Welche Trojaner/Viren deaktivieren oder umgehen Firewalls? |
||
---|---|---|
#0
| ||
08.02.2004, 22:17
Member
Beiträge: 2176 |
||
|
||
09.02.2004, 08:25
...neu hier
Beiträge: 7 |
#2
hm, ich persöhnlich hab nur mäßige erfahrungen mit derartigen dingen, ich habe eine zeitlang ebenso keinen virenscanner eingesetzt, naja, und nach kurzer zeit von einer bekannten person nen netten trojaner drauf gehabt, der sowohl unbekannt vor dem (anschliessend installierten, NAV, FreeAV) virenscanner blieb, als auch keinerlei probleme mit der hardware firewall hatte (& NIS, ZAPro)...
was in der hinsicht heutzutage alles ueblich ist hätte ich nicht gedacht, empfehlenswert fand ich z.b.: http://return.to/scheinsicherheit Verbreitet scheinen diese inzwischen sehr extrem zu sein, was frueher der Sub7 Baukasten war, geht inzwischen mit vielen dieser mistviecher genauso einfach. Ich versuche es momentan ein wenig zu überlicken durch paket sniffer, ethereal finde ich etwas undurchschaubar, kann dir packetyzer sehr empfehlen. *topicobenhalt* mfg me p.s.: interressantes topic __________ ## i still dunno ## |
|
|
||
10.02.2004, 18:05
Member
Beiträge: 1122 |
#3
Lad dir mal kostenlos Anti-Vir runter.
Dann hasten einen guten Scanner. |
|
|
||
10.02.2004, 20:24
Member
Beiträge: 451 |
#4
Hi,
mmmh verbreitet: glaube ich schon ziemlich viel -> einer der bekanntesten Trojaner, die Firewalls und Antivirenprogramme beenden ist z.B. Optix Pro Die Version 1.3 killt folgende Firewalls und Antivirenprogramme: Zitat This version of Optix Pro kills:mehr Infos zu Optix: http://www.optix-germany.de (da Optix ein Remote Administration Tool, denke ich das man den Link hier posten kann. - beachtet das die missbräuchliche Verwendung strafbar ist.) Gegenmassnahmen, gibt es zum Beispiel für die Kerio Personal Firewall, die automatisch alle Netzwerkverbindungen trennt, wenn die Firewall beendet wird. Tille __________ Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich. Dieser Beitrag wurde am 10.02.2004 um 20:27 Uhr von Tille editiert.
|
|
|
||
10.02.2004, 20:35
Member
Beiträge: 1122 |
#5
Hmm, das hat heutzutage fast jeder Trojaner.
Ist ja auch nicht schwer zu machen, mann muss nur den Namen kennen, z.B. avguard.exe Dnn lässt man das Programm diesen Namen suchen und beenden, ist in Visual Basic ne Sache von 5 min. |
|
|
||
10.02.2004, 23:06
Member
Beiträge: 890 |
#6
Zitat Ich fahre damit schon seit Jahren ohne je Probleme gehabt zu habenDann sind die untere Zeilen eher für Leute gedacht die das nicht von sich behaupten können Zitat kein Virenscanner!Persönlich finde ich einen einen Virenscanner als den mit Abstand sinnvollsten Schutz auch wenn der RTM bei mir ausgeschaltet ist und der Scanner nur on demand zum Einsatz kommt. Zitat Lad dir mal kostenlos Anti-Vir runter.Dann hasten einen guten Scanner.Toll daß es kostenlose Schutzsoftware wie Anti-Vir gibt (viel besser als keine) aber "gut" ist in diesem Fall sehr relativ. Zitat Meine Frage nun wie verbreitet sind solche Trojaner / Viren die Firewalls umgehen? Tataye hat es allerdigs eher im Sinne pädagogischer Software programmiert. Seit Version 1.9 konnte es dll.-Injection (heute können es andere wohl auch) und der Sourcecode war freigegeben.Heute gibt es davon über 200 Varianten.Über die Verbreitung solcher Schädlinge kann man bei VB oder AV-Herstellerseiten nachgucken.Dabei muß ich sagen daß die FW (oder AV) i.d.R nicht umgangen sondern einfach ausgeknipst wird. Zitat Welches ist die beste Vorbeugung gegen sowas?- Skeptik unseriösen Quellen gegenüber - Skeptik Mailanhängen gegenüber - ein Virenscanner mit hohe Erkennungsraten und täglich verfügbare Updates - für paranoide Naturen gibt es als Schutzsoftware auch Sandboxes(Tiny) oder einfach SystemSafetyMonitor(Ressourcenschonend,nicht so umständig und Freeware) Gruß Ajax |
|
|
||
10.02.2004, 23:29
Member
Beiträge: 813 |
#7
Ich kann hier nur zustimmen, dass zwar fast alle Trojaner (und einige Würmer) versuchen, Schutzsoftware zu deaktivieren, aber dagegen bisher eher wenige die Möglichkeit bieten, Firewalls zu "tunneln". Die Tendenz der Malware der letzteren Kategorie ist aber deutlich steigend!
