Welche Trojaner/Viren deaktivieren oder umgehen Firewalls?

#0
08.02.2004, 22:17
Member
Avatar Laserpointa

Beiträge: 2176
#1 Hi,

Ich habe eine gut konfigurierte Firewall, ein gutes E-Mail Programm (was nur mit extra Bestätigung sendet) und ein gutes Gefühl für e-mail Anhänge ;) ... kein Virenscanner!

Ich fahre damit schon seit Jahren ohne je Probleme gehabt zu haben sehe nun allerdings die Gefahr, das wenn ich mir nun doch mal einen Trojaner einfange, der meine Firewall umgeht oder deaktiviert. (gibt ja auch Viren die Antivirenprogramme flachlegen!)

Meine Frage nun wie verbreitet sind solche Trojaner / Viren die Firewalls umgehen?
Welche Trojaner Viren sind das?
Welches ist die beste Vorbeugung gegen sowas?

bin gespannt, was ihr zu berichten habt ;)
Danke Greetz Lp

p.s. dieses Thread ist denke ich hier am besten aufgehoben, da Viren und Firewall speziell sind.
Seitenanfang Seitenende
09.02.2004, 08:25
...neu hier

Beiträge: 7
#2 hm, ich persöhnlich hab nur mäßige erfahrungen mit derartigen dingen, ich habe eine zeitlang ebenso keinen virenscanner eingesetzt, naja, und nach kurzer zeit von einer bekannten person nen netten trojaner drauf gehabt, der sowohl unbekannt vor dem (anschliessend installierten, NAV, FreeAV) virenscanner blieb, als auch keinerlei probleme mit der hardware firewall hatte (& NIS, ZAPro)...

was in der hinsicht heutzutage alles ueblich ist hätte ich nicht gedacht, empfehlenswert fand ich z.b.:
http://return.to/scheinsicherheit

Verbreitet scheinen diese inzwischen sehr extrem zu sein, was frueher der Sub7 Baukasten war, geht inzwischen mit vielen dieser mistviecher genauso einfach.

Ich versuche es momentan ein wenig zu überlicken durch paket sniffer, ethereal finde ich etwas undurchschaubar, kann dir packetyzer sehr empfehlen.

*topicobenhalt*
mfg
me

p.s.: interressantes topic
__________
## i still dunno ##
Seitenanfang Seitenende
10.02.2004, 18:05
Member
Avatar Dafra

Beiträge: 1122
#3 Lad dir mal kostenlos Anti-Vir runter.
Dann hasten einen guten Scanner.
Seitenanfang Seitenende
10.02.2004, 20:24
Member
Avatar Tille

Beiträge: 451
#4 Hi,

mmmh verbreitet: glaube ich schon ziemlich viel -> einer der bekanntesten Trojaner, die Firewalls und Antivirenprogramme beenden ist z.B. Optix Pro



Die Version 1.3 killt folgende Firewalls und Antivirenprogramme:

Zitat

This version of Optix Pro kills:

ANTIVIRUS : ( 72 programs )
===========================

Acceleration Software AV
Anti-Trojan,
AntiVir
AntiVir (German)
AntiViral Toolkit Pro
AntiVirus ExPert 2000 (AVX) ( aka : Bitdefender )
ANTS
AnVir
AT AVS
avast!4 Home Edition
avast!4 Professional Edition
AVG
AVG 6.0 Free Edition
BitDefender ( aka : Anti-virus Expert )
BullGuard
Cheyenne AntiVirus
Command
Doctor Solomon AVS
Doctor Web for Windows ( memory scanner )
eScan Free
eScorcher AntiVirus version 1.7
eTrust Antivirus
F-Prot Antivirus TM
F-Secure
G-Data AntiVirenKit ( German Program )
German Process Viewer
InoculateIT Personal Edition
Integrity Master
InVircible
Kaspersky
LockDown
Lockdown Pro
MailDefense Standard 3.0
McAfee
neolog
NOD
NOD32
Norman
Norton AntiVirus
Panda
Panda Antivirus
Panda Antivirus 6.0 Platinum
Panda Titanium
PC Door Guard
pc-cillin ( aka : TrendMicro Antivirus )
PER Antivirus ( espanol language )
PestPatrol
Protector Plus Antivirus Software
Quick Heal
RAV
SBABR 3.12
SOLO
Sophos
Spy X
Swat it
Tauscan
TDS
T-FAK Trojan Remover
The Cleaner
TrendMicro
Trojan Hunter 3.5
Trojan Remover
Trojan Scan Engine
TrojanCheck 6
TrojanHunter
Vexira
Vexira Antivirus
ViRobot Expert
VirusBuster
VirusNet PC
wild file goback
WinRoute pro 4.2

