Trojaner mit eingebautem Firewall Bypass usw.

IMO ist der Einsatz von Firewall und Trojaner-Scanner sinnvoll.

Devlin , was hälst Du von A.N.T.S. oder
Trojan-Defense-Suite (TDS3) ?
 
Original geschrieben von SevenSpirits
Devlin , was hälst Du von A.N.T.S. oder
Trojan-Defense-Suite (TDS3) ?
Zum Vergrößern anklicken....

Darf ich auch? :D
Ants soll ja demnächst in einer komplett neuen 3er-Version rauskommen. Der Entwickler schreibt ja im Trojaner-Board-Forum dazu den Status.... Wird dann aber Shareware. Ansonsten nutze ich the Cleaner von Moosoft. Wird fast täglich aktualisiert.
TDS kenn ich nicht.
 
Devlin schreibt:
Das Besondere an diesem Trojaner ist, dass die Firewalls nicht mehr
abgeschaltet werden muessen (Firewallkiller), sondern getunnelt werden.
Man merkt es also nicht mehr...
Zum Vergrößern anklicken....

Kommentare aus Normalanwendersicht:

1. Der Trojaner muss automatisch starten, dh. in einem der 14 Windows-
Startbereiche untergebracht sein oder als Browser-Plugin vom Anwender
bewusst installiert worden sein. Von alleine fällt also kein Bypass vom Himmel.
Bei meinen PCs werden die Win2k-/WinXP-Startbereiche automatisch überwacht.

2. Auch wenn Bypass keine keine eigene DFÜ-Verbindung benötigt, weil er
diejenige des Browsers missbraucht: Trojaner brauchen aber nach meinem
Kenntnisstand die Serverfunktion. Wenn die Serverfunktion aber generell per
Firewall verboten ist (insbesondere für den/die Browser), dann dürfte auch
Bypass alt aussehen.

3. Zum reinen Surfen muss man NUR AUSGEHENDES UDP 53 (DNS) zulassen -
Verbindung zum nächsterreichbaren Internetserver zur Auflösung des Webseiten-
namens in die IP-Adresse, also weder TCP 80 (HTTP) noch TCP 21 (FTP).

Um jedoch eine DNS-Verbindung zu 'tunneln', dh. per Internet-Unterdienst DNS
anderes/'verfremdetes' mitzusenden, müssten etliche externe DNS-Server
korrumpiert sein, um die 'Verfremdung' dort an externer Stelle in den eigentlich
bezweckten Trafic zurückzuwandeln:
Zwar technisch denkbar, aber derzeit fast unwahrscheinlich.

Stichwort tunneln - es kam in Mode, um zentrale Firewalls auszutricksen,
beispielsweise wie kann man ICQ nutzen, wenn nur TCP 80 (HTTP) zugelassen
ist: Dazu wird lokal eine 'Spezialsoftware' gestartet, die per Browser
HTTP-Pakete an eine festgelegte IP-Adresse sendet, die die Rückumwandlung
vornimmt. Auch hierbei ist das bewusste Agieren des lokalen Anwenders
notwendig, von alleine fällt also kein Bypass vom Himmel.

Also zieht die Firewall-Regeln eng und lasst euch nicht verrückt machen.
 
@ JensusUT : ja logisch - Du darfst und sollst :)

Sinn meiner Frage war ja nicht nur spezifische Meinungen zu den beiden Programmen zu erhalten -
sondern auch zu der Frage die dahintersteht :

Warum ist es sinnvoll ein Anti-Trojan-Programm zusätzlich zu Firewall und Virenscanner zu benützen ?

Da wäre reges Posting sehr erfreulich.

Preisfrage :
Was haben WAV , MP3 , ID3 , DivX , Player , Codecs
etc . mit Security-Themen zu tun ?

Preisgekrönte Antwort : :D
Vielen ,die sich mehr allgemein für Security interessieren geht es so wie mir bei z.B. Multimedia/Audiothemen.

Ohne intensiveres Befassen mit der Thematik wird nur Bahnhof verstanden bzw. Schädelbrumm setzt ein.

(Im Bereich Gefahren sind dann halt Würmer , Trojaner ,
etc.)

