auch wenn ich mich damit unbeliebt mache, ich denke das banken rettungen schon ihren sinn haben, aber das führt hier wohl etwas zu weit :-)

Zitat:

Zitat von markusg

nein im post1 hatte ich es so verstanden das er die malware in nem eingeschrenktem konto laufen lies

natürlich nicht vorsätzlich. Ich arbeite grundsätzlich als Benutzer! Habe nach BG Images gesucht, für ein Programm an dem ich gerade arbeite und dieses eine "böse Bild" war in ner Rar mit drin. Da waren mehre Bilder drin. Sind auch alles JPGs gewesen, nur dieses eine halt nicht und ich kannte RTLO noch nicht!

Das Programm war auch sehr schlau und hat nach dem ausführen auch den Bildbetrachter mit nem Broken Image geöffnet, damit man keinen verdacht schöpft. Ich hab zum Glück in den Moment gelesen, dass Windoof die Datei als Bildschirmschoner identifiziert hat und mitbekommen, dass der Dateiname verhunzt war. Deswegen ja auch der Post hier.

Zitat:

Zitat von w_dackel

Malwareverdächtige Software auf Produktivsystemen mit vertraulichen Kundendaten auszuprobieren?

Klar, macht doch Spaß ;-)

Mal im Ernst Leute - Natürlich sind meine Kundendaten verschlüsselt und geschützt. FTP Passwörter, Mysql Datenbanken usw...Extrem Sensible Daten lagern auf externen Festplatten, die nicht ans System angeschlossen sind!

Außerdem habe ich die Malware nicht mal eben "ausprobiert", sondern bin auf das RTLO reingefallen, hab das File für n JPG gehalten und es ausgeführt. Hab aber danach gleich gerafft, was passiert ist!

Aber vielleicht schonmal was von "Keylogger" gehört? Da kann ich TrueCrypt haben wie ich will. Jede vernünftige Backdoor hat nen vernünftigen Keylogger, der auch erkennen kann, wenn ich mich irgendwo einlogge und das dann einfach mitschreibt! Das konnte schon SubSeven vor 10 Jahren!

Auch "virtuelle Tastaturen" sind nicht 100% sicher davor, denn irgendwann wandert die Eingabe auch durch den Speicher und spätestens dort kann man sie abfangen.

Was TrueCrypt angeht: Ich glaube nicht das ein Trojaner, der sich gezielt über TrueCrypt hermacht sehr effektiv wäre. Wenn ich 100 Millionen Leute Blind infiziere, haben davon 2% TrueCrypt. Da wäre doch ein Keylogger effektiver. Mal davon abgesehen gibt es unzähliche Sicherheits- und Verschlüsselungskonzepte und wenn ich nen Trojaner schreiben wolle, der die alle knacken kann, wäre der ein bisschen größer als die paar KB die ein Trojaner sonst so hat. Außerdem wäre es bei der größe zu buggy, um auf allen System (dessen Konfiguration mir als böser Cracker ja unbekannt ist, wenn ich es infiziere) stabil zu arbeiten.

Ein guter Trojaner ist klein, effektiv und unauffällig! Ein guter Keylogger, der alles loggt was ich schreibe + erkennt wenn spezielle Login Formulare ausgefüllt werden und diese Daten separat speichert + Cache Dateien und wenn möglich den Ram nach Passwörtern durchsucht, ist da sinnvoller.

Markusg würde auch keinem, der sich gerade mit ner unbekannten Malware infiziert hat raten: "Wenn Du TrueCrypt benutzt, brauchste dein System nicht neu aufsetzen, da biste 100% sicher" - Das gleiche gilt für alle PC Saves der Welt! Wie schon gesagt - Spätestens wenn der User seinen Save aufmacht, kann auch der liebe Backdoor hineinsehen ;-)

Anstatt hier mitzuhelfen und aufzuklären, macht Ihr Euch über das Fehlverhalten anderer lustig. Das ist sehr effektiv!

Markusg danke ich recht herzlich für seine mithilfe und Analyse dieser Datei und seine Infos zum RTLO - Wieder was dazu gelernt!

OK.. so hätte ich das auch gemacht.

Allerdings habe ich jetzt auch wieder etwas dazugelernt: früher waren die Gauner so ehrlich ihre Exploits in Nacktbildern zu verstecken.. jetzt verwenden die auch schon normale Hintergrundbilder dazu.. es gibt keine Gaunerehre mehr ... ;-)

Zitat:

Zitat von W_Dackel

OK.. so hätte ich das auch gemacht.

Allerdings habe ich jetzt auch wieder etwas dazugelernt: früher waren die Gauner so ehrlich ihre Exploits in Nacktbildern zu verstecken.. jetzt verwenden die auch schon normale Hintergrundbilder dazu.. es gibt keine Gaunerehre mehr ... ;-)

Deswegen sag ich ja, dass da sicher noch mehr kommen wird. Auch wenn RTLO schon älter ist (ging wohl unter Vista bereits), ist das doch Ideal für "Cyberkriminelle"! Ich meine die meisten kriegen ja beigebracht "ach n JPG kannste unbesorgt aufmachen" - Der Opi von nebenan, dessen Enkel seinen PC eingerichtet hat, sucht nach Nackbildern, findet welche und infiziert sich und bekommt nichtmal mit was gerade passiert ist, wenn das Teil so schlau ist und auch wirklich ein Nacktbild anzeigt!

Selbst halbwegs versierte User, die RTLO nicht kennen, können sich schnell und unbemerkt infizieren.

Ein nachfolgender Test (ich hab den Trojaner mal gebackupt) mit NIS zeigt, dass er jetzt als WS.Reputaion erkannt und gelöscht wird! WS.Reputation sind aber nur Schädlinge, die nicht näher untersucht werden, weil deren Verbreitung so gering ist, dass es nicht lohnt eine komplexe Erkennungs- und Entfernungsroutine zu programmieren! Reicht in dem Falle zwar aus, ist nur blöd für die, die schon infiziert sind!

Nun... wie ich oben schon schrieb kannst du dem Opa und seinem Enkel prophylaktisch mitteilen dass es Tricks wie RTLO schon unter CBM bzw. VC 20 / C 64 gab, d.h. die gab es schon zu Opas Zeiten, und die dürften auch für Smartphone und Spielekonsole des Enkels bald relevant sein...