FIREWALL : ( 35 firewall )
===========================

3B Personal Firewall Pro
Agnitum Outpost Free
Agnitum Outpost PRO
Armor2net Personal Firewall
AtGuard
BlackIce
ConSeal PC Firewall
Deerfield Personal Firewall
eTrust Firewall
GData Firewall
German Process Viewer
Kaspersky Anti Hacker 1.0
Kerio Firewall
Lockdown Pro/free
LookNStop
mcafee firewall
McAfee Internet Security
Net Barrier firewall
Net Protect
Norton firewall
Outpost Firewall
Panda (Built-In)
PC Cillin 2003 personal firewall
Pc-Cillin (Built-In)
Private Firewall 3
Sphinx
Steganos Online Shield
Sygate Personal Firewall
sygate personal pro
TGB::BOB! Firewall Personnel v 2.31E
Tiny Personal Firewall
WinGate
Winroute
WinXP Firewall
Zonealarm Pro/free
mehr Infos zu Optix: http://www.optix-germany.de
(da Optix ein Remote Administration Tool, denke ich das man den Link hier posten kann. - beachtet das die missbräuchliche Verwendung strafbar ist.)

Gegenmassnahmen, gibt es zum Beispiel für die Kerio Personal Firewall, die automatisch alle Netzwerkverbindungen trennt, wenn die Firewall beendet wird.

Tille
__________
Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich.
Dieser Beitrag wurde am 10.02.2004 um 20:27 Uhr von Tille editiert.
Seitenanfang Seitenende
10.02.2004, 20:35
Member
Avatar Dafra

Beiträge: 1122
#5 Hmm, das hat heutzutage fast jeder Trojaner.
Ist ja auch nicht schwer zu machen, mann muss nur den Namen kennen, z.B.
avguard.exe
Dnn lässt man das Programm diesen Namen suchen und beenden, ist in Visual Basic ne Sache von 5 min.
Seitenanfang Seitenende
10.02.2004, 23:06
Member
Avatar Ajax

Beiträge: 890
#6

Zitat

Ich fahre damit schon seit Jahren ohne je Probleme gehabt zu haben
Dann sind die untere Zeilen eher für Leute gedacht die das nicht von sich behaupten können ;)

Zitat

kein Virenscanner!
Persönlich finde ich einen einen Virenscanner als den mit Abstand sinnvollsten Schutz auch wenn der RTM bei mir ausgeschaltet ist und der Scanner nur on demand zum Einsatz kommt.

Zitat

Lad dir mal kostenlos Anti-Vir runter.Dann hasten einen guten Scanner.
Toll daß es kostenlose Schutzsoftware wie Anti-Vir gibt (viel besser als keine) aber "gut" ist in diesem Fall sehr relativ.

Zitat

Meine Frage nun wie verbreitet sind solche Trojaner / Viren die Firewalls umgehen?

Tataye hat es allerdigs eher im Sinne pädagogischer Software programmiert.
Seit Version 1.9 konnte es dll.-Injection (heute können es andere wohl auch) und der Sourcecode war freigegeben.Heute gibt es davon über 200 Varianten.Über die Verbreitung solcher Schädlinge kann man bei VB oder AV-Herstellerseiten nachgucken.Dabei muß ich sagen daß die FW (oder AV) i.d.R nicht umgangen sondern einfach ausgeknipst wird.

Zitat

Welches ist die beste Vorbeugung gegen sowas?
- Skeptik unseriösen Quellen gegenüber
- Skeptik Mailanhängen gegenüber
- ein Virenscanner mit hohe Erkennungsraten und täglich verfügbare Updates
- für paranoide Naturen gibt es als Schutzsoftware auch Sandboxes(Tiny) oder einfach SystemSafetyMonitor(Ressourcenschonend,nicht so umständig und Freeware)

Gruß
Ajax
Seitenanfang Seitenende
10.02.2004, 23:29
Member

Beiträge: 813
#7 Ich kann hier nur zustimmen, dass zwar fast alle Trojaner (und einige Würmer) versuchen, Schutzsoftware zu deaktivieren, aber dagegen bisher eher wenige die Möglichkeit bieten, Firewalls zu "tunneln". Die Tendenz der Malware der letzteren Kategorie ist aber deutlich steigend!

