Habe durch rumprobieren festgestellt, wie einfach es ist ZoneAlarm zu mißbrauchen!
Und zwar habe ich ZoneAlarm auf einem PC installiert, dann meine Anwendung(Trojaner) installiert und als ZoneAlarm fragte ob diese ins Internet darf, \'JA\' gesagt! Jetzt habe ich die Datenkank von ZA wo die Regeln drinstehen (C:\\WINDOWS\\Internet Logs\\IAMDB.RDB) kopiert und als File mit in die Installroutine meines Trojaners gepackt, dann auf einem anderen PC nochmals ZA installiert und den PC von ZA so sperren lassen, so das keine Anwendung ins Internet darf.
Jetzt den neuen Trojaner installiert, der folgendes macht:
- beenden der Prozesse zonealarm.exe, vsmon.exe und minilog.exe
ZA ist noch immer im Speicher aktiv und schützt den PC (noch)!!!
- auslesen des RegKeys
HKLM\\\\Software\\Zone Labs\\TrueVector\\LocalStoreDir, wo die Regel-DB
auf dem Ziel-PC liegt
- kopieren meiner gefakten IAMDB.RDB über das Original
- neustarten von zonealarm.exe, vsmon.exe und minilog.exe
und siehe da, plötzlich kann mein Trojaner ins Internet kommunizieren, weil ZA es ihm jetzt erlaubt, hihihihi!
Ben Horne
