|
Bildschirmschoner als JPG? Hallo Leute, hatte heute einen ganz interessanten Fall. Hab eine Dabei bekommen, die nennt sich "Bild von SCR.jpg". Obwohl es die Endung .jpg hat, erkennt Windows diese als Bildschirmschoner. Ich hab natürlich die Option "Dateiendung bei bekannten Dateitypen ausblenden" deaktiviert, damit ich auch wirklich alle Dateiendungen angezeigt bekomme! Wenn ich diese Datei umbenennen will, passiert auch was interessantes. Windows 7 markiert dann ja erstmal nur den Dateinamen und nicht die Endung. Im Fall dieser Datei Markiert Windows "Bild von .jpg" und lässt das SCR (Screensaver File) unmarkiert, also ist die "wahre Dateiendung" scr! Wie geht sowas? Ich weiß wohl das es ein Virus ist, denn beim Ausführen legt das Ding diverse Prozesse an, die sich gegenseitig überwachen. Versucht man also eine dieser Prozessdateien zu löschen, wird sie automatisch wieder angelegt! Was mich hier aber primär interessiert, wie dieser Dateiname möglich ist? Kann man sich mittlerweile nicht mehr sicher sein, dass eine Datei mit Endung jpg eine ausführbare ist? |
|
OK hab sie gepackt, weil wenn ich sie per Webform sende, nennt die sich um in Pic_01 BY ... gpj.SCR - Dann sieht man auch das es ne SCR ist. Ich hab sie jetzt mal als RAR gesendet - In der rar heißt die auch Pic_01 BY ... gpj.SCR, aber wenn man die Rar entpackt heißt die entpackte Datei Pic_01 BY SCR.jpg! Ich glaub im Dateinamen sind Maschinenzeichen drin, die die Endung verdrehen! |
hi dass nennt man right to left override “exe†read backwards spells “malware†| Commtouch Café ich hoffe du kannst englisch, da ist nen artikel, falls unklarheiten bestehen, melden. hast du das teil auf deinem produktiv system ausgeführt? |
Zitat:
Ich hatte nach dem ausführen 2 Dateien unter: C:\Benutzer\MeinBenutzer\AppData\Roaming\ liegen. Die hießen glaub R04.exe und eine R04 ohne Endung. Wenn ich versucht habe die beiden Dateien zu löschen, haben die sich selber wiederhergestellt! Da ich das Teil ja nur als eingeschränkter Benutzer ausgeführt habe, dürfte es nicht die Möglichkeit gehabt haben, irgendwelche Prozesse dem Autostart per Registry Eintrag hinzuzufügen. Ich hab also den Rechner komplett neu gestartet und dann konnte ich diese beiden Files auch löschen, ohne das die sich wiederhergestellt haben! Durch das eingeschränkte Konto dürfte das Teil keine Möglichkeit gehabt haben sich auf C: oder C:\windows\* zu schreiben und sich somit als Dienst oder Treiber zu tarnen. Wenn es einen Prozess angelegt hat, dann nicht in den beiden genannten Ordnern und selbst wenn es irgendwo anders noch einen Prozess angelegt hat, hätte es keine Möglichkeit sich in den Autostart zu schreiben, da das auch nur der Admin machen darf! Die einzige Möglichkeit wäre noch den Bootsektor zu überschreiben, aber ich glaub das darf ein eingeschränkter Benutzer mit Sicherheit auch nicht ohne weiteres! Ich hab auch über mein Norton Internet Security einen Insight Check (bzw. Norton Community Watch) aller laufenden Prozesse, Dienste und Treiber gemacht, alles positiv bewertet! Ich kann bei Norton dort auch sehen wann Norton das erste mal diesen Dienst, Treiber oder Prozess festgestellt hat. Da mir das am 02.10. passiert ist, müsste ich einen Prozess, Dienst oder Treiber finden, der seit dem 02.10. zum ersten mal gestartet wurde. Da war auch nix bei. Ich gehe also mal davon aus, dass zum Glück nix weiter passiert ist! Man könnte das Teil ja mal in der Sandbox (Sandboxie) ausführen und dort schauen was das Teil so alles versucht zu schreiben!? Oder? |
ist nen passwort stealer, wenns mein pc is wäre er schon neu instaliert :-) |
