Hacks' und Crack's und Exploits

TMSearcher · Anmeldungsdatum: 19.05.2005 Beiträge: 270 Wohnort: Bremen

Hi,
Ich finde ein Thema kommt hier etwas kurz böse

und zwar Systemsicherheit – wo durch gefährde ich mich und wie schützte ich mich davor. Ich glaube jeder hat schon seine Erfahrungen mit Viren, Trojanern usw. gemacht und sich mehr oder weniger damit rumgeärgert. Vielleicht kann man andere davor bewaren denselben Fehler zu machen, wenn wir hier unsere Erfahrungen austauschen und Abhilfen beschreiben. Im Anhang zwei PDF Dokumente aus der Internet World 04/2005, die vielleicht ein wenig reißerisch wirken Augenzwinkern

, aber nichts desto trotz zeigen wohin der Trend geht.

So long... Prost

TMS

Upload geht nicht -> ist auf 80kB beschränkt, deshalb die Links auf die Images Augenzwinkern

:
Artikel IW 04/2005 S.10
http://people.freenet.de/TMSearcher/Web-Crime%20bekommt%20Mafia-Strukturen.jpg
Artikel IW 04/2005 S.18
http://people.freenet.de/TMSearcher/Antivirenprodukte_%20mit_Fehlern.jpg

TMSearcher · Anmeldungsdatum: 19.05.2005 Beiträge: 270 Wohnort: Bremen

Ok, dann mach ich mal den Anfang. Big Laugh

Ich bin die letzte Zeit sehr viel unterwegs um bei gewerblichen u. nichtgewerblichen Anwendern Systeme zu retten und Instandzusetzten. Diese sind durch Attacken so stark geschädigt worden sind, dass es nur noch so Ausnahmefehler hagelt. Festgestellt habe ich ,dass in den meisten Fällen fehlende Updates und ein aktueller Virenschutz die Ursache war.

Bei Windows XP -> kein SP2, keine Firewall, veralteter Virenschutz (älter als 14 Tage)
Bei Windows 2K -> kein SP4, keine Firewall, veralteter Virenschutz (älter als 14 Tage)

Die Kunden hatten in der Regel ihre Rechner gekauft und das war’s. Das heißt diese Rechner sind in der Regel schon Monate oder Jahre Trojaner- und Spam-Schleudern - ohne das die Besitzer es überhaupt gemerkt haben. Aber irgend wann macht das System die Grätsche. Ich habe von solchen Systemen schon über 100 verschiedene Würmer, Trojaner, Dropper und Viren entfernt (Also ich meine die waren auf einem Rechner). Aber meist sind die Systeme (nach der Desinfektion), dann schon so verbogen, dass es nicht einmal mehr möglich ist neue Treiber zu installieren.
Es hilft dann nur noch das System zu löschen und neu zu installieren. Diese Fehler sind auch nicht über die Reparaturkonsole oder dem Reparaturmodus wegzubekommen.

Mir sind dabei folgende Symptome aufgefallen (Verdacht auf Infizierung):

1. Neue Treiber lassen sich installieren, werden als gut angezeigt, funktionieren aber nicht

2. Der Rechner will bei jeden Neustart sofort ins Internet

3. Der Internet-Zugang ist die ersten Minuten sehr langsam oder gar nicht möglich und dann einwandfrei

4. Ständige Systemabstürze und Ausnahmefehler ohne das man am System etwas verändert hat (auch Trojaner etc werden Upgedatet)

5. Merkwürdige Tasks unter „Prozesse“ – z.B. HexEdit.exe

6. Merkwürdige Verzeichnisse im Winnt oder Windowsverzeichnis die .cfg und .ini Dateien enthalten mit Stichwörtern wie: Penisverlängerung, Viagra usw.

Ich habe mal einen kleinen Test gemacht. Ein Windows 2K System in oben erwähnter Ausführung -> Dann Einwahl ins Internet (ohne auch nur eine Seite aufzurufen, nur Einwahl) nach 10 Sek. hatte ich drei Trojaner drauf und das System wurde selbständig neu gestartet. Hammer

Ok, soviel zur Einführung ich hoffe auf viele Erfahrungen
So long TMS Wink

PS.: Techn. Hintergründe und Links zu diesen Symptomen folgen.
aber ein vorweg: http://www.microsoft.com/windowsxp/sp2/topten.mspx

Bartoman88 · Anmeldungsdatum: 25.05.2005 Beiträge: 68

Erst mal hierher gucken, da habe ich schon was geschrieben!
Dann noch was zum Schutz vor Spyware/AdWare und Entfernen von dem Kram:
AdAware: www.lavasoft.de <--- Entfernt relativ zuverlässig Spy- und AdWare, jedoch keine Viren
SpyBot Searsch&Destroy: www.safer-networking.org/de/index.html <--- Entfernt ebenfalls Spy- und AdWare, insbesondere Sachen, die sich im Explorer eingenistet haben. Es lässt sich au8ch der Internet Explorer "immunisieren" vor Spyware und AdWare.
Für Links keine Haftung, wie es nach einem Gerichtsurteil mal vorgeschrieben wurde, nachzulesen in fast allen Impressums (wird das so geschrieben?). Augenzwinkern

Crotaphytus · Anmeldungsdatum: 08.05.2005 Beiträge: 213

Auch noch ein sehr schönes Tool: www.hijackthis.de

Läuft unglaublich schnell durch und hat dafür (wenn man den Log auf der Seite auswerten lässt) ne abartige Erkennungsrate.

Bartoman88 · Anmeldungsdatum: 25.05.2005 Beiträge: 68

TMSearcher · Anmeldungsdatum: 19.05.2005 Beiträge: 270 Wohnort: Bremen

Dropper = (engl. to drop: fallen lassen) sind trojanische Pferde, die Viren im Zielsystem fallen lassen, ja geradezu abwerfen. Simples Beispiel: Sie haben zehn Dateiviren aus dem Web gesaugt, packen diese in ein ZIP-Archiv und machen dieses selbstextrahierend – fertig ist der eigene Dropper.
Geklaut von „Viren, Würmer& trojanische Pferde“

Aktuelle Situation: Ein Kunde bringt ein Notebook. Keine Internetverbindung mehr möglich und eilt (natürlich).
Fehlererscheinung:
Sofort nach dem hochfahren versucht ein Programm sich in’s Internet einzuwählen. Es hagelt
Ausnahme-Fehler.
Vermutung auf Wurm bzw. Trojanerbefall. -> Scannen
Verdacht wird positiv bestätigt: Scan mit Antivirus, Norton.
Mehrere Trojaner und Würmer werden gefunden und entfernt.
Antivir als Schutz installiert (privat genutzter PC)
Jetzt begann der Psychoterror alle 10 Sek. kam eine Meldung „xxx.dll ist mit Trojaner ZZZ infiziert“ löschen, verschieben etc.
Man ist kurz davor das Antivierprogramm zu deinstallieren; man kann nichts machen ohne von dieser Meldung unterbrochen zu werden. Bis eben war die Welt noch in Ordnung und jetzt nur noch .. grr...argzz.. ->Keep Cool, keine voreiligen Entscheidungen.

Irgend ein Task muss ja dafür verantwortlich sein! Also ab jetzt search and destroy
1. Welche Programme werden über der Autostart-Ordner gestartet.
2. Welche Programme werden über Autoexec.nt und config.nt gestartet
3. Welche Programme werden in der Win.ini gestartet
4. Welche Programme werden über die Registry gestartet:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
5. Welche Dienste werden gestartet

Es ist mühselig jedes einzelne Programm zu prüfen, aber notwendig! Antivieren Programme leben auch von unserem Support und nur so können neue Pesten eliminiert werden.
Verdächtige Exe und DLL Dateien haben in der Regel keine Versions u. Releasenummer und geben keinen Aufschluss über ihren Schreiber.

Ich bin dann fündig geworden: Es wurde ein Dienst aufgerufen „Hexeditor“ ( der Kunde weiß nicht mal was das sein kann!) . Nachdem ich den Dient beendet hatte war ruhe (das ging nicht über den Taskmanager, der Task „Edit“ ließ sich nicht beenden.
Ich fand ein Directory mit wirklich erstaunlichen Sachen. Unter andern .cfg Dateien mit Inhalten wie „Penisverlängerung, Viagra etc.“

Damit war klar, dass Programm Hexeditor ein Dropper war. Dieses Programm sorgte dafür, dass der Trojaner immer wieder aktiviert wurde, der Trojaner sorgte für Update des Wirtsprogramms usw.
Ich habe die Datei eingeschickt und bekam ein positives Ergebnis. Neue Schädlingsdefinition hinzugefügt.
Also eine gewisse paranoide Veranlagung kann manchmal von Vorteil sein.

Klingt natürlich sehr allgemein, aber ich habe mir im laufe des Gefechts zu wenig Notizen gemacht und die Virenscanner haben viel weggehauen für genauere Beschreibungen ( But time is money – die Klienten wollten natürlich schnell ihr Gerät zurück. Ich werde mich bessern).

Worauf ich hiermit hinweisen möchte ist, es gibt eine Unmenge an nicht erfasster Malware.
Und ich möchte nur ein paar Anstöße geben, sie zu finden und zu publizieren ( fast jeder Antivirushersteller bietet den Service an verdächtige Dateien upzuloaden).

Eins hab ich vergessen zu betonen – ganz wichtig!!: Wenn verdächtige Dateien existieren:
Eigenschaften -> Version: wenn keine Angaben vorhanden sind dann VORSICHT jeder normale software writer gibt hier die Versions und Release Nr an. Keine Angaben = Alarm.

Gute Jagt
TMS

PS.: der Mensch denkt 400 Worte, während er nur hundert sprechen kann (oder schreiben), also bitte Nachsicht bei Fehlern

Bartoman88 · Anmeldungsdatum: 25.05.2005 Beiträge: 68

[subjektiv]
Meiner Meinung nach fängt man sich solchen Sch**ß nur ein, wenn man auf die perversesten Seiten im Internet geht, jeden Link anklickt, bei jedem Fenster "OK" eingibt oder bei Google nach "virus download" sucht.
Wenn man halbwegs vorsichtig ins Internet geht, ne Firewall (nicht Windows-Firewall) nutzt und seriöse Seiten besucht, dürfte solcher Mist gar nicht erst auf dem Computer landen. Da nützt auch nicht die Ausrede, dass die Viren/Würmer noch nicht in Virendefinitionen enthalten sind.
[/subjektiv]

