BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- "Paket" Viren (http://www.black-board.net/thread.php?threadid=13625)

Geschrieben von phlox81 am 29.08.2003 um 21:12:

  "Paket" Viren

Hm, ich hab mir mal gedanken darüber gemacht,
und bin zu dem Schluss gekommen, das es ein interessantes
und aktuelles Diskussionsthema ist.

Nach dem die ersten Viren sich über Disketten verbreiteten, ging
die nächste Generation dann den Weg über die Email. Emailviren
gibt es nun schon seit Jahren, und sie sind immer noch erfolgreich,
allerdings gibt es anscheinend nun eine neue viel gefährlichere
Art der Viren, nähmlich welche die sich einzig und allein über
Netzwerkpakete verschicken, und nun direkt den PC befallen,
ohne vom User 'installiert' werden zu müssen.
Einer der ersten Vertreter dieser neuen Gattung war SQLSlammer, der
sich vorallem durch enormes Trafficaufkommen bemerkbar machte, und
die Server zu müllte, bis ganze Netzwerke zusammenbrachen.
Dann folgte im August msblaster, auch Lovsan genannt. Trotz seiner Harmlosigkeit
vom reinen Sourcecode her, hat er großen Schaden verursacht, da
er auch Unix betraf, durch den Abschuss des DCE Dienstes.

Die beiden Vertreter dieser neuen Virusspezies zeigen ihr enormes Potential,
man stelle sich nur vor, der Wurm lovsan wäre 2 - 3 Wochen früher 'losgeschickt'
worden, oder wäre gründlicher geschrieben gewesen, wirklich bösartig gewesen.

Wie denkt ihr über diese neue Art von Viren ?

Devil


Geschrieben von alamar am 30.08.2003 um 01:10:

 

du scheinst sie ja hammergeil zu finden - aber mir sind sie ehrlich gesagt egal.
leute deren rechner von viren befallen werden sind wie es schon immer war selber daran schuld.
früher haben sie die disketten nicht gescant / dann schlechte mail software benutzt bzw blauäugig alles ausgeführt und heute sind es eben schlecht konfigurierte systeme oder gar ein schlechtes betriebsystem.


Geschrieben von Exekutor am 30.08.2003 um 01:16:

 

naja alamar... nicht jeder spielt jedes Sicherheitspatch von Microsoft auf und sichert sein System komplett ab, weil er aber auch einfach keine Ahnung von der Materie hat.
Und mir persönlich sind diese Viren nicht egal, weil ich 3 verdammte Tage damit zugebracht habe das Ding auf Rechnern meiner Bekannten zu eliminieren.

Ciao Exe


Geschrieben von alamar am 30.08.2003 um 01:44:

 

sag deinen bekannten sie sollen sich mal eine pfw oder fw anschaffen sollte heutzutage eigentlich jeder haben. weil das alleine alngt schon um den port zu blocken was sie auch von alleine sollte.
ich mach es mir einfach aber es ist so - wenn die leute die sachen machen würden die sie andauernd zu hören bekommen wäre das ding nicht weiter schlimm gewesen - die sagen dir andauernd du sollst dir ne firewall installieren weil es so viele böse hacker gibt jeder dritte bericht im fernsehen über computer hat so einen satz. aber die leute machen es einfach nicht.


Geschrieben von phlox81 am 30.08.2003 um 01:45:

 

Zitat:
Original von alamar
du scheinst sie ja hammergeil zu finden - aber mir sind sie ehrlich gesagt egal.
leute deren rechner von viren befallen werden sind wie es schon immer war selber daran schuld.
früher haben sie die disketten nicht gescant / dann schlechte mail software benutzt bzw blauäugig alles ausgeführt und heute sind es eben schlecht konfigurierte systeme oder gar ein schlechtes betriebsystem.


klar, find sie endlos geil... *g*

Nein, mal im ernst, deine Arroganz gegenüber ungesicherten Systemen
mag gerechtfertigt sein, nur das dumme ist, es muss nicht immer eine
so bekannte Sicherheitslücke wie die des RPC Dienstes sein.
Desweiteren muss sowas garnicht am OS liegen, es reicht schon,
wenn du in einer häufig genutzen Software einen bufferoverrun ausnutzt.

Und desweiteren, vergess bitte nicht die, deren Hobby es nicht ist, sich
täglich durch Heise und co zu lesen, und für die der PC mehr als Arbeits- und
Freizeitgerät dient, sowie zum beispiel der Fernseher.

