Trojaner-Board - "csrss-probleme"-diskussionspotential

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - "csrss-probleme"-diskussionspotential (https://www.trojaner-board.de/41467-csrss-probleme-diskussionspotential.html)

"csrss-probleme"-diskussionspotential

Da wir uns offensichtlich noch nicht einig sind, dachte ich ich eröffne mal nen Thread, indem wir uns absprechen können. ;)

Scheinbar gehört der Eintrag zu diesem Program: bpk

Soweit ich das sehe, steht in den Features nichts von nem Remote-access für den Nutzer des Programms, weswegen ich mit dem Neuaufsetzen warten würde.

Was mich ja mal interessieren würde, ob so ein Programm rechtens ist? Würde ich mich strafbar machen, wenn ich das Programm kaufe? (sicher nicht, oder?) Wenn ich es auf meinem Rechner installier, der aber auch von anderen benutzt wird? (vielleicht strafbar?) Wenn ich es auf fremden Rechnern einschleuse? (Wahrscheinlich strafbar?)

Naja wer noch mehr beizusteuern hat, soll sich hier melden. :p

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 283117)

Da wir uns offensichtlich noch nicht einig sind, dachte ich ich eröffne mal nen Thread, indem wir uns absprechen können. ;)

Gute Idee.. ;)

Zitat:

Soweit ich das sehe, steht in den Features nichts von nem Remote-access für den Nutzer des Programms, weswegen ich mit dem Neuaufsetzen warten würde.

Genau da liegt der springende Punkt, außer diesem Eintrag hat sich nichts im Hijacklog dazu finden lassen was auf eine Einschleusung durch schädlichen Code verursacht hätte worden können.

Zitat:

Was mich ja mal interessieren würde, ob so ein Programm rechtens ist?

Jein! siehe mehr dazu hier -> Keylogger - Wikipedia

Gruß
Sunny

Zitat:

Soweit ich bisher gesehen habe, gehört der Eintrag zu diesem Program

welcher Eintrag?

Bata

Hi,
das ganze Thema gehört zu diesem Thread: csrss-probleme

Ich hatte den Thread eben eröffnet, weil es mittlerweile 4 Leute in dem Thread gibt, die diskutieren, was zu tun ist. Damit der TO nicht noch weiter verwirrt wird und sich durch 3 Seiten "Es muss neuaufgesetzt werden"-"Es muss nicht neuaufgesetzt werden"-"Es muss neuauf..." lesen muss, habe ich den Thread hier eröffnet, in der Hoffnung, das man die Differenzen hier klärt, sich auf eine Vorgehensweise einigt und diese dann endgültig dem TO mitgeteilt wird.
Sonst hat der arme Kerl überhaupt keine Chance zu verstehen, was hier los ist. ;)

lg myrtille

*verschieb* :rolleyes:

GUA

die frage ist, wie kommt der auf das system?
Nur die "Full Version" unterstüzt einen "Remote Installation". Man bekommt diese auch im Internet, bzw. kann diese auch kaufen, dennoch etwas mehr aufwand, die Trials laufen denn auch nur 5 Tage.
Ein Scan bei Virustotal o.ä. wird nur die Meldung "Keylogger irgendwas" generieren, denn das macht es ja.
Der TO selber sollte hier mal Stellung beziehen, alles andere ist ja "glaskugelbeschwören".

Bata

Vermutlich hat der TO ne Testversion ausprobiert? Manche zweifelhaften Schutzprogramme blockieren oder verlangsamen in der Testversion das System und fordern zum Kauf der Vollversion auf. Wenn man dies tut, dann läuft das System plötzlich wieder einwandfrei.

Was dieser Keylogger aufzeichnet, das für Interesse für den Softwareanbieter ist, kann nur gemutmaßt werden.

Mich würde dies auf jeden Fall beunruhigen, da ich nicht weiß, welche Informationen nach Aussen gegeben wurden. Deswegen würde ICH lieber das System neuaufsetzen, bzw. mein image drüberbügeln.

LG Felixx

Ich hab mir das Programm mal angeschaut. Die einzige "Backdoor", die das Teil bietet, ist die Möglichkeit, die logfiles per ftp an einen beliebigen Server zu übermitteln. Fernzugriff auf das System ist damit nicht möglich. Kompromittiert ist die Kiste wegen dieses Programs imho nicht. Löschen der Programmdateien und logs reicht.

(*) ist Wildcard und wird vom User gesetzt (Standard: bpk)

Zitat:

bpk.chm, bpk.dat, inst.bin, install.log, keystrokes.html, pk.bin, *.exe, *hk.dll, *i.dll, *r.exe, *un.exe, *vw.exe, *wb.dll, web.dat, websites.html, dt

bpk.dat, web.dat und der Ordner dt enthalten die verschlüsselten logs
*un.exe ist die uninstall-routine

Unter "remote"-Zugriff/Installation wird das Arbeiten im LAN verstanden. Auszug aus der Hilfe

Zitat:

Remote Deployment in a LAN (Local Area Network)

Keylogger offers you easy installation in the Local Area Network. To install Keylogger from an administrator's PC, do the following:

1) Install and configure Keylogger on the administrator's PC
2) Copy Keylogger's folder contents (by default - Program Files\BPK) to any folder on the remote computer.
3) Click Start > Run and type regedt32
4) Choose File > Connect to computer command (this command can be written differently in the different versions of Windows)
5) Connect to the PC you have chosn and open HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run registry branch
6) Add REG_SZ entry with any name and value = full path to bpk.exe ( Keylogger's executable)
7) On the next Windows startup Perfect Keylogger will start its work

Die Ferninstallation läuft also über remote registry, was per default Adminrechte auf dem Host voraussetzt. Alles in allem eine simple Konstruktion für private Schnüffelei.