Wie haste das rausgefunden? Welcher ist das? Erkennt ja kein Virenscanner. Hast Du das Teil jetzt selber auseinandergenommen? Wenn ich alles neu installiere, muss ich da alle Partitionen vorher killen, oder reicht es c zu formatieren? |
Passwortstealer sollte man übrigens auch nicht in Sandboxie ausführen ;-) das kann selbst da schief gehen... |
es ist ein backdoor, und backdoors stehen passwörter. von wo hast du den eigendlich? nen link zur verfügung? falls ja als private nachicht partitionen löschen musst du nciht, aber neu instalieren, anleitung: 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen. |
@Markusg Du hast ne PN! Also ich hab auf dem Rechner nen externen IDE Controler, an dem noch 2 Platten dranhängen. Ich hab den Rechner damals von ner Firma einrichten lassen, die es nicht mehr gibt. Ich hab leider die Treiber nicht für den Controler und hab auch keinen Plan welcher das ist. Wie find ich das raus? |
ne ich wollte aber per pm wissen, ob du weist von wo du die malware hast, evtl. mit link. lies mal mit everest home aus: http://filepony.de/download-everest_home/ kurzbericht, und hänge den an |
An Controlern hab ich die hier gefunden mit Everest [ Intel(R) 6 Series/C200 Series Chipset Family 6 Port SATA AHCI Controller - 1C02 ] Geräteeigenschaften: Gerätebeschreibung Intel(R) 6 Series/C200 Series Chipset Family 6 Port SATA AHCI Controller - 1C02 Treiberdatum 10.09.2010 Treiberversion 9.2.0.1011 Treiberanbieter Intel INF-Datei oem3.inf Geräteressourcen: Port 0001-C0106 Port 0003-5070107 Port F020-F03F Port F070-F077 Port F090-F097 [ JMicron JMB36X Controller ] Geräteeigenschaften: Gerätebeschreibung JMicron JMB36X Controller Treiberdatum 10.08.2010 Treiberversion 1.17.58.2 Treiberanbieter JMicron Technology Corp. INF-Datei oem29.inf Geräteressourcen: Port 0001-0000 Port 0003-0002 Port D000-D00F Port D020-D027 Port D040-D047 [ Marvell 91xx SATA 6G Controller ] Geräteeigenschaften: Gerätebeschreibung Marvell 91xx SATA 6G Controller Treiberdatum 27.08.2010 Treiberversion 1.0.0.1045 Treiberanbieter Marvell Inc. INF-Datei oem25.inf Geräteressourcen: Port 0001-0000 Port 0003-0002 Port B000-B00F Port B020-B027 Port B040-B047 [ Silicon Image SiI 0680 ATA/133 RAID Controller ] Geräteeigenschaften: Gerätebeschreibung Silicon Image SiI 0680 ATA/133 RAID Controller Treiberdatum 23.07.2007 Treiberversion 1.0.3.0 Treiberanbieter Silicon Image INF-Datei oem30.inf Geräteressourcen: Port 0001-5F005F Port 0003-300034 Port C080-C08F Port C0A0-C0A7 Port C0C0-C0C7 Gerätehersteller: Firmenname Silicon Image, Inc. Produktinformation hxxp://www.siimage.com/products Treiberdownload hxxp://www.siimage.com/support/downloadcenter.aspx Ich geh mal stark davon aus, dass es der ist: Silicon Image SiI 0680 ATA/133 RAID Controller Korrekt? Also nach eingehender Info scheint das der zu sein und da als herausgeber beim Treiber Microsoft da steht, sollte das schon seitens Windows installiert werden. Andere Frage - Gibts die Möglichkeit sich vor diesen Overrides zu schützen, also zumindest in Dateinamen? Das man das sozusagen deaktiviert, weil braucht eh keiner... @Markusg: So hab das System neu aufgesetzt. Ich hab aber, wie angewiesen auch nur die Platte formatiert. Ein MBR Virus schließt Du aus, oder? |