Devil


Geschrieben von alamar am 30.08.2003 um 01:49:

 

wenn man den pc nicht als hobby hat - hat man keine services mit offenen ports laufen deren vulnerabilität ausgenutzt werden kann.
wenn man wiederum den pc als hobby hat - weiß man auch über firewalls bescheid und ist normal auch wenn man services anbietet über die sicherheit der eingesetzten software informiert.


Geschrieben von phlox81 am 30.08.2003 um 01:58:

 

Ich will jetzt keine Disskussion über Virenprävention, sondern
über den neuen Typ von Paketviren, und der hat nix mit FW und
ähnlichem Zeugs zu tun. Denn wenn du den Port offen hast,
nützt dir auch ne FW nix.

Devil


Geschrieben von CDW am 30.08.2003 um 19:52:

 

sorry zum offftopic, aber:
Zitat:
wenn man den pc nicht als hobby hat - hat man keine services mit offenen ports laufen deren vulnerabilität ausgenutzt werden kann.

schon mal ein neue, frisches winxp begutachtet? Da läuft und kriecht alles mögliche... und wenn man den PC als freizeit und Arbeitsgerät nutzt, kauft man den meist von "der Stange" und diese PC haben meist (noch) winXP vorinstalliert.
zum thema:
mich wundert es ehrlich gesagt, dass solche Viren so spät kommen (oder entdeckt wurden, es wird nähmlich gemunkelt, dass einige Viren/Trojaner jahrelang in einem Unixsystem (an den Unis) "überlebt" haben, ohne aufzufallen (sie waren wohl auch sorgfältiger geschrieben und durchdacht, wurden erst bei einem Systemupdate bemerkt))
denn seit wie vielen Jahren gibts denn schon Bufferoverflowexploits? Und den einen Schritt weiter, nähmlich anstatt sich die Adminrechte damit zu beschaffen, ist jemand auf die Idee gekommen das Programm damit auch gleich weiterzuverschicken.Wie gesagt, ich denke, dass die meisten Viren (die unspektakulären) erst sehr spät entdeckt werden (der sogenannte millenium virus, der erst kurz vor dem Millenium entdeckt wurde, sich aber schon seit langer Zeit verbreitete).
Habe heute mal bei einem Bekannten Virencheck gemacht (er hat ein antivirus drauf (PC-chill so ähnlich), habe mit YAW 2 dialer und mit Antivir PE (achtung, kein tippfehler) 367 hauptsächlich mit Klez und electra infizierte Dateien beseitigt(lovesan war auch zu finden).Der standardanwender hat erstmal ohne sein Wissen viele Dienste am laufen, dazu kommen noch solche wie emule und weitere, aber auch Instant Messanger.Und dass (P)firewalls (ohne Paketfilter, aber wahrscheinlich auch mit) bei Paketviren nix bringen, versteht sich von selbst, nur dass es relativ wenige Leute wissen. (Ich komme wieder vom thema ab, aber wirklich, @alamar: ich schreibe dir einen kleinen wurm harmlose schadensroutine, packe ihn mit upx oder Yodascrypt (oder gar nicht,sondern Hardcoreassembler mit hardgecodeten API-strings) und wenn dein antivirenprogramm nicht auf heuristik gestellt ist, wird es ABSOLUT nix sagen, und bei heuristik bin ich mir da zu 90% sicher, dass es nicht meckert...)
zurück zum thema: eine interessante Problematik ergibt sich bei solchen Packetviren dadurch, dass sie nicht mehr so einfach aufzuspüren sind - solange sie im Speicher eines Programms laufen, werden sie auch von Virenwächtern übersehen... und wenn man den Speicher mitscannt, dann gehn so viele Ressourcen drauf, dass man es sich zweimal überlegt... ich könnte mir auch vorstellen, ein Virus, der sich nicht als Datei verewigt, sondern nur im speicher verbleibt (und bei einem Server dauert es eben mehrere Wochen oder auch Monate, bis zum nächsten neustart) könnte als nächstes rauskommen.Oder es geht ein emule virus(oder andere Tauschbörse) herum (firewall wird hier auch nicht helfen!). Ob das die Leute dann zwingen wird, die tauschdienste einzustellen? (nicht dass einer aus der Musikindustrie sich das durchliest und die Idee aufgreift (vielleicht aber arbeiten die auch schon dran) Augenzwinkern )


Geschrieben von zira am 30.08.2003 um 21:09:

  Millenium Virus?

@CDW

>Wie gesagt, ich denke, dass die meisten Viren (die unspektakulären) erst sehr spät entdeckt werden (der sogenannte millenium virus, der erst kurz vor dem Millenium entdeckt wurde, sich aber schon seit langer Zeit verbreitete).

Nie gehört.
Was war denn das? Ein Unix Virus?

Wenn es mal ausnahmsweise kein Windows Virus ist, scheint es gar kein Aufsehen zu erregen. Andererseits wie hat der denn Unix befallen? Einspielen infizierter Binaries durch den Administrator? Viren-Befall des Compilers so dass infizierte Binaries erzeugt werden?


Geschrieben von alamar am 31.08.2003 um 00:22:

 

schreib mir diesen virus so dass er bei mir schadne anrichten kann und du bekommst etwas deiner wahl von mir smile .
Ausserdem woher soll ichn wissen was xp für seltsame ms services am laufen hat - wenn es so ist das per default services ohne mein wissen laufen noch ein grund mehr es nicht zu benutzen vor allem wenn die dann noch so scheisse sind.
Und die letzten rechner von bekannten die von der stange gekauft bzw halt aus plus/aldi die ich gesehen habe hatten auch per default eine pfw drin... wie gut die ist ist eine andere frage....
und wenn leute dinge wie emule/kazaa benutzen um sich illegal software / musik / filme zu beschaffen ist das nur eine gerechte strafe für ihre kriminellen machenschaften.

und diese offtopic abschweifung istn icht meine schuld - sprech es das nächste mal über eine pn an - ich rechtfertige bloß was ich sage.


Geschrieben von Exekutor am 31.08.2003 um 00:51:

 

hm, ich denke auch wir sollten beim thema bleiben, nur noch was schnell offtopic, wer will kann das per PN weiterdiskutieren großes Grinsen
@alamar, laut deinem Profil bist du ja Schüler, ich glaub dir das mal. Ich möchte dich mal erleben wie du, wenn du wie ich in einem Betriueb mit 6000 Mitarbeiter aufwärts im Helpdesk gearbeitet hast, zu einem Mitarbeiter sagst: "Ja tut mir leid, hätten sie halt besser aufgepasst und sich mit der Materie auseinandergesetzt, das sie jetzt den Wurm haben tut mir ja leid, aber es ist halt ihre Schuld..."

Wenn du mal einen Virenbefall in so einem Unternhemen erlebt hast (ich habe sobig, i love you und noch einige mehr hinter mir) denkst du ganz anders über die sache...


So, nun aber gut mit off und weiter im text

Ciao Exe


Geschrieben von Black Star am 31.08.2003 um 01:41:

 

Zitat:
Original von Exekutor
Ich möchte dich mal erleben wie du, wenn du wie ich in einem Betriueb mit 6000 Mitarbeiter aufwärts im Helpdesk gearbeitet hast, zu einem Mitarbeiter sagst: "Ja tut mir leid, hätten sie halt besser aufgepasst und sich mit der Materie auseinandergesetzt, das sie jetzt den Wurm haben tut mir ja leid, aber es ist halt ihre Schuld..."


wofür hat euer unternehmen denn computer-leute, wenn nicht für sowas?
wenn ihr M$ windows einsetzt, dann ist das inklusive.
abgesehen davon hat eine freundin, die wirklich nicht sehr helle ist (ein wahre blondine im klischehaften sinne) die sache mit dem update alleine hingekriegt.

ich persönlich finde viren sogar nützlich für die evulotion der software.
wo wäre die software heute, wenn es nie viren gegeben hätte?
in der natur gibt es auch viren, und sie scheinen ihren sinn zu haben.


Geschrieben von CDW am 31.08.2003 um 17:39:

 

@Zira:
bin mir nicht mehr sicher ob es dieser Virus war:
http://www.norman.com/de/virus_info/w32_mypics_worm.shtml
oder ein andere, mit der time funktion (schon länger her), war aber ein winwurm. Mit unix viren kenn ich mich nicht so aus... wollte zwar schon länger auf linux umsteigen, hab aber kein DSL (denn wenn, will ich schon richtig umsteigen, auch den analog zur winAPI-doku haben und Lin-assembler Augenzwinkern )
@alamar: sorry, müsste heißen winwurm smile ... linux Kernel-APIs sind mir unbekannt Augenzwinkern ... Übrigens kann man egal was für ein System "ver"konfigurieren.Nur kommt winxp meist schon aus "bequemlichktei" so und aus schlampigkeit oder faulheit sind viele Programme so geschrieben, dass sie nur mit hohen rechten laufen... achte übrigens bei meinen Programmen immer darauf und benutze auch INIs um die registry nicht zuzumülen.Habe außerdem win2k drauf (weder die bonbonoptik noch der ressourcenhunger können mich oder meinen betagten Rechner (k6-2,500Mhz 160 Ram) begeistern.