Der Autostart-Eintrag liegt unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*.exe (Name frei wählbar)

Eine *hk.dll (selbst sichtbar) führt dazu, dass der Registryeintrag nicht sichtbar ist (auch für Icesword/Darkspy/gmer :eek:), aber schon im abgesicherten Modus fliegt der Spuk auf.

----------------
Anmerkung zur Strafbarkeit: Mal aus der Hüfte geschossen fällt mir § 202a StGB ein - Ausspähen von Daten. Die Strafbarkeit hängt im wesentlichen von zwei Merkmalen ab, die beide erfüllt sein müssen:

1. unbefugtes Verschaffen der Daten -> d.h. Verschaffen der Daten ohne Wissen/gg. den Willen des über die Daten Verfügungsberechtigten, ein Einverständnis wirkt tatbestandsausschließend +

2. Daten müssen gegen unberechtigten Zugang "besonders gesichert sein" -> zu diesen Sicherungen gehören physikalische wie logische (zB Passwörter) Barrieren

-> meldet sich der Benutzer unter Verwendung eines PW an seinem Konto an, sind sämtliche Daten, die nur nach PW-Eingabe einsehbar sind, geschützt. Nicht geschützt dagegen ist nach richtiger, weil nach meiner Ansicht :Boogie:, das PW selbst, da es das Mittel der Sicherung ist, nicht aber ein gesichertes Datum. PW können also fröhlich mitgeloggt werden.

Gruß

Zitat:

Zitat von ordell1234 (Beitrag 283256)

Anmerkung zur Strafbarkeit: Mal aus der Hüfte geschossen fällt mir § 202a StGB ein - Ausspähen von Daten. Die Strafbarkeit hängt im wesentlichen von zwei Merkmalen ab, die beide erfüllt sein müssen:

Sowas würde ich generell lassen, außer Du bist Jurist.

Zitat:

Der TO selber sollte hier mal Stellung beziehen, alles andere ist ja "glaskugelbeschwören".

Mich ungern selbstzitier aber alles andere macht wirklich keinen Sinn.

Bata

Zitat:

Zitat von BataAlexander (Beitrag 283270)

Sowas würde ich generell lassen, außer Du bist Jurist.

Entscheidend ist, ob ich Käse erzähle, nicht, ob ich Jurist bin. :teufel3:

Zitat:

Mich ungern selbstzitier aber alles andere macht wirklich keinen Sinn.

Ich dachte, es sei klar geworden, dass das Programm nur über lokalen Zugriff installiert werden konnte. Was willste da noch auf deiner Glaskugel rubbeln?

Es gibt ja genug Leute die jemanden der einen Nick in einem Forum hat glauben was er schreibt. Es gibt auch schon genug die darauf reingefallen sind, oder aber davon partizipieren konnten.
Ich denke es gehört in dem von dir angeführten Rahmen eher nicht hier hin, unabhänig davon ob es Käse ist oder nicht, daher auch keine Wertung des Inhalts.

Zitat:

Ich dachte, es sei klar geworden, dass das Programm nur über lokalen Zugriff installiert werden konnte.

In der Full Version hast Du die Möglichkeit einer remote installation, diese kann man sich im Netz "besorgen".

Bata

Zitat:

Zitat von BataAlexander (Beitrag 283281)

In der Full Version hast Du die Möglichkeit einer remote installation, diese kann man sich im Netz "besorgen".

:heulen: Überlege selbst: Ist ein Fernzugriff vorhanden, und wird das Programm über diesen eingeschleust, ist nicht bpk das Problem, sondern die Lücke. Sind Zugriffsmöglichkeiten nicht vorhanden, gibts keine "remote Installation" unabhängig ob wan oder lan. Kurz: der Keylogger setzt Zugang voraus, schafft ihn aber nicht.

Dem Hersteller ist das - im Gegensatz zu dir - ohne weiteres klar, wenn er schreibt (bin jetzt zu faul zum googlen, deshalb nicht zitatfest): Am besten mit anderen Programmen einschleusen, dann fällts nicht auf. Das ist aber keine Eigenart des Programms, sondern das klassische Trojaner-Prinzip, sprich social engineering.

Zum Rest deines Postings sage ich nichts, da offtopic sowie verquere Logik.

Das Programm ist an sich ist nicht das Problem, wie mir auch der Herr Blazer per Messenger bestätigte (was soll er auch sonst sagen)
Zu dem OT hab ich meine Meinung geschrieben.
Letztlich wirst Du mir zustimmen das wir uns im Kreis drehen ohne Feeedback?

Bata

Zitat:

Zitat von BataAlexander (Beitrag 283303)

Letztlich wirst Du mir zustimmen das wir uns im Kreis drehen

Gern. Frag ihn halt.

Zitat:

Zitat von ordell1234 (Beitrag 283308)

Gern. Frag ihn halt.

vielleicht weiß der damailige TO, warum er sich hier nicht mehr gemeldet hat?

Bata