"Paket" Viren |
phlox81
Bote des Lichts und Moderator
Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
|
|
"Paket" Viren |
|
Hm, ich hab mir mal gedanken darüber gemacht,
und bin zu dem Schluss gekommen, das es ein interessantes
und aktuelles Diskussionsthema ist.
Nach dem die ersten Viren sich über Disketten verbreiteten, ging
die nächste Generation dann den Weg über die Email. Emailviren
gibt es nun schon seit Jahren, und sie sind immer noch erfolgreich,
allerdings gibt es anscheinend nun eine neue viel gefährlichere
Art der Viren, nähmlich welche die sich einzig und allein über
Netzwerkpakete verschicken, und nun direkt den PC befallen,
ohne vom User 'installiert' werden zu müssen.
Einer der ersten Vertreter dieser neuen Gattung war SQLSlammer, der
sich vorallem durch enormes Trafficaufkommen bemerkbar machte, und
die Server zu müllte, bis ganze Netzwerke zusammenbrachen.
Dann folgte im August msblaster, auch Lovsan genannt. Trotz seiner Harmlosigkeit
vom reinen Sourcecode her, hat er großen Schaden verursacht, da
er auch Unix betraf, durch den Abschuss des DCE Dienstes.
Die beiden Vertreter dieser neuen Virusspezies zeigen ihr enormes Potential,
man stelle sich nur vor, der Wurm lovsan wäre 2 - 3 Wochen früher 'losgeschickt'
worden, oder wäre gründlicher geschrieben gewesen, wirklich bösartig gewesen.
Wie denkt ihr über diese neue Art von Viren ?
Devil
__________________ Intelligenz ist eine Illusion des Menschen
phlox81.de | codenode.de
|
|
29.08.2003 21:12 |
|
|
alamar
Julian Seifert
Dabei seit: 26.05.2003
Beiträge: 34
Herkunft: coburg
|
|
du scheinst sie ja hammergeil zu finden - aber mir sind sie ehrlich gesagt egal.
leute deren rechner von viren befallen werden sind wie es schon immer war selber daran schuld.
früher haben sie die disketten nicht gescant / dann schlechte mail software benutzt bzw blauäugig alles ausgeführt und heute sind es eben schlecht konfigurierte systeme oder gar ein schlechtes betriebsystem.
__________________ There are only 10 kind of people, the one who can do binary and the one who can`t.
|
|
30.08.2003 01:10 |
|
|
phlox81
Bote des Lichts und Moderator
Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
Themenstarter
|
|
Zitat: |
Original von alamar
du scheinst sie ja hammergeil zu finden - aber mir sind sie ehrlich gesagt egal.
leute deren rechner von viren befallen werden sind wie es schon immer war selber daran schuld.
früher haben sie die disketten nicht gescant / dann schlechte mail software benutzt bzw blauäugig alles ausgeführt und heute sind es eben schlecht konfigurierte systeme oder gar ein schlechtes betriebsystem. |
klar, find sie endlos geil... *g*
Nein, mal im ernst, deine Arroganz gegenüber ungesicherten Systemen
mag gerechtfertigt sein, nur das dumme ist, es muss nicht immer eine
so bekannte Sicherheitslücke wie die des RPC Dienstes sein.
Desweiteren muss sowas garnicht am OS liegen, es reicht schon,
wenn du in einer häufig genutzen Software einen bufferoverrun ausnutzt.
Und desweiteren, vergess bitte nicht die, deren Hobby es nicht ist, sich
täglich durch Heise und co zu lesen, und für die der PC mehr als Arbeits- und
Freizeitgerät dient, sowie zum beispiel der Fernseher.
Devil
__________________ Intelligenz ist eine Illusion des Menschen
phlox81.de | codenode.de
|
|
30.08.2003 01:45 |
|
|
alamar
Julian Seifert
Dabei seit: 26.05.2003
Beiträge: 34
Herkunft: coburg
|
|
wenn man den pc nicht als hobby hat - hat man keine services mit offenen ports laufen deren vulnerabilität ausgenutzt werden kann.
wenn man wiederum den pc als hobby hat - weiß man auch über firewalls bescheid und ist normal auch wenn man services anbietet über die sicherheit der eingesetzten software informiert.
__________________ There are only 10 kind of people, the one who can do binary and the one who can`t.
|
|
30.08.2003 01:49 |
|
|
phlox81
Bote des Lichts und Moderator
Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
Themenstarter
|
|
Ich will jetzt keine Disskussion über Virenprävention, sondern
über den neuen Typ von Paketviren, und der hat nix mit FW und
ähnlichem Zeugs zu tun. Denn wenn du den Port offen hast,
nützt dir auch ne FW nix.
Devil
__________________ Intelligenz ist eine Illusion des Menschen
phlox81.de | codenode.de
|
|
30.08.2003 01:58 |
|
|
CDW
eine Simulation
Dabei seit: 12.10.2002
Beiträge: 1.329
Herkunft: CreateRemoteThread
|
|
sorry zum offftopic, aber:
Zitat: |
wenn man den pc nicht als hobby hat - hat man keine services mit offenen ports laufen deren vulnerabilität ausgenutzt werden kann. |
schon mal ein neue, frisches winxp begutachtet? Da läuft und kriecht alles mögliche... und wenn man den PC als freizeit und Arbeitsgerät nutzt, kauft man den meist von "der Stange" und diese PC haben meist (noch) winXP vorinstalliert.
zum thema:
mich wundert es ehrlich gesagt, dass solche Viren so spät kommen (oder entdeckt wurden, es wird nähmlich gemunkelt, dass einige Viren/Trojaner jahrelang in einem Unixsystem (an den Unis) "überlebt" haben, ohne aufzufallen (sie waren wohl auch sorgfältiger geschrieben und durchdacht, wurden erst bei einem Systemupdate bemerkt))
denn seit wie vielen Jahren gibts denn schon Bufferoverflowexploits? Und den einen Schritt weiter, nähmlich anstatt sich die Adminrechte damit zu beschaffen, ist jemand auf die Idee gekommen das Programm damit auch gleich weiterzuverschicken.Wie gesagt, ich denke, dass die meisten Viren (die unspektakulären) erst sehr spät entdeckt werden (der sogenannte millenium virus, der erst kurz vor dem Millenium entdeckt wurde, sich aber schon seit langer Zeit verbreitete).
Habe heute mal bei einem Bekannten Virencheck gemacht (er hat ein antivirus drauf (PC-chill so ähnlich), habe mit YAW 2 dialer und mit Antivir PE (achtung, kein tippfehler) 367 hauptsächlich mit Klez und electra infizierte Dateien beseitigt(lovesan war auch zu finden).Der standardanwender hat erstmal ohne sein Wissen viele Dienste am laufen, dazu kommen noch solche wie emule und weitere, aber auch Instant Messanger.Und dass (P)firewalls (ohne Paketfilter, aber wahrscheinlich auch mit) bei Paketviren nix bringen, versteht sich von selbst, nur dass es relativ wenige Leute wissen. (Ich komme wieder vom thema ab, aber wirklich, @alamar: ich schreibe dir einen kleinen wurm harmlose schadensroutine, packe ihn mit upx oder Yodascrypt (oder gar nicht,sondern Hardcoreassembler mit hardgecodeten API-strings) und wenn dein antivirenprogramm nicht auf heuristik gestellt ist, wird es ABSOLUT nix sagen, und bei heuristik bin ich mir da zu 90% sicher, dass es nicht meckert...)
zurück zum thema: eine interessante Problematik ergibt sich bei solchen Packetviren dadurch, dass sie nicht mehr so einfach aufzuspüren sind - solange sie im Speicher eines Programms laufen, werden sie auch von Virenwächtern übersehen... und wenn man den Speicher mitscannt, dann gehn so viele Ressourcen drauf, dass man es sich zweimal überlegt... ich könnte mir auch vorstellen, ein Virus, der sich nicht als Datei verewigt, sondern nur im speicher verbleibt (und bei einem Server dauert es eben mehrere Wochen oder auch Monate, bis zum nächsten neustart) könnte als nächstes rauskommen.Oder es geht ein emule virus(oder andere Tauschbörse) herum (firewall wird hier auch nicht helfen!). Ob das die Leute dann zwingen wird, die tauschdienste einzustellen? (nicht dass einer aus der Musikindustrie sich das durchliest und die Idee aufgreift (vielleicht aber arbeiten die auch schon dran)
)
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von CDW: 30.08.2003 19:55.
|
|
30.08.2003 19:52 |
|
|
zira
Senior Member
Dabei seit: 07.11.2002
Beiträge: 348
|
|
Millenium Virus? |
|
@CDW
>Wie gesagt, ich denke, dass die meisten Viren (die unspektakulären) erst sehr spät entdeckt werden (der sogenannte millenium virus, der erst kurz vor dem Millenium entdeckt wurde, sich aber schon seit langer Zeit verbreitete).
Nie gehört.
Was war denn das? Ein Unix Virus?
Wenn es mal ausnahmsweise kein Windows Virus ist, scheint es gar kein Aufsehen zu erregen. Andererseits wie hat der denn Unix befallen? Einspielen infizierter Binaries durch den Administrator? Viren-Befall des Compilers so dass infizierte Binaries erzeugt werden?
|
|
30.08.2003 21:09 |
|
|
alamar
Julian Seifert
Dabei seit: 26.05.2003
Beiträge: 34
Herkunft: coburg
|
|
schreib mir diesen virus so dass er bei mir schadne anrichten kann und du bekommst etwas deiner wahl von mir
.
Ausserdem woher soll ichn wissen was xp für seltsame ms services am laufen hat - wenn es so ist das per default services ohne mein wissen laufen noch ein grund mehr es nicht zu benutzen vor allem wenn die dann noch so scheisse sind.
Und die letzten rechner von bekannten die von der stange gekauft bzw halt aus plus/aldi die ich gesehen habe hatten auch per default eine pfw drin... wie gut die ist ist eine andere frage....
und wenn leute dinge wie emule/kazaa benutzen um sich illegal software / musik / filme zu beschaffen ist das nur eine gerechte strafe für ihre kriminellen machenschaften.
und diese offtopic abschweifung istn icht meine schuld - sprech es das nächste mal über eine pn an - ich rechtfertige bloß was ich sage.
__________________ There are only 10 kind of people, the one who can do binary and the one who can`t.
|
|
31.08.2003 00:22 |
|
|
Exekutor
Dabei seit: 06.07.2001
Beiträge: 4.071
Herkunft: From the Other Side
|
|
hm, ich denke auch wir sollten beim thema bleiben, nur noch was schnell offtopic, wer will kann das per PN weiterdiskutieren
@alamar, laut deinem Profil bist du ja Schüler, ich glaub dir das mal. Ich möchte dich mal erleben wie du, wenn du wie ich in einem Betriueb mit 6000 Mitarbeiter aufwärts im Helpdesk gearbeitet hast, zu einem Mitarbeiter sagst: "Ja tut mir leid, hätten sie halt besser aufgepasst und sich mit der Materie auseinandergesetzt, das sie jetzt den Wurm haben tut mir ja leid, aber es ist halt ihre Schuld..."
Wenn du mal einen Virenbefall in so einem Unternhemen erlebt hast (ich habe sobig, i love you und noch einige mehr hinter mir) denkst du ganz anders über die sache...
So, nun aber gut mit off und weiter im text
Ciao Exe
__________________
This is Europe, not L.A.!
Die Deutsche Rechtschreibung ist Freeware,du kannst sie kostenlos nutzen.Allerdings ist sie nicht Open Source,du darfst sie nicht verändern oder in veränderter Form veröffentlichen.
|
|
31.08.2003 00:51 |
|
|
Black Star
Der Pate [Admin]
Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr
|
|
Zitat: |
Original von Exekutor
Ich möchte dich mal erleben wie du, wenn du wie ich in einem Betriueb mit 6000 Mitarbeiter aufwärts im Helpdesk gearbeitet hast, zu einem Mitarbeiter sagst: "Ja tut mir leid, hätten sie halt besser aufgepasst und sich mit der Materie auseinandergesetzt, das sie jetzt den Wurm haben tut mir ja leid, aber es ist halt ihre Schuld..." |
wofür hat euer unternehmen denn computer-leute, wenn nicht für sowas?
wenn ihr M$ windows einsetzt, dann ist das inklusive.
abgesehen davon hat eine freundin, die wirklich nicht sehr helle ist (ein wahre blondine im klischehaften sinne) die sache mit dem update alleine hingekriegt.
ich persönlich finde viren sogar nützlich für die evulotion der software.
wo wäre die software heute, wenn es nie viren gegeben hätte?
in der natur gibt es auch viren, und sie scheinen ihren sinn zu haben.
__________________
vescere bracis meis
|
|
31.08.2003 01:41 |
|
|
CDW
eine Simulation
Dabei seit: 12.10.2002
Beiträge: 1.329
Herkunft: CreateRemoteThread
|
|
@Zira:
bin mir nicht mehr sicher ob es dieser Virus war:
http://www.norman.com/de/virus_info/w32_mypics_worm.shtml
oder ein andere, mit der time funktion (schon länger her), war aber ein winwurm. Mit unix viren kenn ich mich nicht so aus... wollte zwar schon länger auf linux umsteigen, hab aber kein DSL (denn wenn, will ich schon richtig umsteigen, auch den analog zur winAPI-doku haben und Lin-assembler
)
@alamar: sorry, müsste heißen winwurm
... linux Kernel-APIs sind mir unbekannt
... Übrigens kann man egal was für ein System "ver"konfigurieren.Nur kommt winxp meist schon aus "bequemlichktei" so und aus schlampigkeit oder faulheit sind viele Programme so geschrieben, dass sie nur mit hohen rechten laufen... achte übrigens bei meinen Programmen immer darauf und benutze auch INIs um die registry nicht zuzumülen.Habe außerdem win2k drauf (weder die bonbonoptik noch der ressourcenhunger können mich oder meinen betagten Rechner (k6-2,500Mhz 160 Ram) begeistern.
Und so weit schweifen wir doch vom Thema nicht ab - entsprechende Virenpreväntion hat doch wohl was mit der Methode der Verbreitung was zu tun (beeinflußung).Sonst würde es ja ncoh immer Diskettenviren geben.
Übrigens, wenn man die gleiche Einstellung zu den Autos verwenden würden, dann würde man auch sagen, wenn ein auto gestohlen wurde "Selber Schuld, musstest doch um sicherheitsanlagen bescheid wissen oder dass man wichtige Teile aus dem Motorraum beim Verlassen mitnehemen sollte".Man kann die Leute irgendwie verstehn, die PC nur zum filmegucken oder tippen brauchen und sich um nix anderes kümmern wollen.
Außerdem wurde auch der entsprechende Unixdienst von diesem Virus getroffen... der Rechner/der Dienst wurde zwar nicht "infiziert", stürzte aber ab.
Zumindes um nützlichkeit der Viren kann man streiten - denn wie black star
schon schrieb, wo würden wir denn ohne die sein?Erst durch solche angriffe wird auch die Masse auf das Sicherheitsproblem aufmerksamm gemacht, denn die Sicherheitslöcher sind da, nur dass sie dann von "Profis - Geheimdienste, Wirtschaftsspionage usw."missbraucht" werden (ich bin nicht paranoid
) die keine Spuren hinterlassen.Wenn da nicht solche "ungeschickten" Viren/Würmer wie "I love you" usw wären würden viel weniger User Virenwächter oder Firewalls einsetzen was in Gegenzug Tür und Tor zur "professioneller" Nutzung von Spionageprogrammen eröffnet (sei es um die Kontonummer und Pin auszuspieonieren oder was anderes) (ok, jetz hör ich mich aber paranoid/unwissentlich an und halt mal den Mund)
|
|
31.08.2003 17:39 |
|
|
Bouncer
Neuling
Dabei seit: 14.08.2003
Beiträge: 10
Herkunft: Bremen
|
|
Ich hab mir auch letztens über msBlaster mit einem Bekannten gedanken gemacht.
Bei meinem Praktikum (bin beim Helpdesk, wir (Admins) beheben halt alle Fehler) haben wur nur OS2/NT4/W2k laufen und da unser Intranet durch die gesammte Stadt geht ist ein Virus/Wurm sehr schnell eine Landplage.
sqlSlammer und msBlaster sind überings Würmer, da sie keine Datein infiziren, bzw. nicht diese Funktion nicht ihr Hauptteil ist, wenn überhaupt sind es Hybriten.
Naja, wir haben halt über das hin und für gesprochen und sind zu den Schluß gekommen, das sie durchaus positiven Folgen haben.
Auf msBlaster gab es ja eine Antwort eines anderen Wurmschreibers.
Der Wurm (fängt irgentwie mit W an
) benutzt auch den RPC-Bug, den auf msBlaster ausnutzt und löscht diesen UND downloadet von der MS-Updatepage den Patch, 2004 wird er sich selber deaktiviren.
Ich kann solche Würmer und vorallem den Schreibern nur meine höste Anerkennung aussprechen, da Sie mit ihren Antiviren (müßte eigentlich Antiwürmer heißen
) und die Gefahren unserer Faulheit zeigen und Sie gleichzeitig ausbügeln.
SqlSlammer war aber für mich schon Kult, als ich das erste mal davon gehört hab.
Endlich mal ein Wurm, der nicht so sinnlose Exploids wie z.B. die von Outlook & IE benutz, sondern einen richtig schwerwiegenden, über den auch jeder x-belibige Hacker/Cracker/Scriptkiddy ins Sys kommt und Root erhält.
Der Bug, den SqlSlammer ausgenutzt hat, is ja schließlich frühgenug bekannt gewesen um sich zu patchen, aber keiner tat es!
Geht einfach mal auf www.KryptoCrew.de und checkt da die Soaps, dort wurde dieses Thema schon früher aufgegriffen und echt wunderbar "verarscht".
Ich finde diese Würmer einfach brilliant!
Es müßen ja nicht immer solche wie z.B. Coconut sein (da muß man Kokusnüße auf den "Hacker" schmeißen, je mehr treffen, desso weniger Daten werden gelöscht...) oder welche die überhaupt was löschen.
Eine einfache MsgBox mit genug Infos zur deaktivirung und bereinugung des Sys würden schon reichen, zur Not auch selbstabschaltung nach z.B. 1 Jahr.
Wenn ich Asm oder besseres C/C++ könnte, würde die sogar selber welche schreiben.
Oder kennt ihr einen besseren Weg, die Leute und s.g. "Admins" von der Unsicherheit ihres Sys zu überzeugen, ohne es zu hacken und eucht strafbar zu machen?
Einen Wurm auszusetzten ist da weitaus einfacher!
Mal sehen, wie viele mich jetzt dafür flamen werden ;P
Mfg Bouncer
__________________ Bei allem was man sagt, kommt es oftmals gar nicht darauf an wie die Dinge sind, sondern darauf, was Böswillige daraus machen
Konrad Adenauer
|
|
01.09.2003 19:30 |
|
|
naxatoe
Aufsteiger
Dabei seit: 04.06.2003
Beiträge: 30
|
|
ich bin mir nich sicher ob das jetz off topic is aber
könnt ihr mir viren per mail senden damit ich das virenprogramm
testen kann
sstinkl@yahoo.com
|
|
03.09.2003 19:06 |
|
|
Tehocan
Mnemosyne
Dabei seit: 31.07.2003
Beiträge: 427
Herkunft: Lost in The Internet
|
|
wie man Leute von der Unsicherheit ihres Systems überzeugt:
-man programmiere eine sehr komplizierte Scherzvire in einer selbstgeschriebenen Sprache (damit der Quelltext nicht veränder werden kann) die einen Exploid ausnutzt, den man mit Firewall, Antiviren programm & co einfach beheben könnte!
jeder der keine Ausreichenden Schutzmaßnahmen hat, wird betroffen und belehrt. gleichzeitig wird aber dafür gesorgt, das keine Daten verändert oder überschrieben werden. (§ 303a/b stgb)
__________________ Das Chaos besiegt die Ordnung, weil es besser organisiert ist.
|
|
03.09.2003 22:56 |
|
|
C-Shell
#/mod/webdesign/csh
Dabei seit: 11.02.2003
Beiträge: 520
Herkunft: /NRW/Wesel groupadd Essen
|
|
@bouncer:
der anti-blaster virus fängt nicht mit "w" an - er heißt: Nachi!
@naxatoe:
wenn du viren haben willst: http://www.schell-industry.de.vu (security-viren-virensammlung) da findest du 1000de - viel spaß
schließe mich übrigens der meinung an, dass jeder, der das internet benutzt, sich auch gedanken über das thema sicherheit machen sollte - wenn nicht - dann selbst schuld (zumindest in den meisten fällen!)
was uns die zukunft der virenentwicklung bringt .... na sollte doch eigentlich jeder wissen ... es gibt genug sicherheitslöcher von denen z.b microsoft (seattle ist nun einmal der brennpunkt aller sicherheitslücken
schon jetzt in kenntnis gesetzt wurde aber ... genau ... natürlich warten sie erst auf den nächsten gau bis sie die lücken schließen
auf welchem weg sich die neue virengeneration fortpflanzen wird ... wer weiß ... habt ihr eine gute idee - geht es eigentlich noch besser/gemeiner als beim lovsan/blaster wurm?
__________________ webdesign - selfhtml - selfphp - w3c
wenn eine freie gesellschaft den vielen, die arm sind, nicht
helfen kann, so kann sie auch jene nicht retten, die reich sind
c-schell.de - ADCC e.V.
|
|
03.09.2003 23:40 |
|
|
naxatoe
Aufsteiger
Dabei seit: 04.06.2003
Beiträge: 30
|
|
|
04.09.2003 13:11 |
|
|
CDW
eine Simulation
Dabei seit: 12.10.2002
Beiträge: 1.329
Herkunft: CreateRemoteThread
|
|
@Monkshood:
Zitat: |
man programmiere eine sehr komplizierte Scherzvire in einer selbstgeschriebenen Sprache (damit der Quelltext nicht verändert werden kann) die einen Exploid ausnutzt, den man mit Firewall, Antiviren programm & co einfach beheben könnte!
|
dein ernst? Wenn ja, dann musst du wissen, dass jede Datei als Binäry vorliegt - das heißt als Abfolge von Zahlen, diese abfolge wird von der CPU verarbeitet (sie enthält Befehle und operatoren usw).Daß heißt, jeder, der genug assembler kann, kann auch den Virus umschreiben (einen "vernünftigen", heißt also nicht dass man VB/Delphi viren im debugger verstehn wird
)
aber eine eigene (assembler)SPrache hab ich ja schon, leider verstehen nur wenige computer diesen Dialekt, da es eine andere CPU voraussetzt
|
|
04.09.2003 17:41 |
|
|
[CF]Bunny
#!/usr/bin/girl
Dabei seit: 05.08.2003
Beiträge: 219
Herkunft: ::1
|
|
CDW hat recht gehabt mit der Uni-Geschichte, ein Trojaner saß mindestens 5 Jahre im Rechenzetrum der Uni Köln ...in einer UNIX kiste.
...hier gibts einige bilder der schmuckstücke.
__________________ 2 + 2 = 6 ...for extremely large values of 2
Tag für Tag kommt die Welt dem schrecklichen Augenblick ein Stückchen näher, an dem der Flügelschlag eines Schmetterlings einen Orkan auslösen wird, den selbst Gott nicht stoppen kann!
|
|
19.09.2003 13:01 |
|
|
|