Und so weit schweifen wir doch vom Thema nicht ab - entsprechende Virenpreväntion hat doch wohl was mit der Methode der Verbreitung was zu tun (beeinflußung).Sonst würde es ja ncoh immer Diskettenviren geben. Augen rollen
Übrigens, wenn man die gleiche Einstellung zu den Autos verwenden würden, dann würde man auch sagen, wenn ein auto gestohlen wurde "Selber Schuld, musstest doch um sicherheitsanlagen bescheid wissen oder dass man wichtige Teile aus dem Motorraum beim Verlassen mitnehemen sollte".Man kann die Leute irgendwie verstehn, die PC nur zum filmegucken oder tippen brauchen und sich um nix anderes kümmern wollen.

Außerdem wurde auch der entsprechende Unixdienst von diesem Virus getroffen... der Rechner/der Dienst wurde zwar nicht "infiziert", stürzte aber ab.
Zumindes um nützlichkeit der Viren kann man streiten - denn wie black star
schon schrieb, wo würden wir denn ohne die sein?Erst durch solche angriffe wird auch die Masse auf das Sicherheitsproblem aufmerksamm gemacht, denn die Sicherheitslöcher sind da, nur dass sie dann von "Profis - Geheimdienste, Wirtschaftsspionage usw."missbraucht" werden (ich bin nicht paranoid smile ) die keine Spuren hinterlassen.Wenn da nicht solche "ungeschickten" Viren/Würmer wie "I love you" usw wären würden viel weniger User Virenwächter oder Firewalls einsetzen was in Gegenzug Tür und Tor zur "professioneller" Nutzung von Spionageprogrammen eröffnet (sei es um die Kontonummer und Pin auszuspieonieren oder was anderes) (ok, jetz hör ich mich aber paranoid/unwissentlich an und halt mal den Mund)


Geschrieben von Bouncer am 01.09.2003 um 19:30:

 

Ich hab mir auch letztens über msBlaster mit einem Bekannten gedanken gemacht.
Bei meinem Praktikum (bin beim Helpdesk, wir (Admins) beheben halt alle Fehler) haben wur nur OS2/NT4/W2k laufen und da unser Intranet durch die gesammte Stadt geht ist ein Virus/Wurm sehr schnell eine Landplage.
sqlSlammer und msBlaster sind überings Würmer, da sie keine Datein infiziren, bzw. nicht diese Funktion nicht ihr Hauptteil ist, wenn überhaupt sind es Hybriten.

Naja, wir haben halt über das hin und für gesprochen und sind zu den Schluß gekommen, das sie durchaus positiven Folgen haben.
Auf msBlaster gab es ja eine Antwort eines anderen Wurmschreibers.
Der Wurm (fängt irgentwie mit W an Augenzwinkern ) benutzt auch den RPC-Bug, den auf msBlaster ausnutzt und löscht diesen UND downloadet von der MS-Updatepage den Patch, 2004 wird er sich selber deaktiviren.

Ich kann solche Würmer und vorallem den Schreibern nur meine höste Anerkennung aussprechen, da Sie mit ihren Antiviren (müßte eigentlich Antiwürmer heißen smile ) und die Gefahren unserer Faulheit zeigen und Sie gleichzeitig ausbügeln.

SqlSlammer war aber für mich schon Kult, als ich das erste mal davon gehört hab.
Endlich mal ein Wurm, der nicht so sinnlose Exploids wie z.B. die von Outlook & IE benutz, sondern einen richtig schwerwiegenden, über den auch jeder x-belibige Hacker/Cracker/Scriptkiddy ins Sys kommt und Root erhält.
Der Bug, den SqlSlammer ausgenutzt hat, is ja schließlich frühgenug bekannt gewesen um sich zu patchen, aber keiner tat es!
Geht einfach mal auf www.KryptoCrew.de und checkt da die Soaps, dort wurde dieses Thema schon früher aufgegriffen und echt wunderbar "verarscht".