Zu beiden Varianten ist aber anzumerken, dass viele Schutzprogramme über durchaus wirkungsvolle Gegenmaßnahmen verfügen, die bei den derzeit überwiegend eingesetzten Schädlings-Techniken guten Schutz bieten - z.B. funktioniert das fast bisher ausschließlich eingesetzte "TerminateProcess" bei einigen Virescannern und PFWs nicht mehr, und dll-Injektion wird inzwischen auch von vielen PFWs "gehandhabt". Aber natürlich entwickeln sich beide Seiten weiter... @Ajax "Echtes" FWB mit reverse-connection hat Beast aber erst seit Version 2.05, gell? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 10.02.2004 um 23:29 Uhr von forge77 editiert.
|
|
|
||
12.02.2004, 20:07
Member
Beiträge: 890 |
#8
Hi forge77
So genau kann ich mich nicht erinnern.Tatsache ist das frühere Versionen eher als proof of concept zu betrachten sind.So richtig lauffähig waren sie ja nicht. Gruß Ajax |
|
|
||
12.02.2004, 21:34
Member
Beiträge: 23 |
#9
" für paranoide Naturen gibt es als Schutzsoftware auch Sandboxes(Tiny) oder einfach SystemSafetyMonitor(Ressourcenschonend,nicht so umständig und Freeware) "
Kann es sein, dass ProcessGuard von DiamondCS ( http://www.diamondcs.com.au/processguard/ ) hier im Board kaum besprochen wird? IMHO, ist das inzwischen ziemlich gut geworden und auch einfacher zu bedienen als TPF und SSM. Freeware ist es leider nicht. |
|
|
||
12.02.2004, 23:23
Member
Beiträge: 890 |
#10
Hi Nautilus
Von DiamondCS's ProcessGuard habe ich gehört.(vielleicht viel zu oft ) Störend empfand ich allerdings die Art und Weise wie dafür der Hersteller in sämtliche Foren Werbung machte Grenzte schon an Panikmacherei und es fehlte nur noch der Sourcecode für einen Schädling der Prozesse killen kann um das Tool noch attraktiver zu machen.(wundert mich schon daß apt.exe mit PECompact gepackt ist ) Eigentlich war das der Grund weshalb ich das Tool hier nicht erwähnte.Angeschaut habe ich mir nur APT und das bloß ganz oberflächlich. Zitat Process Guard is made possible by a kernel- mode driverEin VXD driver working at Windows kernel level ? Windows kernel level protection wäre aber an und für sich keine Neuigkeit. Gruß Ajax |
|
|
||
13.02.2004, 00:27
Member
Beiträge: 813 |
#11
Stimmt schon, ProcessGuard ist ein interessantes Tool. Leider bin ich noch nicht dazu gekommen, es mir in den neueren Versionen anzuschauen. Die Treiber-Basis ist sicherlich robuster und damit "sicherer" als z.B. die API Hooks von SSM. Dafür bietet SSM mehr Funktionen und Kontrollmöglichkeiten.
Blöd auch, dass die Pro-Version von ProcessGuard gleich so viel kosten soll (imho schon etwas frech für so ein Security-"Zusatzprodukt"...) Ideal wäre imho ein treiber-basiertes (kostenloses) SSM... by the way: VxD-Treiber bestimmt nicht - ProcessGuard läuft nur unter WinXP/2000. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 13.02.2004 um 00:27 Uhr von forge77 editiert.
|
|
|
||
16.03.2004, 02:02
...neu hier
Beiträge: 1 |
#12
Die Trojaner können a: die Firewall abschalten. Oder b: umgehen.(über reverse conect,der "gehackte",oder entfernte Rechner,melded sich bei dem Attackierer und gibt sich als Internetexplorer.exe oder Explorer.exe usw aus)
Somit ist die Firewall umgangen. ciao P.S. Wo gibts denn den sourcode von dem Beastrojaner??? |
|
|
||
Ich habe eine gut konfigurierte Firewall, ein gutes E-Mail Programm (was nur mit extra Bestätigung sendet) und ein gutes Gefühl für e-mail Anhänge ... kein Virenscanner!
Ich fahre damit schon seit Jahren ohne je Probleme gehabt zu haben sehe nun allerdings die Gefahr, das wenn ich mir nun doch mal einen Trojaner einfange, der meine Firewall umgeht oder deaktiviert. (gibt ja auch Viren die Antivirenprogramme flachlegen!)
Meine Frage nun wie verbreitet sind solche Trojaner / Viren die Firewalls umgehen?
Welche Trojaner Viren sind das?
Welches ist die beste Vorbeugung gegen sowas?
bin gespannt, was ihr zu berichten habt
Danke Greetz Lp
p.s. dieses Thread ist denke ich hier am besten aufgehoben, da Viren und Firewall speziell sind.