lighthouse · Gast

Hallo @Bartoman, mein Freund,
Wieso bist du mit deinen 17 Jahren schon so frustriert?
Also ich finde deine Einstellung gut – was gehen die Leute auch auf diese schmutzigen Seiten.
Du hast übrigens einen recht ordentlichen Rechner, die richtige Einstellung und darum habe ich beschlossen dich in unseren Clan aufzunehmen. Du brauchst dir keine Sorgen zu machen, du merkst es kaum und es tut auch überhaupt nicht weh. Übrigens, du solltest Half life viel mehr online spielen.
Windows XP SP2, das ist super nicht? Ich muss nur ein ganz kleines Löchlein in dein System bohren, aber keine Angst du wirst es so gut wie gar nichts merken – und es tut auch gar nicht weh. Ich habe einen tollen Link gefunden http://www.buha.info/files/user/html/id_Exploits_Microsoft_Internet_Explorer_.ANI_Stack_Overflow_Exploit_MS05-002_.html
Microsoft interessiert das eh nicht, ich werde deinen zukünftigen Brüdern und Schwestern die IP-Range von T-Online geben und einen kleinen String mit nop Befehlen dem ein klitze kleines Progrämmchen anhängt. Es kann sein, dass dein Browser vielleicht ein paar mal aussteigt, aber du wirst nur denken typisch Microsoft – ich habe dir ja gesagt es tut überhaupt nicht weh und man spürt fast nichts. Deine Firewall wird dann vielleicht einen neuen Generic Host Process melden, du wirst ihn erlauben, weil du weißt sonst läuft gar nichts mehr, wenn du dies nicht tust. Mein Progrämmchen wird dann noch ein paar Tools auf dein System laden. Keyboard.exe – nur für den Fall, dass du auf die Idee kommen solltest dir selbst die Administrationsrechte zu entziehen, mit denen du schließlich online gehen musst – sie wird uns helfen deine Tastatureingaben zu behalten (nur falls du mal dein Passwort vergessen solltest). Und wie gesagt, es tut überhaupt nicht weh. Und ein Tool fehlt dir sowieso schon lange -> Firedeamon, damit können wir wunderbar viele Programme als Dienste laufen lassen und das Dienstkonto hat viele Rechte – nur für den Notfall. Ein Dienst ist dabei ganz wichtig msnccc.exe, den geb ich dir natürlich auch, dieses kleine Tool sorgt dafür, dass unsere Freundschaft bestehen bleibt. Ich werde dir ab jetzt monatlich Updates senden, ist ja nur weil manche Antivirensoftware auf die Idee kommen könnte es könnten Trojaner sein, völliger Unsinn, aber das wollen wir ja wohl ausschließen oder?
Aber du weiß ja, eine Freundschaft ist ein geben und ein nehmen. Ich habe dir jetzt diesen Gefallen getan, dafür müsstest du morgen ein Mail für mich absenden. Du brauchst jetzt aber nicht denken du musst arbeiten wie verrückt; ich gebe dir ein kleines Helferlein, das wird die Adressen und den Inhalt morgen vom Treffpunkt abholen. Du siehst es macht keine Arbeit und es hat überhaupt nicht weh getan. Da du jetzt zu uns gehörst, muss ich dir aber eine Auflage stellen – du musst jetzt auch neue Brüder und Schwestern zu uns holen. Aber keine Panik, auch das tut nicht weh, deine Internetperformance wird etwas zurückgehen, ist aber nicht schlimm, du wirst nur das Gefühl haben „wieder ganz schön traffic im Netz“. Eine letzte Bitte habe ich noch, es hat schon wieder jemand seine Schulden nicht bei uns bezahlt. Wir müssen im heute Abend noch eine kleine Lektion erteilen. Einer für alle, alle für einen – ist das nicht schön? Jetzt denk doch nicht gleich, aha eine DoS Attacke. Die Medien machen die Menschen mit Artikeln wie diesen
http://www.heise.de/newsticker/meldung/44869
http://www.heise.de/newsticker/meldung/46634
nur verrückt, na ja sie brauchen eben Reißer für den Umsatz. Also es ist schön dich im Clan zu haben. Ich wünsche dir noch einen schönen Tag und viel Erfolg. Wie du gesehen hast, es war alles halb so schlimm und es tat überhaupt nicht weh.

Anonymus

TMSearcher · Anmeldungsdatum: 19.05.2005 Beiträge: 270 Wohnort: Bremen

Hi, ich wollte mich nur zu dem Anonymus posting outen

Und ich hab noch durch Zufall einen Link entdeckt ( Ansage

Vorsicht):
Also ihr den schon aufrufen, aber gebt bitte nicht "JA" ein, wenn man ein Unterthema aufruft

www.antispy.de

Ist das vera.. oder nur plump grübelnd

, ich hab's aber lieber nicht ausprobiert Augenzwinkern

, denn Dialer können auch sehr unangenehme Gesellen sein.

Aber dieser link ist auf jeden Fall zu empfehlen

http://de.wikipedia.org/wiki/Denial_of_Service

Gruß TMS

Bartoman88 · Anmeldungsdatum: 25.05.2005 Beiträge: 68