Ich finde diese Würmer einfach brilliant!

Es müßen ja nicht immer solche wie z.B. Coconut sein (da muß man Kokusnüße auf den "Hacker" schmeißen, je mehr treffen, desso weniger Daten werden gelöscht...) oder welche die überhaupt was löschen.
Eine einfache MsgBox mit genug Infos zur deaktivirung und bereinugung des Sys würden schon reichen, zur Not auch selbstabschaltung nach z.B. 1 Jahr.
Wenn ich Asm oder besseres C/C++ könnte, würde die sogar selber welche schreiben.
Oder kennt ihr einen besseren Weg, die Leute und s.g. "Admins" von der Unsicherheit ihres Sys zu überzeugen, ohne es zu hacken und eucht strafbar zu machen?
Einen Wurm auszusetzten ist da weitaus einfacher!

Mal sehen, wie viele mich jetzt dafür flamen werden ;P
Mfg Bouncer


Geschrieben von naxatoe am 03.09.2003 um 19:06:

 

ich bin mir nich sicher ob das jetz off topic is aber
könnt ihr mir viren per mail senden damit ich das virenprogramm
testen kann

sstinkl@yahoo.com


Geschrieben von Tehocan am 03.09.2003 um 22:56:

 

wie man Leute von der Unsicherheit ihres Systems überzeugt:
-man programmiere eine sehr komplizierte Scherzvire in einer selbstgeschriebenen Sprache (damit der Quelltext nicht veränder werden kann) die einen Exploid ausnutzt, den man mit Firewall, Antiviren programm & co einfach beheben könnte!
jeder der keine Ausreichenden Schutzmaßnahmen hat, wird betroffen und belehrt. gleichzeitig wird aber dafür gesorgt, das keine Daten verändert oder überschrieben werden. (§ 303a/b stgb)


Geschrieben von C-Shell am 03.09.2003 um 23:40:

 

@bouncer:
der anti-blaster virus fängt nicht mit "w" an - er heißt: Nachi!

@naxatoe:
wenn du viren haben willst: http://www.schell-industry.de.vu (security-viren-virensammlung) da findest du 1000de - viel spaß Augenzwinkern

schließe mich übrigens der meinung an, dass jeder, der das internet benutzt, sich auch gedanken über das thema sicherheit machen sollte - wenn nicht - dann selbst schuld (zumindest in den meisten fällen!)

was uns die zukunft der virenentwicklung bringt .... na sollte doch eigentlich jeder wissen ... es gibt genug sicherheitslöcher von denen z.b microsoft (seattle ist nun einmal der brennpunkt aller sicherheitslücken Augenzwinkern schon jetzt in kenntnis gesetzt wurde aber ... genau ... natürlich warten sie erst auf den nächsten gau bis sie die lücken schließen Augenzwinkern

auf welchem weg sich die neue virengeneration fortpflanzen wird ... wer weiß ... habt ihr eine gute idee - geht es eigentlich noch besser/gemeiner als beim lovsan/blaster wurm?


Geschrieben von naxatoe am 04.09.2003 um 13:11:

 

danke für den link


Geschrieben von CDW am 04.09.2003 um 17:41:

 

@Monkshood:
Zitat:

man programmiere eine sehr komplizierte Scherzvire in einer selbstgeschriebenen Sprache (damit der Quelltext nicht verändert werden kann) die einen Exploid ausnutzt, den man mit Firewall, Antiviren programm & co einfach beheben könnte!

dein ernst? Wenn ja, dann musst du wissen, dass jede Datei als Binäry vorliegt - das heißt als Abfolge von Zahlen, diese abfolge wird von der CPU verarbeitet (sie enthält Befehle und operatoren usw).Daß heißt, jeder, der genug assembler kann, kann auch den Virus umschreiben (einen "vernünftigen", heißt also nicht dass man VB/Delphi viren im debugger verstehn wird Augenzwinkern )

aber eine eigene (assembler)SPrache hab ich ja schon, leider verstehen nur wenige computer diesen Dialekt, da es eine andere CPU voraussetzt Augenzwinkern


Geschrieben von [CF]Bunny am 19.09.2003 um 13:01:

 

CDW hat recht gehabt mit der Uni-Geschichte, ein Trojaner saß mindestens 5 Jahre im Rechenzetrum der Uni Köln ...in einer UNIX kiste.

...hier gibts einige bilder der schmuckstücke. smile


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH