeichnis löschen ! Kein Problem,
denn alles bleibt stabil und läuft ohne Macken weiter ! Bei Win2000Pro gibt es nur ne kleine
Fehlermeldung, daß der DCOM Server/Service nicht gestartet werden konnte. Na ja nun, einfach
unter Dienste das Ding auf manuell setzen, gell !
Allerdings und ohne daß Ihr es verhindern könnt, gehen DISTRIBUTED COM SERVICES unter
Win200Pro doch ins Netz und es findet auch einiges an Übertragung statt. Man kann das Ganze
zwar mit Zonealarm verhindern, dann gibt es aber auch keinen Traffic mehr unter WinNT.
Einzige Abhilfe unter Win2000Pro ist SECURE4U !!
Micisaft ist mit dem neuen Betriebssystem doch etwas "genauer" und brutaler, wenn es um Users
Identität und was er so alles auf dem Rechner hat geht.

Hmm, es ist 7.00 Uhr und ich tue mich schwer weiter zu schreiben. Außerdem habe ich das Gefühl,
daß mein Script nicht die Sprache findet, wie ich eigentlich will.
Alles ein bißchen durcheinander, entschuldigt bitte.

Also, bevor ich in diesem miserablen Stil weitermache, möchte ich das für heute erst einmal beenden,
und sage halt einfach, daß das hier TEIL 1 ist. Okay ?!!

Teil 2 folgt dann die Tage......ein bißchen geordneter und klarer !

Eines noch zum Schluß des Teil 1: Ich fahre Conseal Firewall, Atguard und Internet Guard Dog von Mcafee,
und ein paar "Teile", die ich hier nicht nennen will.
Internet Guard Dog ist ein sehr guter Apps Firewall und unterbindet jegliche Kommunikation von
Programmen, die einfach ungefragt ins WWW wollen(rpcss.exe, mdm.exe, explorer.exe gehören auch dazu).
IGD erkennt sehr viel mehr Programme, die ins Netz wollen, als Atguard. Blackice zum Beispiel.
Während Atguar sich nicht rührte, fragte mich IGD ob es OK ist das das Proggie nach Hause
telefonieren will ?!! Nein, natürlich nicht und ich konnte den ganzen IP Adressraum, den Blackice
ansteuern wollte sperren ! Ihr habt also die Möglichkeit sogar direkt von Programmen angesteuerte
IP Adressen per Namen oder IP zu sperren. Einmal gesperrt gibt es keine 2! Meinungen !
Bei Internet Guard Dog könnt ihr sogar die 0190 Nummer sperren, den IGD paßt sogar auf, wenn
ein Proggie mal eben so jemanden anwählen will !
Das heißt also, das IGD sogar auf Hardware Ebene aufsetzt und aufpasst (mchook.dll)

Tja.., letztlich habe ich einen Rat an uns ALLE. Ich glaube schon, daß ich einen Rat geben kann,
denn ich habe seit 1994 mit dem Internet zu tun. Ich hab mich noch unter DOS bei Compuserve
eingewählt. Die "Welt" war zwar etwas kleiner, aber die "Luft" dafür noch "reiner", nicht Ecommerce
verpestet und Micisaft konnte Internet noch nicht mal buchstabieren !

Der Rat: Einen extra PC, der nur für das Internet da ist.

"Sauber und ordentlich", auf dem NICHTS, außer ein kleiner Proxy und Firewall´s installiert sind.
(Windows95/98 ohne IE; mit Jana, Atguard, Conseal, IGD !...noch besser: LINUX !)
Sollte es troztdem jemand schaffen Infos zu bekommen, RechnerNamen, Usernamen..etc., mit einem
User PC der da heiß: IDIOT.....; und der Username: LITTLE IDIOT....was kann man damit anfangen.....?
Genau.....gar nichts !

So....für´s Erste.
Im übrigen möchte ich Dablobb noch einmal für den virtuellen Blumenstrauß danken.
Der freundliche, ironisch und witzige Umgang auf diesem Board ist wirklich sehr angenehm.
Andere Boardbetreiber haben ja wohl deftige Probleme mit Useraggressionen.

Also Leute, schöne Pfingsten !
Kandinsky
__________
Erreichbar im IRC im Computer Security Channel: irc.euirc.net / 6666 / #compusec

#3 Tja, so wie ich das mitbekommen habe, gilt das nur für den IE, oder?

#4 Tip1:

http://www.liutilities.com/products/wintaskspro/processlibrary/mdm/

Tip2:

http://www.neuber.com/taskmanager/deutsch/prozess/mdm.exe.html

#5 Process File: mdm or mdm.exe
Process Name: Machine Debug Manager

Description:
mdm.exe is associated with Microsoft Windows process debugging system. It allows the user to debug Internet Explorer errors by using a script interface tool

Author: Microsoft Corp.
Part Of: Microsoft Windows Operating System

System Process: Yes
Virus: No
Spyware: No
Background Process: Yes
Uses Network: No
Hardware Related: No

Security Risk (0-5): 0
Common Errors: N/A

Greetings Nina
Using the brain and human sense helps against paranoia!

#6 Hallo Mirakulix,

von dem was du schreibst ist die untere Hälfte - wie du selbst schreibst - Spekulation; die obere Hälfte kann ich nicht nachvollziehen. Also eh du von einem "dynamischen Ausspionieren eines Users" durch Microsoft sprichst, braucht man ein paar mehr handfeste Beweise.

Ich habe W2K Pro am laufen, außerdem benutze ich Frontpage2000 und Office2000. Auf meiner ganzen Festplatte gibt es kein MDM.EXE, schon garnicht in \WINNT\SYSTEM32. In meiner Registry an der Stelle HKLM/.../RUN suchst du vergeblich nach dem Eintrag "Machine Debug Manager" (du gibst den Eintrag falsch an, ich nehme an, du meinst HKEY_LOCAL_MACHINE, oder meinst du HKEY_USER?). Den Eintrag "Machine Debug Manager" gibt es allerdings bei mir unter HKLM/SOFTWARE/MICROSOFT/ ; der hat einen Untereintrag "never terminate", und da steht frontpg.exe drin.

Also bei mir ist erstmal nix mit spionieren. Wenn ich die angegebenen Links ansehe (deiner im 1.posting geht ins Leere), könnte irgendein Ausspionieren nur dann überhaupt infrage kommen, wenn jemand den Script debugger installiert hat.

R

P.S. Ich meine, wenn sich ein Spionage-Verdacht tatsächlich verdichten würde, dann ist die C'T ganz sicher eine gute Adresse, um sowas von echten Profis untersuchen zu lassen.

#7 Hi!

Das mit dem mdm.exe hab ich auch. Und dass es sich um ein spy-Programm (von Microsoft) handelt, das ist eigentlich ziemlich sicher, da es sich erstens beim Start des Internet Explorers automatisch startet und zweitens da es die ganze Zeit etwas sendet (Das sieht man am Netzwerkverbindungssymbol). Also hier ein par Infos:

Beim Start von Windows gleich die Datei mdm.exe aus den Prozessen löschen.
Beim Start des Internet Explorers nachschauen, ob die Datei wieder läuft, wenn ja auch wieder löschen.

Entfernungsanleitung

Leider ist es mir nicht richtig (nach der oben stehenden Anleitung) gelungen, dieses Spy-Programm zu entfernen.

In der Registry findet man unter "run" oder runonce oder runservices nichts davon, egal ob im hkey user oder config.

Und löschen kann man die Datei auch nicht, komisch :-(
Es bringt auch nichts, den Prozess zu beenden, da der Zugriff trotzdem verweigert wird, also bleibt einem nichts anderes übrig, als die Datei ausfindig zu machen (Suche --> "mdm" [ohne EXE!!!] in Lokalen Festplatten) Dann bemerkat man etwas erstaunliches: Die Datei mdm hat sogar noch eine Sicherungskopie im prefetch-Ordner, also genau die Pfadangaben aufschreiben, wo sich diese Dateien befinden und wie sie heißen (+ Endung).

Dann bleibt einem nichts anderes übrig, als eine MS-DOS-Startdiskette zu erstellen, und die Dateien dann mittels dem "del" Befehl zu löschen.

Alternativ kann man die Datei auch löschen, wenn man z.B. zwei Betriebssysteme hat, wie ich z.B, dann kann man zum Beispiel Win98 starten und von dort aus ganz einfach die Dateien löschen.

Bei manchen von euch scheint das mit dem löschen unter XP geklappt zu haben, bei mir jedenfalls nicht, naja...

Wenns bei euch nicht geht, dann versucht es mal, wie ich es beschrieben hab.

Vermutung

Ich gehe schon davon aus, dass es sich hierbei um ein Spionage-Programm handelt, ich hab allerdings keine Ahnung, woher ich das hab. Ich hab zwar VS 6.0 oder Office XP, aber ist es da wirklich dabei?? Und wenn ja, dann würde sich microsoft strafbar machen, oder?

#8 Probier mal das hier. Dann schau mal nach, ob mdm.exe noch aktiv im Speicher ist.

Ich habe hier noch von keinem einen verwertbaren Beweis gelesen, dass mdm ein Spionagetool ist. Wenn das Ding beim Start des IE Daten senden sollte, so wäre das doch mit ein klein bisschen Mühe mit einem Sniffer gut nachvollziehbar.

Oft wird auf die Seite im Security Task Manager hier verwiesen. Wenn man denn Meinungen statt wirklichen Fakten vertrauen darf, so ist dort die überwiegende Mehrheit der Ansicht, mdm sei harmlos. Auch der Security Task Manager ist derselben Meinung, und ich tendiere dahin, solchen Leuten, die sich profimäßig mit Sicherheit beschäftigen zunächst mal zu trauen.
Dennoch kann man eine Spionage nicht ausschließen, dann aber bitte handfeste Beweise her.

Reinhart

#9 Hm, ist mdm.exe nicht auch der Motherboard Monitor ??
MFG
DAFRA

#10 mdm ist ein Dienst für Programmierer:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vsdebug/html/vctskinstallingremotedebugmonitor.asp

Wer keine Ahnung hat was das ist und was es tut, der soll sich nicht Visual Studio installieren. Außerdem ist der Thread 2 Jahre alt seh ich grad.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#11 Hier ich hab noch eine Möglichkeit, das Ding ganz einfach zu entfernen, ich glaube nämlich, dass jemand sowas braucht. Und wenn es ein Debugging-Tool ist, warum lässt es sich nicht löschen und warum startet es sich automatisch beim Aufruf des IE?

Start --> Ausühren
"msconfig" eingeben und Enter drücken
Dann unter "Dienste" beim "Machine Debug Manager" den Haken entfernen und auf Ok klicken. Dann sollte das Teil nicht mehr starten.

#12 Der Dienst startet so wie du ihn einstellst, beim Rechnerstart (automatisch), beim Start des IE (manuell) oder gar nicht (deaktiviert). Wer es nicht braucht kann es abstellen wie so vieles andere in Windows, da muss man nichts rumlöschen.

Wer Microsoft nicht traut, sollte keine Software von ihnen verwenden.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#13

Zitat

Dafra postete
Hm, ist mdm.exe nicht auch der Motherboard Monitor ??
MFG
DAFRA

mbm bzw mbm5 ist motherboardmonitor (5 grad version die mir einfiel )

mfg

#14 @mirakulix

Vielleicht solltest du in Zukunft auf den Babelfish verzichten, wenn due englische Wörter übersetzen möchtest....

#15 Hi Leute,

bin neu im Forum, und auch gleich ein weiterer der sich nicht so gut auskennt.
Darum würd ich mich freun, wenn mir jemand klarmachen kann, daß ich nur Paranoia habe und nicht irgendein Spionagetool auf meiner Platte.

Hab meine Prozesse überprüft. Diese mdm.exe Datei macht mich etwas stutzig. Soviel ich weiss, sollte sich diese Datei im Ordner:
C:\Windows\System32 befinden. Bei mir allerdings ist sie in:


C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug
(264 Kb groß)

weiters gibts noch eine 24 Kb große Programmbibliothek Namens mdmui.dll in:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\1031

und eine Verknüpfung mit 1 Kb in:
C:\Dokumente und Einstellungen\Recent

Hab die Dateien auch durch JOTTI laufen lassen, wird aber nichts gemeldet.

Würd gern wissen was Ihr denkt!!

MfG
Hexla