Security and Technology

Und wieder ein Grund einen deutschen Virenscanner oder zumindest mal einen 2. AV über die PLatte laufen zu lassen. Der – im Privatvereich sehr verbereitete – Norton AV erkannte den Staatstrojaner nicht.
Avira schon!
Wenn man jetzt noch weiß, dass das ControlCenter des Trojaners in den USA gehostet wurde, dann könnten sich da Abgründe auftun.
Ein Schelm wer Böses dabei denkt…

Heute habe ich einen interessanten Artikel zum Thema Bios Trojaner gefunden:

Original Heise Artikel

Sehr lesenswert.

Hi Gemeinde,

heute habe ich mal wieder was interessantes zum Thema NTFS Alternate Data Stream (ADS).
Nachdem ich heute mal ein bisschen mit OSSIM und OSSEC rumgespielt habe, hatte ich folgendes Problem:
Nachdem alles installiert war und OSSEC den ersten Scan auf meiner Windoof Büchse durchgeführt hatte, hatte ich plötzlich in der Anomalie Übersicht seltsame Einträge. Alles deutete auf ein echtes Trojaner- oder Spywareproblem hin.
Beinahe jede Datei auf der Windoof Kiste war mit einem ADS Anhängsel versehen names “KAVICHS”.
Zuerst dachte ich der OSSEC Agent spinnt und habe mir dann noch den ADS Detektor heruntergeladen. Das Ding hat genau die gleichen Ergebnisse angezeigt. Also war hier was faul!
Nach kurzer Recherche hatte ich den Übeltäter entlarvt. Schuld ist der Kaspersky Virenscanner gewesen, den ich mal testweise installiert hatte. Das Ding hat Informatinen wie z.B. die Checksumme an jede Datei als ADS angehängt. Tolle Wurst. Dank ADS Detektor waren die Anhängsel schnell entfernt und mein OSSEC hatte nichts zu meckern

Alternativ kann man auch den Remover von Kaspersky benutzen. Downloadlink

Gruß NF

Seit ein paar Tagen werden wieder per Spam Mail Trojaner verteilt. Getarnt als Anwaltsschreiben von FrHr. v. Grafenr**** (na wer kennt Ihn nicht).
Die Emails haben folgenden Inhalt (o.ä.)

Im Anhang findet man eine Zip Datei, welche mit einem Trojaner bzw. einem Trojaner Downloader versehen wurde.
Diese Mails am besten ungelesen löschen

NF

Seit längerem ist bekannt, dass Nameserver im Internet – vor allem Caching Nameserver verwundbar sind. Über Cache Poisoning lassen sich falsche Informationen in den Cache einschleusen. Gut – das ist zwar nicht neu (jedenfalls in Hackerkreisen) – aber im Moment werden die Lücken wohl wieder vermehrt ausgenutzt.
Damit landet man nicht auf Server A (wo man eigentlich hinwollte) sondern auf Server B, der dann mit entsprechendem Schadcode aufwartet.
Die interessanten Ziele dürften Software-Updateserver und Seiten wie Ebay, Onlinebanken etc. sein. Es gibt bereits fertige Angriffsskripte für Java Updates, Winzip Updates etc. Dadurch wird dann nicht das eigentliche Update, sondern ein Trojaner oder ähnliches auf den Rechner geladen und ausgeführt.
Es ist also Vorsicht geboten – zumindest bei automatischen Updates oder OneClick Updates!!!

Das Problem daran: Kein Sicherheitsprodukt kann im Moment wirklich dagegen schützen!
Es gibt keinen wirksamen Schutz! Es sei denn, den Internet Service Providern gelingt es jetzt, so schnell wie möglich die DNS Server upzudaten.

Gruß NF

NTFS steht in diesem Fall für das Filesystem, dass in den meisten Windows Versionen Verwendung findet. Heute werde ich mal auf ein altbekanntes “Problem” mit diesem Filesystem eingehen, dass zwar schon oft beschrieben wurde, aber immer wieder aktuell ist.

Es gibt die Möglichkeit sogenannte Metadaten zu einer Datei zu speichern. Das Ganze nennt sich ADS (Alternate Data Stream). An und für sich ist diese Funktion dazu gedacht z.B. Vorschaubilder oder andere Eigenschaften zu einer Datei zu speichern. Leider kann ein Angreifer auch andere Informationen damit zu verknüpfen – z.B. einen Virus an eine Textdatei anzuhängen oder vor den Augen des PC Benutzers zu verstecken! Das funktioniert übrigens auch ohne Administrator Rechte! Auch der User “Gast” könnte die ADS Funktion nutzen.
Wer es nicht glaubt, der sollte mal folgendes ausprobieren:
“echo “geheimer Text” >> Textdatei.txt:mystream.txt”
Jetzt wird eine Datei “Textdatei.txt“ angelegt – aber mit einem Stream namens “mystream.txt“.
Beim Auflisten der Dateien wird man aber nur die Datei “Textdatei.txt” zu sehen bekommen.
Der Befehl “type Textdatei.txt” wird auch keinen Inhalt anzeigen. Wie kommt man also wieder an die Informationen heran?
Ganz Einfach mit “type Textdatei.txt:mystream.txt“ -> zeigt uns: “geheimer Text”
oder mit “notepad Textdatei.txt:mystream.txt” lässt sich der Stream sogar bearbeiten.
Auch wenn der Stream noch so groß wird – die Dateigröße der Datei “Textdatei.txt” wird sich nicht verändern. Der Stream wird also nicht bemerkt werden – na ja ausser die Platte läuft langsam voll, weil die Keylogger Datei zu groß wird

Datastreams lassen sich auch mit Verzeichnissen verknüpfen. Ebenfalls lassen sich Binärdaten – also ausführbare Dateien wie Viren oder andere Schadprogramme in solchen Streams speichern und bei Bedarf starten, ohne das Sie je entdeckt wurden. Abhilfe könnten hier Rootkit Erkennungsprogramme schaffen. Aber wie ich schon in einem älteren Post berichtete arbeiten Rootkit Scanner auch nicht immer zuverlässig. Ich werde mir vielleicht nochmal die Mühe machen und ein paar aktuelle Versionen testen.

Hier ein paar Links zu kostenlosen Rootkit Scannern:

• Sophos Rootkit Scanner
• RootKit Hook Analyzer
• RootkitRevealer

andere Rootkit Scaner:

• Avira Rootkit Detection
• Bitdefender RootKit Uncover
• F-Secure BlackLight
• Grisoft AVG AntiRootkit
• McAfee RootKit Detective
• Panda Software Panda Anti-Rootkit
• Sophos Sophos Antirootkit
• Trend Micro RootKit Buster

NF

Wer sich mit der Materie mal etwas näher befasst hat, weiss daß die Hersteller von Antivirensoftware sehr unterschiedliche Ansätze verfolgen. Die Qualität der einzelnen Virenscanner unterscheidet sich auch zum Teil gravierend. Was liegt also nahe, einach mal alle Virenscanner auf einmal zu bemühen um eine Datei zu prüfen.
Auf der Seite http://www.virustotal.com kann man die zu prüfende Datei hochladen und mit so ziemlich jeden Virenscanner, der am Markt existiert, prüfen lassen। Interessanterweise ist Trendmicro nicht dabei – was das wohl bedeutet

Alles in allem ein interessanter Service. Man kann aber davon ausgehen, daß auch Hacker sich dieser Dienste bedienen um Ihre Schadsoftware zu optimieren, damit Sie von Virenscannern nicht erkannt werden

NF

Wie F-Secure in seinem Blog mitteilt hat, ist es wohl einem 11 jährigen Kind gelungen, ein Programm mit Schadroutinen für das IPhone im Internet zum Download anzubieten. Dieses Program soll relativ harmlos sein, außer daß es beim deinstallieren auch ein paar andere Dateien mit löscht, so daß bereits installierte Programme nicht mehr funktionieren. Na ja zugegeben – ein Trojaner ist das jetzt nicht gerade – aber wenn das so einfach ist, dann werden wohl bald richtige Trojaner folgen

Link zum Blogeintrag bei F-Secure:
http://www.f-secure.com/weblog/archives/00001355.html

NF

Der Bundestrojaner geistert ja schon ein paar Tage durch die Medien. Da kommen schon mal mal Fragen auf wie “… wie kann ich mich dagegen schützen? …”
Berechtigte Frage.
Man muss hierzu wissen, daß dieser sogenannte Bundestrojaner kein Stück Software von der Stange ist. Der Trojaner wird mit hoher Warscheinlichkeit speziell an den jeweiligen Client (PC) des Opfers angepasst. Somit wird er von Virenscannern und warscheinlich auch von Personal Firewalls unbeachtet seinen Dienst verrichten können.
Weiterhin ist anzunehmen, daß deutsche Software Hersteller verpflichtet werden, eine derartige Backdoor in Ihre Produkte einzubauen.
Also was bleibt mir also? Es wird schwierig!
Hier ein paar Dinge die evtl. verhindern könnten, daß der Bundestrojaner (und natürlich auch andere Trojaner) Euren PC verseuchen:

1. keine unnötige Software installieren – Vorsicht mit Freeware -
Opensource Produkte sind besser!
2. Vorsicht mit Software, die auf jeden Fall z.B. für Updatezwecke eine Internetverbindung aufbaut
3. Messenger und IRC Clients (auch das geliebte Skype gehört dazu! Hat sich eigentlich schonmal jeder Gedanken darüber gemacht, wie das gehen kann… geniale Software mit super Funktionen die jeder will… und dann kostenlos ) nach Möglichkeit nicht verwenden.
4. Nicht benötigte Dienste unter Windows deaktivieren
5. auf dem Internet PC sollte sich keine sensiblen Daten befinden
6. verwendet einen aktuelle Virenscanner (z.B. Avira Antivir) und aktuelle
Betriebssystem Patches
7. Benutzt nicht den Internet Explorer! Benutze den Firefox!
8. Achtung! Bei der Verwendung vom Firefox beachten: keine Firefox Addons
installieren, die nicht sauber sind. Das Addon “NoScript” ist Pflicht!
9. Der wohl wichtigste Grundsatz: Nicht mit Adminrechten arbeiten!
Legt Euch einen eingeschränkten Benutzer an!

Die beste Variante dürfte sein:
Linux von einer CD booten (z.B. Knoppix) – und damit in’s Internet gehen.
Aber Vorsicht! Viele Linux LiveCDs haben mittlerweile die blöde Angewohnheit alle Windows Partitionen zu mounten! Hier wäre schon wieder ein Datenabgriff von aussen einfacher möglich.

Nun ja – aber letztlich liegt das Problem dann doch meisst am PC Benutzer. So hart das klingt – aber es ist so. Mittlerweile tragen auch die Medien Ihren Teil dazu bei, daß sich viele PC Benutzer falsch verhalten.
Es wird “Wissen” vermittelt – und viele fühlen sich sicherer – oder total verunsichert. Letzteres dürfte wohl eher zutreffend sein.

Sollte ich Neuigkeiten über die Aktivitäten des “Bundetrojaners” haben melde ich mich auf jeden Fall wieder.
Eins muss aber immer klar sein:
Schützt Eure Privatsphäre selbst – es wird niemand für Euch tun können! Und schon gar keine Software! Das Internet ist gefährlich – aber auch nützlich.
Wir müssen wieder lernen vernünftig damit umzugehen.

Gruß NF