hi, gute frage ob man sich vor overrides schützen kann, hab mich da noch nicht weiter informiert da das schon lange nicht mehr vor kam, aber ich schau mal. du kannst dateien immer bei: www.virustotal.com prüfen dort unter additional informationen kannst du auch infos zum datei typ einsehen. wegen der frage nach dem mbr, die du per pm gestellt hast, das war nen backdoor, der macht nichts am mbr sichere mal den pc ab: als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren. vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe anleitung lesen bitte falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: Sandboxie Download - Sandboxie 3.74 anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: hide beta updates. Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: http://www.trojaner-board.de/82962-w...en-backup.html Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser passwort sicherheit: jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort bei der passwort verwaltung und erstellung hilft roboform Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager anleitung: RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten |
Ich habe nen neues Windoof aufgesetzt, alle Updates installiert usw. Also was Computersicherheit betrifft: Ich hab ne Firma in die Richtung und arbeite da für andere Unternehmen. Ich kämpfe viel mit so nem Scheiss rum... Aber dieses "Right to Left Override" ist mir noch nicht untergekommen! Was mich rein fachlich mal interessieren würde - Wie hast Du rausbekommen, dass das File n Backdoor war. Welche Files es angelegt hat usw. konnte ich ja auch teilweise verfolgen, aber das wars dann auch schon! Gut man könnte das Teil Offline in ner Sandbox laden und die Aktionen verfolgen, aber was macht Dich so sicher, dass es ausgerechnet n Backdoor ist. Hätte auch n Remote Trojaner oder m Worm sein können... Ich benutze übrigens Norton Internet Security. Habe unzählige Tools getestet auf Herz und Nieren und der hat bisher so einiges in den Schatten gestellt, selbst laut eigenen Testerfahrungen Kaspersky und co... Finde bei Norton auch diese Community Watch ne geile Idee. Fingerprints von Files in einer Community prüfen, um relativ sicher feststellen zu können ob man eine kompromitierende Datei hat. Die meisten kostenlosen Scanner sind unsinn. Vor allem Avira ist der absolute Unsinn m.e.! |
hi Joe Sandbox - Web Interface da hab ich das file geprüft und es zeigte backdoor typische verhaltensmuster, wie zb verbindungen. abschalten lässt sich das übrigens nicht norton entscheidet mir zu viel selbst setzt zb files in die quarantäne ohne das man als nutzer selbst auswählen kann ob das überhaupt gewünscht ist |
*g* ich bin einfach faul. Wenn Norton scheisse baut, schalte ich es ab, saug mir das Teil nochmal und gut ist. Bei mir ist es aber noch nicht vorgekommen, dass er was in den quarantäne geschoben hätte. Die Fehlalarmquote ist ziemlich gering bei NIS. Die Firewall ist auch gut gemacht find ich. Norton verbietet erstmal allen nicht bewerteten, unbekannten Files jegliche Verbindung, raus oder rein, was den Backdoor sowieso schonmal außer Gefecht gesetzt hat. Ich hab ja auch alle Dienste, Treiber und Startdateien gecheckt und das System war Clean, aber Du hast schon Recht. Ich hab hier paar Kundenpasswörter rumlungern - Das muss echt nicht sein, dass mir n russischer Kiddie Cracker geheime Daten meiner Kunden klaut. Was meintest Du mit "abschalten lässt sich das übrigens nicht"? Bezogen auf den RTLO? Es gibt ja inzwischen einige Sicherheitsexperten die Microsoft nahe legen, dass zumindest in Bezug auf Dateinamen zu patchen, denn das wird mal noch ein riesiges Problem. Ich würde ein Virus schreiben, dass zur Ablenkung das Bild einer sexy Hexe im Windows Bildbetrachter anzeigt, wärend es sich aus führt und die Datei via RTLO in "sexy-Hexe.jpg" umbenennen. Das wäre doch fast schon das perfekte Verbrechen. Dann gleich noch alle seine Kontakte anschreiben "schau mal meine Freundin" - Das führen die doch alle aus... Ich denke das wird mal noch ein riesen Problem werden! Wenn das mit dem "abschalten" wirklich aus RTLO bezogen war - Das ist echt Mist. Microsoft sollte da echt mal drüber nachdenken das zu "patchen", auch wenn RTLO kein Bug, sondern ein "Feature" ist, birgt das doch zu große Gefahren andere zu täuschen! |
Du als IT Sicherheitsberater hast also Kundenpasswörter unverschlüsselt auf der Platte einer Windows Maschine die auch zum Surfen verwendet wird ? Also wenn ich dein Kunde wäre würde ich dir die Ohren lang ziehen. Tipp: Mindestens in einen Truecrypt Container mit sicherem Passwort auslagern. Eigentlich sollte so ein Rechner überhaupt nicht für "normale Arbeit" verwendet werden. Industriespione haben eine ganz andere "Energie" als die par Massentrojaner die hinter Banking Daten her sind... |
ne diese geschichte mit den verdrehten datei namen ist schon länger bekannt, 1 oder 1,5 jahre gibts das schon, besonders in newsgroups (usenet) ich persönlich nutze wie gesagt, lieber emsisoft, kann man besser konfigurieren, wenn man denn will, hat ne mindest genauso gute, wenn nicht bessere verhaltensanalyse, und da es ne kleine firma ist, kannst du bei problemen immer direkt mit den entwicklern sprechen wenn du denen ne mail sendest |
Zitat:
Du bist drin, dein Freund aus der Ferne ist drin, du machst den Truecryptordner auf, dein Freund aus der Ferne schaut zu ... so what? Noch dazu wenn du auf Industriespione mit viel "Energie" klopfst. Ein Truecryptordner ist eher gegen physischen Diebstahl oder unerlaubtem sonstigen physischen Zugriff und anschließendem Auslesen. Manches ist eher wie drei Kreuze schlagen als echt sinnvolle Maßnahme. Zitat:
Ein System mit wichtigen Daten (Kundendaten, Banking und vieles mehr) gehört nicht zum normalen Umeinanderspiel genutzt, so wie es der TO in seinem Post von 1:41 beschreibt. Da stimmt irgendwas mit "IT-Sicherheitsberater" nicht, zumindest nicht am Anspruch, den ich mit so einem Begriff habe. (Auch wenn das tägliche Leben so gut wie immer eine deutliche Diskrepanz zwischen Theorie und Praxis aufzeigt.) |
Das ist wie beim Fahrrad: kein Fahrradschloss der Welt schützt vor dem Klau, aber man kann die Hürde doch erheblich erhöhen. Wenn ein Trojaner auf dem Rechner ist und gezielt nach Inhalten von Truecrypt-containern sucht hat man natürlich verloren, aber angenommen man benutzt die Passwörter nicht ständig und findet die Infektion bevor man den Container öffnet... => Wenig Aufwand, guter Zusatzschutz. Auch das Risiko dass irgendwer Daten auf nem USB Stick mitnimmt lässt sich mit einem solchen Container reduzieren... Wirklich sensible Kundenpasswörter gehören eigentlich in einen Tresor.. und zum Auspacken wird dann die lokale Datei auf einem Truecrypt Container verwendet, damit niemand die Daten "wiederherstellen" kann. Andererseits könnte dann NRW keine Schweizer CDs mehr kaufen.. alles hat Vor- und Nachteile.... Übrigens: solche Tricks wie man die Bildschirmdarstellung mit Steuerzeichen manipuliert haben wir damals schon auf C64 und seinen Vorgängern als Listschutz verwendet. (Um zu verhindern dass jemand unsere Basic Programme listet.. manchmal auch um sie beim "List" Befehl strukturierter darzustellen...) Die sind weder neu noch MS spezifisch... |
Zitat:
Die Chance, dass einer per Backdoor einen PC (unbemerkt) komplett kopiert ist doch oft recht gering. Wenn ich einen "Container" (Ordner, Worddatei, Exceldatei was auch immer) mit Passwörtern NICHT benutze und ich diesen Container NICHT "Passwörter", "Geheim" oder ähnlich bedeutsam genannt habe, warum sollte dann ein Backdoorprogramm(nutzer) diesen Container überhaupt beachten, wenn ein bisserl Inhalt auf dem PC vorhanden ist. Also ist der Knackpunkt sehr viel wahrscheinlicher die Nutzung und da ist es wiederum wahrscheinlich vollkommen egal, ob das Zeug in einem nun geöffneten Truecrypt-Container liegt oder nicht. Ich nutze, "er" kann mitnutzen. Ich nutze nicht, "er" wird bei genügend Dateien (je nach Struktur und Benennung zugegeben) nichts sehen. Selbstverständlich sind Szenarien durchaus denkbar, bei denen auch bei Backdoor/RAT ein Truecrypt-Container genau doch geholfen hätte - unter der Voraussetzung dass ein System so mies gepflegt und benutzt wurde, dass ein Backdoor installiert wurde. So wäre zum Beispiel vor allem aber nicht nur bei gezielter Suche auf einem PC mit vielem Bild-, Spiele-, Film- und Musikzeug aber nur einer Handvoll "ernsthafter" Officedokumente eine Passwort-Word-Datei doch eher leicht herauszufinden. Unter der Prämisse, dass man sich ein unerwünschtes RAT unbemerkt installiert, wäre aber u.U. sogar ein Honey-Pot-TrueCrypt-Fake-Container mit dem Namen "Passwörter" hilfreich :blabla: Gib dem Hund einen Knochen zur Ablenkung zum Spielen. Aber ein TrueCryptordner als Schutz gegen Ausspähung durch Backdoors kommt mir vor wie ein Sturzhelm bei einer normalen Autofahrt. Ich würde erst mal die Bremsen, meine Fahrweise, Sicherheitsgurte, Airbags etc. überprüfen (lassen)/hinterfragen. :kaffee: Zitat:
Zitat:
|
Zitat:
Da gibt es jemand der nicht lassen kann ständig sowas mir unterzujubeln, oder sonst auch nerven und dies seit anfang 2011. er ist unähig zuverstehen das ihm leerlaufen zulassen, meine hauptverdeigungsstragie gegen ihm ist. die chance das er von sich aus aufgibt ist recht gering. Meine frage ist, gibt es mit ihre ethik vereinbare methode um seine identität zu kommen??? vorsichtig zusein zählt nicht zu seine eigenschaften. |
hi @W_Dackel falls das mit "nicht neu" auf meine aussage bezogen war, habe ich mich missverständlich ausgedrückt, ich wollte nur sagen, dass es seit 011 vermehrt backdoors im usenet gibt, die solche techniken verwenden |
Der TE schien das für neu zu halten.... @Schatten: ich generiere mir gerade einen Truecryptcontainer mit "GeheimeJobPasswörter" (kicher) Ernsthaft: ich habe hier eine gut gepatchte Linux Kiste... Software nur aus vertrauenswürdigen Quellen.. und NoScript auf dem Firefox.. erlaube nur Skripte von Seiten die unabdingbar sind.... das Ganze sitzt als PC hinter einem DSL Router... für private Zwecke müsste das Ganze eigentlich reichen... |
hi ungewöhnlich ists ja auf jeden fall. na die noscript diskusion hatten wir ja erst hehe. aber malware auf seinem eigenen system auszuführen, hmm |
Was meinst du mit Malware auf dem eigenen System auszuführen ? Die Norton Firewall ? |
nein im post1 hatte ich es so verstanden das er die malware in nem eingeschrenktem konto laufen lies also neme ich an auf seinem produktiev system |
Macht Ihr Sicherheitsexperten das nicht laufend ? Malwareverdächtige Software auf Produktivsystemen mit vertraulichen Kundendaten auszuprobieren? Wenn diese Geräte mit "Internet Security Suites" geschützt sind kommt es vielleicht auf etwas Schadsoftware mehr oder weniger nicht mehr so an .. oder ? :kaffee: |
ich fahre dazu extra zur nechst gelegenen sparkassen filiale, no risk, no fun. |
Wo ist da das Risiko ? "Systemrelevante" Banken werden im Falle eines Problems vom Steuerzahler gestützt. |
:p auch wenn ich mich damit unbeliebt mache, ich denke das banken rettungen schon ihren sinn haben, aber das führt hier wohl etwas zu weit :-) |
Zitat:
Das Programm war auch sehr schlau und hat nach dem ausführen auch den Bildbetrachter mit nem Broken Image geöffnet, damit man keinen verdacht schöpft. Ich hab zum Glück in den Moment gelesen, dass Windoof die Datei als Bildschirmschoner identifiziert hat und mitbekommen, dass der Dateiname verhunzt war. Deswegen ja auch der Post hier. Zitat:
Mal im Ernst Leute - Natürlich sind meine Kundendaten verschlüsselt und geschützt. FTP Passwörter, Mysql Datenbanken usw...Extrem Sensible Daten lagern auf externen Festplatten, die nicht ans System angeschlossen sind! Außerdem habe ich die Malware nicht mal eben "ausprobiert", sondern bin auf das RTLO reingefallen, hab das File für n JPG gehalten und es ausgeführt. Hab aber danach gleich gerafft, was passiert ist! Aber vielleicht schonmal was von "Keylogger" gehört? Da kann ich TrueCrypt haben wie ich will. Jede vernünftige Backdoor hat nen vernünftigen Keylogger, der auch erkennen kann, wenn ich mich irgendwo einlogge und das dann einfach mitschreibt! Das konnte schon SubSeven vor 10 Jahren! Auch "virtuelle Tastaturen" sind nicht 100% sicher davor, denn irgendwann wandert die Eingabe auch durch den Speicher und spätestens dort kann man sie abfangen. Was TrueCrypt angeht: Ich glaube nicht das ein Trojaner, der sich gezielt über TrueCrypt hermacht sehr effektiv wäre. Wenn ich 100 Millionen Leute Blind infiziere, haben davon 2% TrueCrypt. Da wäre doch ein Keylogger effektiver. Mal davon abgesehen gibt es unzähliche Sicherheits- und Verschlüsselungskonzepte und wenn ich nen Trojaner schreiben wolle, der die alle knacken kann, wäre der ein bisschen größer als die paar KB die ein Trojaner sonst so hat. Außerdem wäre es bei der größe zu buggy, um auf allen System (dessen Konfiguration mir als böser Cracker ja unbekannt ist, wenn ich es infiziere) stabil zu arbeiten. Ein guter Trojaner ist klein, effektiv und unauffällig! Ein guter Keylogger, der alles loggt was ich schreibe + erkennt wenn spezielle Login Formulare ausgefüllt werden und diese Daten separat speichert + Cache Dateien und wenn möglich den Ram nach Passwörtern durchsucht, ist da sinnvoller. Markusg würde auch keinem, der sich gerade mit ner unbekannten Malware infiziert hat raten: "Wenn Du TrueCrypt benutzt, brauchste dein System nicht neu aufsetzen, da biste 100% sicher" - Das gleiche gilt für alle PC Saves der Welt! Wie schon gesagt - Spätestens wenn der User seinen Save aufmacht, kann auch der liebe Backdoor hineinsehen ;-) Anstatt hier mitzuhelfen und aufzuklären, macht Ihr Euch über das Fehlverhalten anderer lustig. Das ist sehr effektiv! Markusg danke ich recht herzlich für seine mithilfe und Analyse dieser Datei und seine Infos zum RTLO - Wieder was dazu gelernt! |
OK.. so hätte ich das auch gemacht. Allerdings habe ich jetzt auch wieder etwas dazugelernt: früher waren die Gauner so ehrlich ihre Exploits in Nacktbildern zu verstecken.. jetzt verwenden die auch schon normale Hintergrundbilder dazu.. es gibt keine Gaunerehre mehr ... ;-) |
Zitat:
Selbst halbwegs versierte User, die RTLO nicht kennen, können sich schnell und unbemerkt infizieren. Ein nachfolgender Test (ich hab den Trojaner mal gebackupt) mit NIS zeigt, dass er jetzt als WS.Reputaion erkannt und gelöscht wird! WS.Reputation sind aber nur Schädlinge, die nicht näher untersucht werden, weil deren Verbreitung so gering ist, dass es nicht lohnt eine komplexe Erkennungs- und Entfernungsroutine zu programmieren! Reicht in dem Falle zwar aus, ist nur blöd für die, die schon infiziert sind! |
Nun... wie ich oben schon schrieb kannst du dem Opa und seinem Enkel prophylaktisch mitteilen dass es Tricks wie RTLO schon unter CBM bzw. VC 20 / C 64 gab, d.h. die gab es schon zu Opas Zeiten, und die dürften auch für Smartphone und Spielekonsole des Enkels bald relevant sein... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board