Die immer wieder gerne gestellte Frage nach der besten Firewall , dem besten Virenscanner etc. resultiert doch aus einer gewissen Unsicherheit betreff der eigentlichen Qualität des Hauptnutzens eines Programmes (zb Firewall) und der zusätzlich integrierten Features , welche als AddOn implementiert wurden (zB PoPUp-Killer , Cookiemanagement , etc.) .

Ganz Konfus wirds , wenn man zB System-Suite-Nutzern (zB NIS ) vermitteln will , warum IntrusionDetectSysteme und Trojaner-Scanner auch noch ihren Sinn haben.

Aber jetzt bin ich ein wenig vom Thema abgeschweift und poste mal separat was ich eigentlich schreiben wollte.
 
Die Trojan-Defense-Suite TDS3 ist von Diamondcs.

Ebenfalls der WormGuard3 .
Ein Complete Anti-Worm-System.

Für beide Programme steht eine 30Tage Testversion zur Verfügung.

Desweiteren gibt es Patches :

Windows Scripting Host Anti-Polymorphism Patch :

What is the general purpose of this patch?
To prevent Windows Scripts (such as VBScript and Javascript) from being able to read/write themselves, making Windows Script polymorphism nearly impossible through conventional means.

WNetEnumCachedPasswords Lock Patch

Microsoft Windows installs with a file called MPR.DLL (MPR standing for Multiple Provider Route). While the functions of this DLL are generally very useful, there is one exported function that is not required and is of particular concern to the security-conscious. Existing only in Windows95/98/ME versions of mpr.dll (it was removed from Windows NT/2K for good reason), the name of this exported function is WNetEnumCachedPasswords. It is officially undocumented, but enough unofficial documentation has been created so that trojan authors can easily call this DLL from their own trojan - indeed, many popular trojans such as Sub7 have taken advantage of this API for a long time, and even the safe passdump.exe demo program that accompanies this patch uses this unofficial documentation to call the function.
A google.com search at March 12 2002 for "WNetEnumCachedPaswords" found 316 results.

What is the general purpose of this patch?
This patch effectively (and safely) prevents programs from calling the function. Very few programs actually call it (you can search your hard drive to find out which programs call it using Explorer). The patch works with a 2-prong approach, both optional -- the first: it patches the first 3 bytes of the code at the entrypoint location of the exported WNetEnumCachedPasswords function. The second: it renames the exported function name.

For Free sind ebenfalls downloadbar :

IRClean is a 100% free, standalone, compact (30kb total download), and easy-to-use yet very powerful anti-worm system designed to specifically combat worms that target or use IRC chat networks to propagate. It has been released into the public domain for free to help stem the growing tide of IRC-propagating worms.

TaskMan+ is a free tiny utility that launches Windows Task Manager in a special way as to boost the security privileges of Task Manager, which in turn gives it a real unconditional license to terminate ANY process. Requires Administrator privileges

Add more power to your command prompt with our free console tools! Freeware tools include CRC32/MD5/SHA-160 secure hashes, Password Reveal, Uptime, ICMP TraceRoute, ICMP Ping, IP list, Send Mail, HTTP Get, Resolve, XWhois and more!


;) Ich wollte auf keinen Fall zum Testen animieren :angel

@all : Links sind nun korrigiert - Sorry :angel
 
Zuletzt bearbeitet:
Link-Korrektur

Original geschrieben von SevenSpirits
Die Trojan-Defense-Suite TDS3 ist von Diamondcs.

Ebenfalls der WormGuard3 .
Ein Complete Anti-Worm-System.

Für beide Programme steht eine 30Tage Testversion zur Verfügung.

Desweiteren gibt es Patches :

Windows Scripting Host Anti-Polymorphism Patch :

What is the general purpose of this patch?
To prevent Windows Scripts (such as VBScript and Javascript) from being able to read/write themselves, making Windows Script polymorphism nearly impossible through conventional means.

WNetEnumCachedPasswords Lock Patch

Microsoft Windows installs with a file called MPR.DLL (MPR standing for Multiple Provider Route). While the functions of this DLL are generally very useful, there is one exported function that is not required and is of particular concern to the security-conscious. Existing only in Windows95/98/ME versions of mpr.dll (it was removed from Windows NT/2K for good reason), the name of this exported function is WNetEnumCachedPasswords. It is officially undocumented, but enough unofficial documentation has been created so that trojan authors can easily call this DLL from their own trojan - indeed, many popular trojans such as Sub7 have taken advantage of this API for a long time, and even the safe passdump.exe demo program that accompanies this patch uses this unofficial documentation to call the function.
A google.com search at March 12 2002 for "WNetEnumCachedPaswords" found 316 results.