Zu beiden Varianten ist aber anzumerken, dass viele Schutzprogramme über durchaus wirkungsvolle Gegenmaßnahmen verfügen, die bei den derzeit überwiegend eingesetzten Schädlings-Techniken guten Schutz bieten - z.B. funktioniert das fast bisher ausschließlich eingesetzte "TerminateProcess" bei einigen Virescannern und PFWs nicht mehr, und dll-Injektion wird inzwischen auch von vielen PFWs "gehandhabt".
Aber natürlich entwickeln sich beide Seiten weiter... ;)

@Ajax
"Echtes" FWB mit reverse-connection hat Beast aber erst seit Version 2.05, gell? ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 10.02.2004 um 23:29 Uhr von forge77 editiert.
Seitenanfang Seitenende
12.02.2004, 20:07
Member
Avatar Ajax

Beiträge: 890
#8 Hi forge77

So genau kann ich mich nicht erinnern.Tatsache ist das frühere Versionen eher als proof of concept zu betrachten sind.So richtig lauffähig waren sie ja nicht.

Gruß
Ajax
Seitenanfang Seitenende
12.02.2004, 21:34
Member

Beiträge: 23
#9 " für paranoide Naturen gibt es als Schutzsoftware auch Sandboxes(Tiny) oder einfach SystemSafetyMonitor(Ressourcenschonend,nicht so umständig und Freeware) "

Kann es sein, dass ProcessGuard von DiamondCS ( http://www.diamondcs.com.au/processguard/ ) hier im Board kaum besprochen wird? IMHO, ist das inzwischen ziemlich gut geworden und auch einfacher zu bedienen als TPF und SSM. Freeware ist es leider nicht.
Seitenanfang Seitenende
12.02.2004, 23:23
Member
Avatar Ajax

Beiträge: 890
#10 Hi Nautilus

Von DiamondCS's ProcessGuard habe ich gehört.(vielleicht viel zu oft ;) )
Störend empfand ich allerdings die Art und Weise wie dafür der Hersteller in sämtliche Foren Werbung machte ;) Grenzte schon an Panikmacherei und es fehlte nur noch der Sourcecode für einen Schädling der Prozesse killen kann um das Tool noch attraktiver zu machen.(wundert mich schon daß apt.exe mit PECompact gepackt ist ;) )
Eigentlich war das der Grund weshalb ich das Tool hier nicht erwähnte.Angeschaut habe ich mir nur APT und das bloß ganz oberflächlich.

Zitat

Process Guard is made possible by a kernel- mode driver
Ein VXD driver working at Windows kernel level ?
Windows kernel level protection wäre aber an und für sich keine Neuigkeit.

Gruß
Ajax
Seitenanfang Seitenende
13.02.2004, 00:27
Member

Beiträge: 813
#11 Stimmt schon, ProcessGuard ist ein interessantes Tool. Leider bin ich noch nicht dazu gekommen, es mir in den neueren Versionen anzuschauen. Die Treiber-Basis ist sicherlich robuster und damit "sicherer" als z.B. die API Hooks von SSM. Dafür bietet SSM mehr Funktionen und Kontrollmöglichkeiten.
Blöd auch, dass die Pro-Version von ProcessGuard gleich so viel kosten soll (imho schon etwas frech für so ein Security-"Zusatzprodukt"...)

Ideal wäre imho ein treiber-basiertes (kostenloses) SSM... ;)

by the way: VxD-Treiber bestimmt nicht - ProcessGuard läuft nur unter WinXP/2000. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 13.02.2004 um 00:27 Uhr von forge77 editiert.
Seitenanfang Seitenende
16.03.2004, 02:02
...neu hier

Beiträge: 1
#12 Die Trojaner können a: die Firewall abschalten. Oder b: umgehen.(über reverse conect,der "gehackte",oder entfernte Rechner,melded sich bei dem Attackierer und gibt sich als Internetexplorer.exe oder Explorer.exe usw aus)
Somit ist die Firewall umgangen.
ciao




P.S. Wo gibts denn den sourcode von dem Beastrojaner???
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: