Archiv Windows XP 25.916 Themen, 128.567 Beiträge

News: Virenscanner haben versagt

XP-Mörder bauen ihr Rootkit um

Michael Nickles / 29 Antworten / Baumansicht Nickles

Vor wenigen Tagen wurde bekannt, dass ein neuer Patch von Microsoft XP-Installationen ruinieren kann (siehe Alarm: Aktueller Microsoft-Patch kann XP grillen).

Das Problem wurde von Microsoft unmittelbar darauf bestätigt und die Auslieferung des Patches erstmal eingestellt (Microsoft bestätigt XP-Killer-Patch).

Microsoft ging davon aus, dass das Problem durch einen Seiteneffekt von einer anderen installierten Software ausgelöst wird. Das hat sich dann auch umgehend bestätigt. Im Blog des Sicherheitsunternehmens Symantec wurde beschrieben, dass das Problem durch ein bösartiges Rootkit namens "Backdoor.Tidserv" verursacht wird.

Die Schadsoftware lässt sich schwer erkennen, da sie sich extrem tief im System einnistet und dabei ihre Spuren verwischt. Konkret nistet sich das Ding in Kernel-Treibern ein, vergreift sich beispielsweise am atapi.sys Treiber. Beim Systemstart nutzt der Schädling dann ein "Sicherheitsloch" aus, um seinen Code in den Speicher zu schleusen.

Und exakt eines der Sicherheitslöcher, das Backdoor.Tidserv ausnutzt(e) wurde von Microsoft kürzlich mit dem Patch MS10-015 gestopft. Aus diesem Grund krachte es bei XP-Systemen, weil der Schädling das Loch nicht mehr "fand". Ärgerlich ist das Crash-Problem natürlich nicht nur für alle Betroffenen, sondern auch für die Hersteller des Rootkits.

Denn: wenn der Patch XP grillt, dann wissen die Betroffenen, dass sich ein bösartiges Rootkit in ihrem System eingenistet hat. Laut Prevx.com Blog haben die Entwickler des Rootkits deshalb jetzt "nachgebessert" und den Code so modifiziert, dass der XP-Patch keine Probleme mehr verursacht.

Michael Nickles meint: Über SIEBZEHN Jahre lungerte das Sicherheitsloch MS10-015 in Windows rum, bis es von den "Sicherheitsexperten" endlich entdeckt wurde. Und dass dieses Loch den Schadsoftware-Entwicklern bekannt war, belegt ja unter anderen, dass es von Backdoor.Tidserv ausgenutzt wurde.

Traurige Weisheit: die Bastler der "Virenscanner" sind den "Virenmachern" ganz offensichtlich erbärmlich unterlegen. Ein "ordentlicher" Virenscanner ist zudem längst nicht mehr kostenlos sondern kostet Kohle. Und bremst im Betrieb natürlich die Systemleistung.

Wir blechen also für "Bremsen im System", in Hoffnung auf "Sicherheit", die unterm Strich ein Witz ist. Mein Tipp für alle, die "Homebanking" am PC machen: Linux.

Murdock09 Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

Homebanking ist meines Erachtens sicher..
..oder wie soll das gehen mit einer nicht vorhandenen TAN?
Ist mir rätselhaft - selbst wenn sie WIRKLICH Knt.Nr. und Pin rausbekommen
wollen (??? WIE DENN?) Tastaturtrojaner sind ein witz, die meisten eingaben
gehen über Webinterface (also Zahlen mit Maus anklicken)
Alles nur sinnlose Panikmache!
ES GIBT KEIN BANKKLAU OHNE TAN, DAS GEHT VERDAMMT NOCH MAL NICHT!!

Crazy Eye Murdock09 „Homebanking ist meines Erachtens sicher.. ..oder wie soll das gehen mit einer...“
Optionen

mit einen trojaner kannst sogar ganz einfach die such anfrage an dein Fishing portal weiterleiten, und dann machst du für die die nötigen eingaben ;)

Murdock09 Crazy Eye „mit einen trojaner kannst sogar ganz einfach die such anfrage an dein Fishing...“
Optionen

Versteh den Kram nicht den Du schreibst,
das ich auf die richtige Seite gehe ist ja wohl klar!
Was für ne Suchanfrage??
Wer zu blöd ist seine Bank anzuwählen, ist selber drann schuld!
Sorry, nicht bös gemeint! Regt mich aber auf soviel Käse!
ONLINEBANKING IST SICHER!
ZEIG (zeigen) mir das Gegenteil und dann werd ich für onlinebanking
CD oder Linux einsetzen..!

babbage Murdock09 „Versteh den Kram nicht den Du schreibst, das ich auf die richtige Seite gehe ist...“
Optionen

es gibt mittlerweile raffiniertere methoden :
z.B: eine schadsoftware nistet sich lowlevel in dein system und ist MITM zwischen dir und deiner bank.

Du willst eine überweisung tätigen :
Das web interface ist 1zu1 dasselbe wie deiner Bank. Zertifikatswarnungen kommen nicht usw.
Das einzige ist dass die HTTP post reqeusts abgefangen werden in denen die summe und der empfänger stehen. Diese werden modifiziert und auf jmd. anders überwiesen. Deine response im Browserfenster gaukelt dir vor dass dein Empfänger/Summe angegeben worden ist.
Erst die Abrechnung zeigt dir dann den echten empfänger.

beim fishing stimme ich dir zu. ist dummfug. aber es gibt ja genug dumme dass es sich einfach lohnt.

Synthetic_codes Murdock09 „Homebanking ist meines Erachtens sicher.. ..oder wie soll das gehen mit einer...“
Optionen

ganz einfache sache:

Trojaner im system.

Du öffnest deine bankseite, der Trojaner verbiegt die Serveradresse von dir unbemerkt auf eine phishing-site, die eine deiner Bank gleichaussehende Seite liefert.

Du loggst dich ein.
Du willst eine überweisung ausführen. Dazu gibst du entsprechend die daten ein. Anschliessend klickst du auf weiter. Der trojaner leitet alles an seinen "Bank-Server" weiter, dort wird ein entsprechender Login in das echte Portal deiner bank gemacht, eine Überweisung auf dein gesamtes Guthaben angefangen und die dafür notwendige Tan-Abfrage wird an dich weitergereicht. Auf deinem Rechner sieht derweil alles so aus, als würden deine überweisungsdaten stimmen. Ein guter Trojaner hat dann auch eine history, die dir noch ein paar tage vorgaukelt, dass alles in ordnung wäre.

hansapark Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

aber wenn sie die tan haben, dann gehts.
(phishing etc.. schwachstelle mensch)

es scheinen ja immer wieder leute drauf reinzufallen, wenn die banken immer wieder ausdrücklich vor dem eingeben der tan an der falschen stelle warnen.. (zumindest bei der norisbank..)

ob es auch ohn tan geht.. ..keine ahnung. ich glaubs eigtl. auch nicht

gruß, h.

Olaf19 hansapark „aber wenn sie die tan haben, dann gehts. phishing etc.. schwachstelle mensch es...“
Optionen
aber wenn sie die tan haben, dann gehts.

Genau die kriegen sie aber nicht, denn die TANs liegen ausgedruckt auf Papier(!) in der heimischen Schublade und nicht auf der Festplatte.

CU
Olaf
razielkanos Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen
Mein Tipp für alle, die "Homebanking" am PC machen: Linux.

Das ist Unsinn - immer wieder lese ich das Linux "sicher" ist, oder zumindest wird es so dargestellt - jetzt hier auch!

Ich selbst bin ein großer Linux Fan, und man kann auch viel leichter irgend was komisches entdecken - aber der DAU User der sich 2 mal die Woche an den PC hockt um mal die Fußball Ergebnisse nach zu sehen oder an Oma Lusie einen brief zu schreiben kann das nicht.

es gibt genauso Viren für Linux, Linux kann genauso gehackt und gecrackt werden wie jedes andere OS. Alleine der Grund das Linux noch nicht einen so hohen Marktanteil hat wie Windows hat es noch nicht interessant für Virenschreiber werden lassen.

Linux ist genauso anfällig wie alles andere auch!
Xdata razielkanos „ Das ist Unsinn - immer wieder lese ich das Linux sicher ist, oder zumindest...“
Optionen

"es gibt genauso Viren für Linux!!

Das stimmt nicht!

Nenne "einen" echten Virus für Linux.

Wenn es die gäbe würde es rumgehen wie ein Lauffeuer, mit gehässigen Kommentaren..

Ja auch Linux kann gehackt werden, aber nicht genauso wie jedes andere Betriebssystem. Es hat eine Unixartige Struktur.


"Linux ist genauso anfällig wie alles andere auch!"
Ach ja, dann nehme ich Dos, einen Browser dafür gibt es.
Oder Windows 3.11?
Geht nicht -- ist nicht verbreitet genug.
Na dann ein Windows 95. hab noch ein ganz altes auf Disketten :-)
Mist, ist vielleicht auch schon weniger verbreitet als Linux..

Der Unsinn mit der geingeren Verbreitung ist nicht auszurotten.
Genauso wie die Behauptung man könne dies nicht hochrechnen.

Die letzte Bundeswahl hat sonnenklar gezeigt was Hochrechnungen leisten können.
So einen mathematischen Staub muß man garnicht aufwirbeln.
Frag mal den - garnichtmal soo kleinen Anteil derer die Linux schon lange einsetzen, ob die schon mal -außer beim Scannen von Windows einem Virus begegnet sind.

Außer Geblubber, gibt es keinen relevanten oder bekannten Fall.





razielkanos Xdata „ es gibt genauso Viren für Linux!! Das stimmt nicht! Nenne einen echten Virus...“
Optionen

Ramen Worm
http://en.wikipedia.org/wiki/Ramen_worm

Und? Bricht jetzt eine Welt für dich ein? das war schon 2001 - und du hast das nicht mitbekommen :(

troll dich...

BastetFurry razielkanos „Ramen Worm http://en.wikipedia.org/wiki/Ramen_worm Und? Bricht jetzt eine Welt...“
Optionen

Keine Ahnung was Xdata da geraucht hat, aber trotzdem ist es schwieriger ein Linux zu infizieren.
Wird schon einen Sinn haben wieso jeden Tag das Fenster "Updates installieren" aufplöppt, da sitzen nämlich eine menge Nerds in ihren Kellern und suchen nach Lücken.

Übrigens erachte ich es als traurig wieviel Energie (Strom und Arbeitskraft) in dieses Thema versenkt werden muss. Aber leider gibt es auf dieser Welt viel zu viele Arschlöcher/Virenschreiber.
Und wenn ich mir überlege welche mafiösen Strukturen da schon hinter stehen wird mir schlecht...

Ich geh schonmal kotzen, wer kommt mit?

hardy25 razielkanos „Ramen Worm http://en.wikipedia.org/wiki/Ramen_worm Und? Bricht jetzt eine Welt...“
Optionen

Hallo an euch!Ihr habt mir ja ganz toll nicht geholfen!Gruß und Dank Hardy

Alfredo7 razielkanos „ Das ist Unsinn - immer wieder lese ich das Linux sicher ist, oder zumindest...“
Optionen

dummschwätzerei von leuten die keine ahnung haben gibts ohne ende.

versteh ich schon nix - versuche zu lernen und zu verstehen.

aber was du von stapel lässt, schlägt dem fass den boden aus.

viel blabla füllt zwar viel papier, bringt aber keinen sinn - denk mal drüber nach.

nixfreitag Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

hiho Loits..

Ich mach es mal ganz kurz..

Gibt es eine LEGALE Möglichkeit, einen zusätzlichen Win 7 Home Premium x64 Lizenzkey zu erwerben?
Oder darf ich allen Ernstes eine 2. scheibe kaufen?

nixfreitag Nachtrag zu: „hiho Loits.. Ich mach es mal ganz kurz.. Gibt es eine LEGALE Möglichkeit, einen...“
Optionen

t'schuldigung.. falsche Abteilung..
bitte löschen

Knoeppken nixfreitag „t schuldigung.. falsche Abteilung.. bitte löschen“
Optionen

Hallo,

stelle einfach in den beiden Threads, in denen du glaubst falsch geantwortet zu haben, einen Löschantrag.
Unter "Optionen zum Beitrag".

Gruß
knoeppken

mono Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

@MN:
...die Macher von Virenscanner können auch nur reagieren oder würdest du über die Polizei, Feuerwahr und den Notarzt das gleiche sagen???

Die Polizei kann den Brandstifter erst dann fangen, wenn er einen Brand gelegt hat (oder zumindest beim Versuch erwischt wurde). Die Feuerwehr kann das Feuer erst löschen, wenn es gelegt wurde und der Notarzt kann das Brandopfer erst versorgen, wenn es sich verbrannt hat....!? :)

Die Sicherheit eines Systems liegt immer in der Hand desjenigen, der es nutzt. Andere dafür verantwortlich machen ist hier der falsche Ansatz...

BastetFurry mono „@MN: ...die Macher von Virenscanner können auch nur reagieren oder würdest du...“
Optionen
Die Sicherheit eines Systems liegt immer in der Hand desjenigen, der es nutzt. Andere dafür verantwortlich machen ist hier der falsche Ansatz...
Heutzutage würd ich das einfach mal verneinen.
Man kann viel tun, Beispielsweise Software nur aus vertrauenswürdigen Quellen beziehen (nein, thepriatebay und saugstube sind nicht vertrauenswürdig!), sich hinter eine "Hardware"Firewall packen, obskure Software nutzen (wer interessiert sich schon für den Außenseiter?) und Software aktuell halten.

Und wenn alle Stricke reißen nehm ich meinen Amiga 2000 mit 030er Turbokarte und geh damit ins Internet, da gibts mit 1000% Sicherheit keinen Exploit für. ;)
Xdata BastetFurry „ Heutzutage würd ich das einfach mal verneinen. Man kann viel tun,...“
Optionen

"Amiga 2000" ;-)
Das weckt Erinnrungen :-) Hatte zwar nur einen Amiga 600, aber gegen den kommt mir bei heutiger Software alles fett und ineffizient vor.

-- Die schnellen modernen CPUs und Motherboards werden es schon richten,

Nach dem was weiter oben über Linux gesagt wurde hat der Amiga meine Laune wieder gerettet.
Schon die 68000er CPUs reichen um gute Laune zu bekommen.


Bei Windows kann jede popelige Software in Systemdateien rumfummeln.
Und - nicht als Administrator surfen hat den Leuten bei Blaster auch nicht geholfen.
Allzuleicht kann - in jedem Windows, alles und jedes Systemrechte erlangen.
Anscheinend egal ob der User Administrator ist oder nicht.

Der Löwenanteil der User sind keine Experten und die Bezeichnung DAU meist ungerecht.

Was ist ein sicheres System?

Eins wo man auf alles Klicken kann ohne es kompromittieren zu können;-)

BastetFurry Xdata „ Amiga 2000 - Das weckt Erinnrungen :- Hatte zwar nur einen Amiga 600, aber...“
Optionen
Eins wo man auf alles Klicken kann ohne es kompromittieren zu können;-)
Tja, dann nimmt man wohl am besten einen Cevi, der hat nach dem Einschaltet einen frischen Urzustand. :D

(Drin vor "Das DRAM im Cevi hält aber bis zu 30 Sekunden seinen Inhalt!")

aldigator Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

bin bestimmt kein Linux Freak, aber ich hab auf ne alte kiste ubuntu draufgenagelt und benutz die für banking und nix anderes. Null Probleme seit Jahren.

Jeder Tropfen hilft, sagte die Ameise und pinkelte in den Rhein.

hardy25 Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

Gibt es denn eine Möglichkeit zu sehen ob man nun das Rootkit schon an Bord hat,das würde mich interesseieren,oder muß man sein XP abschlachten lassen um das raus zu bekommen! Nach der Nickles Info habe ich mich nicht getraut die letzten Updates zu installieren,aber wenn Symantec escheid weiß,hoffe ich doch,das mein Norton 360 aufgepaßt hat oder liege ich da falsch! Gruß hardy

Olaf19 hardy25 „Gibt es denn eine Möglichkeit zu sehen ob man nun das Rootkit schon an Bord...“
Optionen

Hi Hardy

Ich würde keinesfalls empfehlen, auf aktuelle Updates zu verzichten, nur weil es "ein paar Leuten", die zufällig dieses Rootkit an Bord hatten, damit schlecht ergangen ist.

Die Wahrscheinlichkeit, dass du das auch hast, würde ich als eher gering beziffern, zumal wenn du dein System regelmäßig auf Viren scannst. Ich würde die Updates daher installieren.

Ganz fein raus bist du natürlich mit einer Imaging-Software wie Acronis TrueImage: Einfach vor den Updates ein Image machen, dann Updates installieren - wenn es nicht funzt, einfach die alte Version wieder aufspielen.

CU
Olaf

hardy25 Olaf19 „Hi Hardy Ich würde keinesfalls empfehlen, auf aktuelle Updates zu verzichten,...“
Optionen

Hallo Olaf!Die erste vernünftige Antwort hier dieses Mal.Das bin ich ja hier eigentlich gar nicht gewöhnt.Natürlich lasse ich regelmäßig meine Notebooks scannen,aber wenn so ein Rootkit schon Jahre auf den PCs überlebt hat,macht man sich ja doch Gedanken und ein Image habe ich ja vom XP auch,über DriveImage,aber bin mir nicht sicher ob das dann auch so 100% hinhaut mit dem Neuinstallieren,da ich ja sogar bei der Neuinstallation aus der versteckten Patition hatte,wo angeblich laufend eine Datei fehlte.Hier auf meinem Vista habe ich ja gleich installiert,da ich sowieso nichts davon wußte und Vista betrifft es ja wohl auch nicht,aber als ich es wuße und XP gefragt hat ob es Updates installieren soll,hatte ich dann doch Muffe.Naja,dann werde ich es einfach nächstes mal machen lassen und auf mein Norton vertrauen.Vielen Dank für deine Antwort!Hardy

hascherl Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

@hardy 25:

Vor ein paar Tagen gabs mal einen gewaltigen Patch-Day, da wurden 68 Updates angeboten.
Ich hab sie alle geladen und installiert, alles ok. Und der "böse" Patch war schon ausgemustert,
aber eine Update dafür war drin. Hat zwar ´ne Ewigkeit gedauert, bis alles installiert war, aber es gab keine Probleme.

So, weiter zum Thema.
Mich wunderts, das die "Virenbauer" immer wieder irgendwelche Löcher finden, die MS-Leute aber nie selber welche.
Wie lange machen die schon am IE rum? Immer und immer wieder werden "Sicherheitslöcher" ( ist das eigentlich ein sicheres Loch? ) gestopft.
Warum können die nicht mal was basteln, was funktioniert?
Wir als User sind dann Looser, wenns wieder mal daneben geht.
Und dann machen wir halt noch ein Schutzprogramm drauf, das auch nichts bringt.
Das alles mit dem Hintergrund, dass die Banken uns als "Kunden" noch mehr Verantwortung übertragen.
Langsam macht das keinen Spass mehr.
Da fragt man sich, wo der Fortschritt ist. Sicher nicht bei Amiga und C64, aber sooo weit ist das nicht hergeholt.

Hascherl

Conqueror Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

"Mein Tipp für alle, die "Homebanking" am PC machen: Linux."
Das ist nicht die Lösung für alle, denn diejenigen, die dieses Rootkit drauf hatten (und schon jahrelang Teil eines Botnetztes waren), kommen mit Linux schon mal gar nicht klar, und die anderen, die sich in Linux einarbeiten könnten, hatten das Rootkit nicht drauf.

mike_2006 Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

hey - ein pc ist unsicher, sobald man ihn einschaltet

Aber warum sollte man sich deswegen verrückt machen?
Das beste Mittel gegen einen Schmand-PC ist: Gesunder Menschenverstand. Und ein wenig Glück.

Ein aktuelles Windows, ein Virenscanner, eine Firewall und ein Firefox reichen für den Anfang. Dann bräuchte man noch einen SMS-Tan und die Sache ist geritzt.

Am Besten wäre es natürlich, Online-Banking per Handy zu erledigen.
Das Handy-System ist sowohl von Netz- als auch von Software-Seite vollkommen sicher.

Oder hat schonmal jemand was von einem gehackten Handy-Netz gehört?
Wie siehts aus mit ner SSL-Verbindung, die in, sagen wir mal, 5 Minuten geknackt wird?

Macht euch mal nicht so einen Kopf... oder geht einfach selber zur Bank=)

Coolebra Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

Mir gefaellt der drastische Titel :D

Ich mein, wer glaubt eigentlich ernsthaft noch bei solch einem kranken permanent loechrigen system wie Microsoft Windows, dass sich da jemals was zum Besseren veraendern wird? Laecherlich, albern, naiv :) Ist doch gar nicht im Sinne des erfinders... mit staendigen nutzlosen "hotfixes" und patches, die ja doch nur hier ein loch flicken um woanders wieder ein anderes aufzureissen (karussell-programmierspielchen) haelt man die ahnungslosen auf trab und zwingt sie immer wieder zu unfreiwilligen connects zur MS Homepage. Wo die dann froehlich wie gehabt persoenliche daten auslesen, falls sie es nicht schon ohnehin die ganze zeit bei all denjenigen machen, die nicht wissen, das ihre rechner permanent standardmaessig "nach hause" funken ueber mehr wie 63000 offene ports und etliche prozesse, die nicht abriegelbar sind, wie z.B. lsass und svchost.

Windows ist einfach nicht 100% abriegelbar, dafuer sorgt die benutzerfeindliche systemarchitektur und die neurotische mentalitaet des Big Assholes Bill Gates.
Wenn dieses beschissenste betriebssystem aller zeiten endlich das zeitliche segnet, feiere ich ein grosses fest mit allen gleichgesinnten mit herrlichem feuer am elbstrand ;)

Bäuerle1 Michael Nickles „XP-Mörder bauen ihr Rootkit um“
Optionen

Hallo,
Es scheinen sich wohl ein paar Profis richtig Geld zu verdienen können.
Als einfacher und halbwegs unbedarfter Nutzer installiere ich vermutlich Windows.

Bei meinem neuen Laptop, gekauft 12/2009 mit Win 7 vorinstalliert, kam nach dem ganzen Initiierungsritus eine Warnung von McAfee, Rootkit eliminiert. Das Ganze
hat natürlich nicht zu einer vertrauensbildenden Beziehung geführt.

Bei dem oben gelesenem, insbesonderen der Bankgeschichten, frag ich mich, warum die Banken einem nicht ein sicheres System stellen müssen, bzw. sollten.

mfG Andy