What is the general purpose of this patch?
This patch effectively (and safely) prevents programs from calling the function. Very few programs actually call it (you can search your hard drive to find out which programs call it using Explorer). The patch works with a 2-prong approach, both optional -- the first: it patches the first 3 bytes of the code at the entrypoint location of the exported WNetEnumCachedPasswords function. The second: it renames the exported function name.

For Free sind ebenfalls downloadbar :

IRClean is a 100% free, standalone, compact (30kb total download), and easy-to-use yet very powerful anti-worm system designed to specifically combat worms that target or use IRC chat networks to propagate. It has been released into the public domain for free to help stem the growing tide of IRC-propagating worms.

TaskMan+ is a free tiny utility that launches Windows Task Manager in a special way as to boost the security privileges of Task Manager, which in turn gives it a real unconditional license to terminate ANY process. Requires Administrator privileges

Add more power to your command prompt with our free console tools! Freeware tools include CRC32/MD5/SHA-160 secure hashes, Password Reveal, Uptime, ICMP TraceRoute, ICMP Ping, IP list, Send Mail, HTTP Get, Resolve, XWhois and more!


;) Ich wollte auf keinen Fall zum Testen animieren :angel
Zum Vergrößern anklicken....

Korrigiere mal die erwähnten Links (doppeltes http://)
 
Hmm...

@SevenSpirits


Von ANTS 2 halte ich nichts, da die derzeitige Version einen "veralteten" Dateiscanner hat (der keine gepackten Trojaner erkennt -- keine Unpacking Engine enthalten) und es viel zu selten Updates gibt. Das gibt im Grund auch Dr. Seltsam (Programmierer) zu. Ob ANTS 3 wirklich gut wird, kann Dir niemand mit Bestimmtheit sagen.

TDS und Cleaner sind zwei sehr unterschiedliche Programme. Es gibt Scanner, die eine Datei scannen...bevor sie ausgefuehrt wird (der Start des Trojaners wird dann verhindert...es kommt erst gar nicht zur Infektion) und es gibt Scanner, die zusaetzlich einen bereits gestarteten Trojaner im Arbeitsspeicher erkennen (und beenden).

Die Scanengine von Kaspersky ist die beste Engine zum Scannen von Dateien. Deshalb sind Programme wie KAV bzw. AVK11 deutlich besser als TheCleaner (nur mittelmaessig). Da man selbst die Kaspersky Scanengine mit .exe Packern und Cryptern austricksen und so einen Trojaner unerkannt machen kann, sollte man zusaetzlich mit McAfee scannen. Die Kombination aus Kaspersky und McAfee Engine ist nur sehr schwer zu taeuschen.

Da es aber nichtdestotrotz moeglich ist, macht der zusaetzliche Scan des Arbeitsspeichers Sinn. Denn dort sind die Trojaner (normalerweise) in ungepackter/nicht verschluesselter Form. Zu empfehlen sind hier insbesondere TrojanHunter und TDS. Beide Programme haben keine so gute Dateiscanengine wie Kaspersky ... aber der zusaetzliche Speicherscan ist ein echter Mehrwert. Es ist jedenfalls extrem schwer, einen bekannten Trojaner so zu modifizieren, dass TrojanHunter oder TDS ihn nicht erkennen. TrojanHunter erkennt nicht so viele exotische Trojaner ist aber einfacher zu bedienen als TDS.

@TechFreak2000

Koenntest Du Dein Statement belegen und einen Trojaner nennen, der (i) veroeffentlicht wurde, (ii) Application-Firewalls tunnelt und nicht nur killt, (iii) alt ist und (iv) voll funktionsfaehig ist (also kein blosses mIRC Script)?

@SilverSurfer99

Ich stimme Dir grundsaetzlich zu. Panik ist nie der richtige Weg. In einigen Details bin ich evt. etwas anderer Meinung.

1.
Ein Bypass faellt in der Tat nicht vom Himmel. Es handelt sich normalerweise um eine .exe Datei, die man ausfuehren muss. Wer nichts aus dem Internet runterlaedt, keine Email-Attachments oeffnet und alle Outlook Express und Internet Explorer Sicherheitspatches installiert, ist relativ sicher.

