Hallo! Einmal was an die Helfer hier im Forum...

Ich bin Sprecher einer kleinen Gruppe, die sich hobbymäßig gerne mit Problemen und Fragen in der Computersicherheit auseinandersetzt. Als Sprecher hat man im Prinzip immer den schwarzen Peter in der Tasche – man muss versuchen, etwas auf eine verständliche Art deutlich zu machen, andererseits muss man aber auch immer aufpassen, dass sich niemand angegriffen oder verletzt fühlt. Ganz einfach ist das nicht... Bei uns haben sich in letzter Zeit einige Fragezeichen in den Augen gebildet; und wir überlegen im Augenblick, wie wir die wieder wegbekommen.
Wie fange ich also an? Ich denke so:

Uns ist aufgefallen, dass die Analysen (aber natürlich nicht nur innerhalb eures Forums) auf dem Farbar Recovery Scan Tool aufgebaut sind – eigentlich ausschließlich auf dem Tool.
Wenn nur dieses Tool verwendet wird – und dass nicht nur bei euch, sondern in vielen anderen Ländern auch – würde es sich da nicht für die „Bösen Buben“ lohnen, auf möglichst einfache Art ein bisschen an den LOGs eures Tools zu drehen, um manche Sachen erst mal gar nicht anzeigen zu lassen?

Mal folgender fiktiver Fall, um die Sache etwas deutlicher zu machen:

Es ist ja ziemlich einfach zu sehen, dass das Farbar Recovery Scan Tool in Autoit 3 programmiert wurde. Mal angenommen, ein eher mittelmäßig begabter Malwareprogrammierer würde sich die Bedienungsanleitung der Sprache einmal vornehmen und in – wir sagen mal einer halben Stunde Lesarbeit – auf Sicherheitslücken in der Sprache stoßen, über die er sehr einfach Sachen „ausblenden“ lassen könnte. Nach weiterer kurzer Sucharbeit, wo man denn ansetzen könnte, findet er eine für das Verstecken von Malware sehr gut nutzbare Stelle, auf die euer Tool in gewollter Weise anspricht – und plötzlich ist etwas, was eigentlich da ist, nicht mehr in den LOGs zu sehen.

Mal angenommen, das wäre wirklich so unglaublich einfach, das zu tun - wie sicher wäre dass dann, was ihr da tut?
Würde so etwas nicht genutzt werden? Würdet ihr das überhaupt sehen, wenn jemand so vorgeht?
Mal angenommen, dem wäre so – wie sicher ist es dann, dass ein hier als „geheilt“ entlassener Computer nicht nach kurzer Zeit wieder genau den selben Trojaner trägt und mal eben wieder Passwörter, Geld oder sonstwas abgefischt wird? Ist das nicht alles ein Spiel mit dem Feuer; besonders wenn alles nur auf der Nutzung eines einzigen Analysetools aufbaut?

Wie schnell würdet ihr merken, dass da was gar nicht gelistet wird? Wird das Tool regelmäßig auf seine Funktion hin geprüft?

Natürlich ist das möglich, aber wenn Du Dir die Vorgehensweise der Helfer ansehen würdest, dann wäre Dir sicher aufgefallen, dass niemals nur dieses Tool verwendet wird. Zusätzlich wird am Ende normalerweise noch ein Scan mit einem Online-Virenscanner durchgeführt.
Es ist auch wichtig zu wissen, was die genauen Symptome sind und was sie verursacht, deshalb wird auch immer gefragt, ob es noch Probleme gibt. Und das ist meistens auch der Grund, warum sich Hilfesuchende melden. Es liegt ein Problem vor, dass es zu beheben gilt. Gäbe es das Problem nicht, würde sich auch kaum jemand melden. Besteht das Problem weiterhin, dann wird auch weiter gesucht. Bei wirklichen Härtefällen wird dann eine Neuinstallation angeraten.

Und es wäre nicht nötig, das Tool auf Sicherheitslücken zu untersuchen. Den Code anzugreifen ist wie mit Kanonen auf Spatzen zu schießen.

Gruß, Kaos

Ausserdem scannen wir mit dem Ding auch aus der Recovery. Dann hat sich das mit dem Code lesen schon erledigt.

Zitat:

Zusätzlich wird am Ende normalerweise noch ein Scan mit einem Online-Virenscanner durchgeführt.

Na ja – oben war von einer Analyse die Rede. Ist der Unterschied geläufig?

Zitat:

Es ist auch wichtig zu wissen, was die genauen Symptome sind und was sie verursacht, deshalb wird auch immer gefragt, ob es noch Probleme gibt.

Oh ha – jemand der zwecks Fernsteuersachen über längere Zeit auf dem Rechner bleiben möchte, wird gar nicht erst Probleme machen. Adware hingegen schon. Also ist nachher die Adware und das sichtbare Problem weg und er wird als geheilt entlassen?

Zitat:

Und es wäre nicht nötig, das Tool auf Sicherheitslücken zu untersuchen.

Das ist auch gar nicht nötig. Einsprungspunkte in das Tool werden frei Haus geliefert – da muss man nichts großartig untersuchen. Teilweise sogar von euch selbst! Komplett kostenlos und frei von jeder anstrengenden Arbeit. Wie gesagt, es bilden sich sehr große Fragezeichen bei uns.

Zitat:

Den Code anzugreifen ist wie mit Kanonen auf Spatzen zu schießen.

Es reicht ein kleiner Kieselstein. Der wird einem sogar noch in die Tasche gelegt – wie gesagt, Fragezeichen.
Da finde ich den zweiten Teil schon etwas interessanter:

Zitat:

auf Spatzen zu schießen

Da könntest du Recht haben – eventuell nimmt man euch nicht ernst und lässt deshalb solche Geschenke links liegen – wer weiß.

Zitat:

Und es wäre nicht nötig, das Tool auf Sicherheitslücken zu untersuchen.

Das ist sehr interessant, wenn man deine Meinung von anderer Seite betrachtet. Ihr haltet es also gar nicht für nötig, ein Tool auf seine korrekte Funktion hin zu untersuchen, was in vielen Ländern als einziges genutzt wird???
Das erklärt jetzt einiges und hat gerade eben ein ganz ganz großes Fragezeichen weggestrichen.

Zitat:

Zitat von Juiced

Oh ha – jemand der zwecks Fernsteuersachen über längere Zeit auf dem Rechner bleiben möchte, wird gar nicht erst Probleme machen. Adware hingegen schon. Also ist nachher die Adware und das sichtbare Problem weg und er wird als geheilt entlassen?

Du möchtest bitte zur Kenntnis nehmen, dass FRST nicht das einzige Tool ist, mit dem hier gearbeitet wird.

Zitat:

Zitat von Juiced

... und frei von jeder anstrengenden Arbeit. Wie gesagt, es bilden sich sehr große Fragezeichen bei uns.

Was redest du da?
Wenn du zu große Fragezeichen hast, dann solltest du dich vllt mal besser in die Materie einarbeiten, ne Ausbildung machen hier oder einem anderen dafür ausgelegten Board machen oder so

Zitat:

Zitat von Juiced

... Das erklärt jetzt einiges und hat gerade eben ein ganz ganz großes Fragezeichen weggestrichen.

Also offensichtlich bist du ja der Meinung, dass aktive Malware die FRST-Logs während der Erstellung manipuliert. Schön selbst wenn das so sein sollte gilt immer noch das:

FRST ist nicht das einzige Tool bei einer Analyse - oder glaubst du echt, dass jeder supermagic malware auf dem Rechner hat, die jedes Log genau so manipuliert, dass wirklich KEINEM das mehr NIEMALS auffällt?

Na ja – oben stand ja folgendes von mir:

Zitat:

Mal folgender fiktiver Fall, um die Sache etwas deutlicher zu machen:

So ganz fiktiv ist das natürlich nicht – ich würde mir sonst gar nicht Arbeit machen, euch auf etwas hinweisen zu wollen. Das ist doch klar – oder?
Uns hat sehr erschreckt, wie einfach man auf zum Beispiel auf solche Sachen kommt:

https://workupload.com/file/ru3rDfE

Im Prinzip bekommt man das als Programmierer als Möglichkeit hinterhergeschmissen.
Kurzes Lesen der Hilfedatei von Autoit 3 reicht vollkommen. Das kann man im Prinzip mit etwas Ahnung gar nicht überlesen.
Im Paket ist eine gezippte und mit Passwort versehene EXE. Das Passwort werden wir an Larusso schicken. Wir gehen davon aus, dass er es im internen Bereich veröffentlichen wird.

Was ist das für ein Programm?

Im Paket befindet sich ein kleines Testprogramm – die Datei ROEH.EXE.
Führt man diese Datei aus, erscheint eine kleine GUI. Die Datei verlangt sich Adminrechte – sie tut das deshalb, weil wir da eine bestimmte Stelle im Auge hatten, die übersichtlich ist und einfach zu finden sein sollte. Um so etwas auszuführen, was die Datei da tut, benötigt man die Adminrechte nicht zwingend.
Erst wenn man dort auf den Button create autostart klickt, passiert das eigentlich Wichtige.
Erscheint das Programm dann nach jedem Neustart des Rechners wieder, funktioniert es korrekt. Andernfalls nicht. Wir hoffen, dass das Testprogramm bei euch korrekt läuft.

Schaut bitte mal mit eurem Tool nach, auf welche Weise es wohl gestartet wird.

Wir gehen davon aus, dass Farbar das Problem in sehr kurzer Zeit beheben wird. Das wäre im Prinzip sehr einfach zu bewerkstelligen. Ob das wirklich überall geschieht, wo diese eine Sache möglich ist, werden wir nicht kontrollieren. Das sehen wir nicht als unsere Aufgabe an. Wir wollen erst einmal nur auf Sachen hinweisen und hoffen, dass überhaupt verstanden wird, auf was wir hinweisen möchten.

Das Fixen der Lücke an diesem Ort werden wir kontrollieren – mehr nicht.

Wir haben noch andere Sachen, die uns Sorgen machen – und wir warten erst mal ab, bis das Problem gefixt ist, bis es weiter geht. Wir gehen eigentlich davon aus, dass das sehr schnell erledigt sein wird.

Ich versteh die Diskussion nicht wirklich. Niemand verlangt, dass FRST ein perfektes Tool immer und zu jedem Belang ist. Man kann damit schon sehr viel tun und analysieren. Aber es kommen auch andere Tools zum Einsatz. Und du kannst mir jetzt so nicht erzählen, dass deine spezielle magic malware, die sich auf FRST eingeschossen hat, auch alle anderen Logs manipuliert.

Selbst wenn Malware-Autoren unsere Logfiles von FRST manipulieren, wäre das wohl der sinnfreiste ( wobei auch der kreativste) Trick, diese zu verstecken.
Malware will sich von den Scannern selbst verstecken ( Stichwort Rootkit ). FRST ist garantiert kein One-Plus-Ultra Tool, reicht aber zur Übersicht des Systems aus.
Daraus entscheiden wir, wie wir vorgehen müssen.

Wir haben noch einmal über eure Rückmeldungen diskutiert. Wir haben ein bisschen den Eindruck gewonnen, dass überhaupt nicht verstanden wurde, worauf wir hinaus wollen.
Wir wissen, dass es nicht ganz einfach ist, Sachen zu verstehen, die einen ganzen Batzen Fachwissen erfordern, wenn man selbst dieses Fachwissen gar nicht besitzt.

Also noch einmal etwas klarer, wir sind sehr geduldig:

• Die Programmiersprache Autoit 3 weist einiges an Sicherheitslöchern auf. Im Prinzip bedeutet das, dass einige Befehle der Sprache intern nicht so umgesetzt sind, wie dass eigentlich erforderlich wäre, wenn man mit diesen Befehlen Sicherheitstechnisch relevante Programme schreibt. Es passieren unter bestimmten (ausnutzbaren) Voraussetzungen Fehler, wenn diese Befehle verwendet werden.

• Unser weiter oben verlinktes Testtool nutzt einen dieser Fehler aus und dient als Beweis für deren Existenz.

• Auch das Farbar Recovery Scan Tool ist in Autoit 3 geschrieben und reagiert in negativer Weise auf unser Testtool. Negativ heißt: Es listet dann nicht alle Sachen.

• Ob man Farbar nun in einem Recovery Mode ausführt oder nicht, ist für diesen Fehler total unrelevant. Was fehlerhaft programmiert ist, bleibt fehlerhaft programmiert – egal wie und wo man das Tool ausführt.

• Um diese Fehler in der Sprache zu erkennen und diese nutzen zu können, muss man zwar Fachwissen besitzen – aber nur im dem Maß, wie das beim Schreiben von Trojanern üblich ist. Hat man das, kann man sich die besagten Fehler aus der Hilfedatei von Autoit 3 sehr einfach erlesen. Wirklich sehr einfach. Dafür sind keine Superkräfte erforderlich.

Da ihr als einziges wirkliches Analysetool Farbar nutzt (auch wenn ihr das selbst scheinbar gar nicht wisst), sahen wir es bislang als unsere Pflicht an, euch über diesen Sachverhalt zu informieren – denn es ist beim besten Willen nicht ganz sicher, ob das, was das Tool bislang anzeigt, auch genau das ist, was auf dem Rechner läuft. Das ist hiermit erfolgt. Eine Testdatei zum Prüfen der Angelegenheit ist, wie bereits oben steht, hier im Thema hinterlegt.

Aufgrund eurer Rückmeldungen haben wir uns entschieden, hier doch etwas schneller weiterzumachen. Es geht vor allen Dingen darum, uns einen Überblick über bestimmte Sachen zu verschaffen, um weitere Handlungen unsererseits festzulegen. Es wird also spätestens im Laufe der nächsten zwei Tage noch etwas hier folgen. Wir müssen, wie gesagt, für uns Sachen klären.

Scheinbar wird hier auch etwas missverstanden. Maleware manipuliert die Logs nicht, Farbar findet sie einfach nur nicht, notiert sie nicht.

Zitat:

Wir wissen, dass es nicht ganz einfach ist, Sachen zu verstehen, die einen ganzen Batzen Fachwissen erfordern, wenn man selbst dieses Fachwissen gar nicht besitzt.

Sind wieder irgendwo Schulferien?

Und warum postet ihr das eigentlich hier?
Farbar ist sehr offen und man kann auf bleeping Computer direkt mit ihm kommunizieren.
Für mich persönlich gibt es jedoch einen riesen Unterschied zwischen einem Sicherheitsrelevanten und einem Systemanalyse Programm.
Glaubt euer hobbyverein vielleicht, dass unsere Welt hier nur aus nicht-IT Profis besteht ?
Es arbeiten sehr wohl Spezialisten hier mit uns und wäre dies ein ernstzunehmendes Problem, würden wohl schon längst andere Leute intern was dazu gesagt haben.

Solche Dinge gehören wohl eher in einen Bereich, wo sich Programmierer unterhalten und nicht hier, wo wir uns auf die Entfernung von Malware spezialisiert haben und sich viele wohl nicht mit dem Programmieren auseinander setzen.

Aber wäre es nicht sinnvoller, was neues zu entwickeln anstatt was geschriebenes zu beurteilen. Zweiteres ist nämlich wesentlich einfacher

Zitat:

Sind wieder irgendwo Schulferien?

Ich hoffe ihr seid uns nicht böse, wenn wir auf einer fachlichen Ebene bleiben. In dieser Art diskutieren wir ganz ungerne.

Zitat:

Und warum postet ihr das eigentlich hier?
Farbar ist sehr offen und man kann auf bleeping Computer direkt mit ihm kommunizieren.

Wir sind bereits seit mehreren Jahren auf unterschiedlichen wegen mit Farbar in Kontakt. Ihr könnt ihm unter anderem Grüße von demjenigen bestellen, der seine Eventlog.au3 aus dem Paket von Autoit3 vor kurzem für ihn überarbeitet und dort Probleme gefixt hat. In letzter Zeit waren wir leider etwas öfters mit ihm in Kontakt, da wir uns aus anderen Gründen etwas intensiver mit dem Tool beschäftigt haben, als das bislang der Fall war.

In den letzten Kontakten mit Farbar zwecks dem Fixen von Problem und der Weiterentwicklung des Tools haben sich bei uns einige Fragezeichen in den Augen gebildet.
Vor allen Dingen haben wir uns gefragt, wie um Himmels Willen es möglich sein kann, dass sowohl OTL als auch Farbar einen Autostarteintrag gar nicht korrekt listen und das - über über den Daumen gepeilt vielleicht zehn Jahre lang - gar nicht an die Programmierer weitergeleitet wird, obwohl das mit Fachwissen aus LOGs eigentlich ersichtlich ist, dass da etwas komplett schief läuft. Ich weiß, es ist schwer, wir reden jetzt schon wieder von einem ganz anderen Problem – nicht von der Sache, zu der wir hier die Testdatei gepostet haben.

Wenn über so lange Zeit ganz offensichtliche Sachen gar nicht gemeldet werden, passt etwas an der Basis nicht. Die können dann manche Sache, die für Virenschreiber offensichtlich sind, gar nicht sehen und leiten sie deshalb nicht weiter. Wir sind hier jetzt an der Basis – wir stellen gerade fest, was nicht passt.
Passt etwas an der Basis nicht, was nicht zu ändern ist, gibt man laufend Hinweise an Leute weiter, die sie beim besten Willen eigentlich nicht erhalten sollen – nämlich an die Leute, die professionell Viren schreiben und ihr Handwerk verstehen.

Das irgendetwas Fachbezogen hier abläuft und demnach verbesserbar ist, sehen wir aus solchen Rückmeldungen hier leider nicht:

Zitat:

Sind wieder irgendwo Schulferien?

Auf dieser Ebene ist leider beim besten Willen keine Verbesserung zustande zu bringen. Wir werden deshalb den Support, den wir gegenüber eurem Programmierer bislang geleistet haben, einstellen.
Auf einer bestimmten Ebene weiterzumachen, hat keinen Zweck. Man gefährdet dann nur die Menschen, denen man ursprünglich eigentlich helfen wollte.

Wir hätten uns eigentlich gewünscht, dass aus mehreren Richtungen zu mindesten ein Blick auf die Datei geworfen wird, die wir hier abgesetzt haben. Unser Ansicht nach wäre das fachbezogen. Was kommt aber?

Zitat:

Sind wieder irgendwo Schulferien?

Na ja – leider war das die einzige wirkliche Frage, die ihr hier gestellt habt. Uns reicht das, wie gesagt, als Rückmeldung. Beantworten können wir die im Augenblick leider nicht, da müssten wir selbst nachsehen.

Zitat:

Zitat von Juiced

Wir werden deshalb den Support, den wir gegenüber eurem Programmierer bislang geleistet haben, einstellen.

Das könnt ihr doch nicht tun

Hallo,

Zitat:

Zitat von Juiced

Wenn über so lange Zeit ganz offensichtliche Sachen gar nicht gemeldet werden, passt etwas an der Basis nicht. Die können dann manche Sache, die für Virenschreiber offensichtlich sind, gar nicht sehen und leiten sie deshalb nicht weiter. Wir sind hier jetzt an der Basis – wir stellen gerade fest, was nicht passt.

so ganz kann ich die Kritik nicht nachvollziehen. Erstens ist es doch kein Geheimnis, dass es etliche Startpunkte gibt, die nicht im Log auftauchen - auch ohne Manipulation. Das war auch Teil der Ausbildung.

Zweitens zeigt z.B. der Fall Poweliks, dass sehr wohl Malware erkannt wird, die nicht im FRST-Log auftaucht und Farbar anschließend eine Erkennung implementiert hat.
30+ DLLHOST.EXE *32 running in task manager - Page 4 - Virus, Trojan, Spyware, and Malware Removal Logs

Zitat:

Zitat von deeprybka

..., dass es etliche Startpunkte gibt, die nicht im Log auftauchen - auch ohne Manipulation. Das war auch Teil der Ausbildung.

Der Kritiker scheint hier aber von einer falschen Annahme auszugehen. Er glaubt, dass FRST von uns als ALLESKÖNNER angesehen wird, der alles scant, keine Schwächen und keine Bugs hat. Wenn er diese falsche Annahme korrigiert, hat sich dieser Thread erübrigt.