Der Normaluser laedt aber nunmal gerne was aus dem Netz. Die Installation des Trojaner geschieht dann beispielsweise wie folgt. Das Programm aus dem Netz wird ganz normal installiert und alles scheint normal. Allerdings wurde zusaetzlich der Trojaner installiert, da der Installer des Programms (etwa InstallShield) vorher aufgeschluesselt wurde und nunmehr zusaetzlich der Trojaner im Installationspaket enthalten ist. Ein Virenscanner erkennt nichts, da der Trojaner mit einem .exe Packer und Crypter unerkennbar gemacht wurde. (Diese Methode wird bereits praktiziert...etwa von manman aus dem Rat bzw. Trojaner-Infoboard).

Auch nach der Installation kannst Du Dir nicht 100% sicher sein, dass Du den Trojaner durch Eintraege in der Registry entdeckst. Bei Windows 98 gibt es beispielsweise den Starttrick von Undetected. Weiterhin lassen sich in der Registry fuer bestimmte CLSIDs zusaetzliche Shell Open Keys setzen. Ausserdem ist es moeglich, bei der Installation bestimmte Dateien durch gepatchte Versionen auszutauschen, die mit einem Loader infiziert sind. Beispielsweise wuerde dann ein Starten des Internet Explorers automatisch auch den Trojaner (oder einen Firewallkiller usw.) starten, da der Programmcode des IE um ein paar zusaetzliche Programmbefehle (naemlich den Loader) erweitert wurde. Meines Wissens sind die soeben angesprochenen Startmethoden aber noch kaum verbreitet. Also kein Grund zur Panik.

2.
Normalerweise agieren Trojaner auf dem Rechner des Opfers als Server und machen eine outbound connection um den Master zu informieren, dass das Victim online ist. Anschliessend erfolgt durch den Master eine Inbound connection. In beiden Faellen schlaegt eine Application-Firewall an und blockt den Trojaner.

Bei Optix Lite Special Edition ist es anders.

Outbound Connection: Optix selbst greift gar nicht unmittelbar auf das Internet zu, sondern injiziert lediglich eine .dll in den Internet Explorer, d.h. der Browser wird benutzt und die Firewall bemerkt nur, dass der Browser auf das Internet zugreifen will. Jeder Normalanwender hat seine Firewall aber so konfiguriert, dass dem Browser dies zumindest ueber Port 80 erlaubt ist. Andernfalls wuerde man ja gar nicht mehr komfortabel surfen koennen. Hier liegt also der Trick, mit dem die Firewall getunnelt wird. (Ein harmloses Demoprogramm namens Firehole demonstriert dies. Blackstealth ist ein weiterer Leaktest, der aber etwas anders funktioniert).

Keine richtige Inbound Connection noetig?: Dies laeuft wohl ueber eine statische IP. Der IE kontaktiert eine Webseite und die Befehle des Master kommen nur als "Antwort". Deshalb erfolgt keine richtige Inbound Connection und die Wall sollte deshalb getunnelt werden. (Wuerde eine Inbound Connection auf den IE erfolgen, so muesste eine ordentlich konfigurierte Wall naemlich Alarm schlagen). Ich moechte mir die Sache aber erst selbst genau anschauen, bevor ich hier etwas Falsches erzaehle.

Die Sygate FW sowie evt. die neue Kerio-beta sollten den Missbrauch des IE uebrigens verhindern.

3.
zu DNS verbieten: Auf DNS ist Optix nicht angewiesen, da der Server ja selbst gar nicht auf das Internet zugreift. Und fuer den IE ist DNS selbstverstaendlich freigeben, da man ja sonst nicht surfen kann.

Zentrale Firewall: Optix soll gerade auch Application Firewalls tunneln (siehe oben).

Firewall nur richtig konfigurieren: Optix soll gerade eine richtig konfigurierte FW tunneln, bei der fuer den Internet Explorer nur Port 80 freigegeben ist.


Gruss Devlin
 
ein dickes DANKE an Alle :)

Beiträge mit inhaltlicher Tiefe und dennoch verständlich geschrieben sind der beste Ansatz um mehr Interesse an dem komplexen Thema Sicherheit am PC zu wecken.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben