Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Neue Zotob-Variante (https://www.dedies-board.de/wbb2/thread.php?threadid=784)
Geschrieben von DerBilk am 23.08.2005 um 18:58:
Neue Zotob-Variante
Gerade 'flatterte' mir die Info herein, dass Symantec eine weitere Zotob-Variante ausgemacht hat.
| Zitat: |
W32.Zotob.J@mm is a mass-mailing worm that opens a back door and exploits
the Microsoft Windows Plug and Play Buffer Overflow Vulnerability (BID
14513) on TCP port 445.
When executed, the worm creates the following mutex so that only one copy
of the worm runs at one time:
B-O-T-Z-O-R
Then, the worm copies itself as the following file:
%System%\fuck.exe
Next, the worm creates the following registry entries so that it runs
every time Windows starts:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"WINDOWS
FUCK BY CLASIC" = "fuck.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"
WINDOWS FUCK BY CLASIC" = "fuck.exe"
The worm also modifies the following registry subkey to disable the
Windows Firewall:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start"
= "4"
Next, the worm attempts to open a back door by connecting to an IRC
server on the irc.unixirc.net domain and joining the channel #ccpower.
This back door allows the remote attacker to perform the following
actions on the compromised computer:
Download and execute a file
Steal system information
Scan for vulnerable computers
Transfer files through FTP
...
|
|
Es folgt die übliche Auflistung, der möglichen Mailtexte, -anhänge, ect. pp.
Das an sich wäre mir noch keine Erwähnung hier wert, aber über einen Satz in der Symantec-Meldung bin ich dann doch gestolpert:
| Zitat: |
| Due to the ability of the remote user to perform so many different actions on the computer, including installation of applications, it is highly recommended that compromised computers be completely reinstalled. |
|
Zu 'gut' deutsch:
Aufgrund der Schadroutine wird eine komplette Neuinstallation dringend empfohlen!
Ist dies jetzt ein Eingeständnis eines 'führenden AV-Herstellers', dass (s)ein AV kein Allheilmittel ist, oder findet generell ein Umdenken statt?
Auf jeden Fall bin ich gespannt, ob sich dieser Satz in der
endgültigen Meldung [1] wiederfinden wird...
[1] zur Zeit noch nicht erreichbar...
Geschrieben von dedie am 23.08.2005 um 19:20:
Wen die ehrlich zugeben das ihr Proggie nicht bei Vireninfektionen hilft fress ich nen Besen
Geschrieben von Cidre am 23.08.2005 um 19:25:
Hi DerBilk,
ich bin positiv überrascht, daß ausgerechnet Symantec zu diesem Schluß bzw. Erkenntnis -Kompromittiertes System -> Neuaufsetzen = Sicherheit- kommt.
In der öffentlichen 'removal instructions' kommt der Satz leider nicht vor, wie ich gerade sehe.
Mann soll die Hoffnung einfach nicht aufgeben...
Geschrieben von cronos am 23.08.2005 um 19:25:
RE: Neue Zotob-Variante
| Zitat: |
Original von DerBilk
oder findet generell ein Umdenken statt?
|
|
Daran glaubst du doch selbst nicht.
Die werden sich hüten.Hier gehts ja schließlich um jede Menge Kohle.
Geschrieben von DerBilk am 23.08.2005 um 19:47:
| Zitat: |
Original von Cidre
In der öffentlichen 'removal instructions' kommt der Satz leider nicht vor, wie ich gerade sehe. |
|
Jau, ich habe es auch gerade gelesen, bzw.
nicht gelesen...
| Zitat: |
Original von cronos
Daran glaubst du doch selbst nicht. |
|
Mein Glaube ist dabei nicht so entscheidend.
Aber es überracht mich schon, so einen Hinweis überhaupt zu finden. Ich zumindest habe dies so deutlich zum ersten Mal gelesen.
Es handelt sich zwar um ein Dokument aus dem 'nichtöffentlichen Teil', aber auch um kein Geheimpapier...
Von daher frage ich mich schon, wieso die soetwas schreiben.
Geschrieben von Vimes am 23.08.2005 um 20:21:
| Zitat: |
Original von DerBilk
Von daher frage ich mich schon, wieso die soetwas schreiben. |
|
USA. Es reicht ein Prozeß, in dem gezeigt wird, daß der Virenscanner eben NICHT alles an Schadsoftware bereinigen kann. Schon sind sie fällig, wenn sie vollmundig behaupten, daß der Scanner alles hinbiegen kann.
MfG
Vimes
Geschrieben von MobyDuck am 23.08.2005 um 21:01:
| Zitat: |
| oder findet generell ein Umdenken statt? |
|
Früher oder später werden sie um das Umdenken nicht drumrum kommen. Es macht sich ja auf Dauer auch nicht gut für's Produkt, wenn eine "Säuberung" versprochen wird und anschließend das System instabil rumeiert.
Geschrieben von dedie am 23.08.2005 um 21:14:
| Zitat: |
| und anschließend das System instabil rumeiert. |
|
Wieso anschließend bei dem ding aus der gelben Schachtel eiert das System doch normalerweise direkt rum
Geschrieben von MobyDuck am 23.08.2005 um 21:19:
Stimmt auch wieder.
Also edit:
und anschließend das System
immer noch instabil rumeiert.
Geschrieben von cronos am 23.08.2005 um 21:22:
Warum sollten sie umdenken?
Sie beschreiben ja nur, wie man den entsprechenden Backdoor entfernt.
Das kriegt man sogar vllt. noch hin, wenn man den Manual-Removal-Instructions genauestens folgt.
Aber das entsprechend andere Sachen nachgeladen worden sind, wird dabei ganz einfach nicht beachtet.
OT: Ich finds eigentlich viel interessanter, das eine Industrie aus dem Boden gestampft wurde, und damit Millionen verdient, zu versprechen, was sie offensichtlich nicht halten kann.
Geschrieben von MobyDuck am 23.08.2005 um 21:28:
| Zitat: |
| Aber das entsprechend andere Sachen nachgeladen worden sind, wird dabei ganz einfach nicht beachtet. |
|
Das verwundert nicht weiter. Bei diesen ganzen Removal-Tools wie Stinger etc. wird das ja auch schon seit langem tapfer ignoriert.
@DerBilk
Da juckt es mir auch noch auf deiner Seite in den Fingern.
Geschrieben von dedie am 23.08.2005 um 21:34:
Das ist ein Grund warum ich immer wieder darauf poche das man erwähnen muß das diese Tools keine Virenscanner oder sowas in der Art sind bzw. ersetzen.
Leider wird gerade "Stinger" liebend gerne in Foren als Massnahme zur Problembeseitigung empfohlen und der unbedarfte User meint nach ausführen des selbigen sein Rechner wär garantiert wieder sauber
Geschrieben von DerBilk am 23.08.2005 um 21:47:
| Zitat: |
| Sie beschreiben ja nur, wie man den entsprechenden Backdoor entfernt. |
|
Gerade deswegen stolperte ich ja über den in der Eröffnung genannten Satz.
_______
Ich will und werde bestimmt keinen 'Glaubenskrieg' anfangen. Aber eine Verurteilung wie 'rumgeeiere' ist mir zu pauschal.
Mag das in der Consumer-Version vielleicht noch stimmen, welche ich letztmalig in der Version 2000 oder 2001 gesehen habe, in der Corporate bzw. Enterprise Edition kann ich dies so nicht bestätigen. Ohne ausschweifend auf 'unsere' Sicherheitsmechanismen eingehen zu wollen, kann ich ein 'rumgeeiere' in einer ~3.500 Client-Umgebung nicht erkennen.
| Zitat: |
Original von MobyDuck@DerBilk
Da juckt es mir auch noch auf deiner Seite in den Fingern. |
|
Nennen wir es Orientierung am Markt.
Aber ich habe es ja immerhin schon abgeschwächt/eingeschränkt...
Geschrieben von MobyDuck am 23.08.2005 um 21:57:
| Zitat: |
| Aber eine Verurteilung wie 'rumgeeiere' ist mir zu pauschal. |
|
Erstmal meinte ich mit "rumeiern" ursprünglich ein nicht abschließend gesäubertes System. Der -wohl ironische- Bezug auf Norton kam erst später.
Natürlich meinen wir die Consumer-Version. Zu den Mängeln möchte ich hier nichts sagen, das würde das übliche Publikum hier langweilen. Jedenfalls soll in der aktuellen Version zumindest die Deinstallationsroutine überarbeitet sein. Wäre schon mal was. Und was die Leistungsfähigkeit angeht, bringt mich sowas immer noch an's Grübeln:
http://www.pcwelt.de/forum/attachment.php?attachmentid=585
Geschrieben von Vimes am 23.08.2005 um 22:11:
| Zitat: |
Original von DerBilk
[Ohne ausschweifend auf 'unsere' Sicherheitsmechanismen eingehen zu wollen |
|
Schade, wäre interessant gewesen.
Wobei ich mir nicht vorstellen kann, daß Du Dich auf Virenscanner
verläßt.
In den Firmen, in denen ich bisher war, war das leider häufiger der Fall. Jetzt bin ich gerade in einer, wo das nicht der Fall ist:
Wird eine Viren-Schwemme (auch Mailwürmer) festgestellt, werden alle Mails von außen in Quarantäne gestopft - prophylaktisch. Klar, ist unbequem, aber ein Befall wäre noch unangehmer.
Die Anwender werden von der IT scharf gewarnt, keine unbekannten Anhänge zu öffnen - und das regelmäßig
Die IT kann feststellen, wer diese Warnungen ignoriert. So kann ggf. ein LART eingeleitet werden.
Scheint ganz gut zu funktionieren. AV-Programme sind auch im Einsatz, aber die vorigen Maßnahmen sind auch schon recht wirksam...
| Zitat: |
| kann ich ein 'rumgeeiere' in einer ~3.500 Client-Umgebung nicht erkennen. |
|
Da darf der Endanwender auch nicht beliebig mit dem Kram rumspielen. Sinnvolle Voreinstellungen und gut ist. [1]
MfG
Vimes
[1] Wobei dem Endanwender mit einer großen Keule beigebracht gehört, daß auf AV-Programme kein VERLASS ist und man deswegen nicht jeden Schei... öffnen darf.
Geschrieben von MobyDuck am 23.08.2005 um 22:27:
| Zitat: |
| Schade, wäre interessant gewesen. |
|
Finde ich auch. Mit dem Thema durfte ich mich ja ausgiebig bei der *-Versicherung rumschlagen. Wenn auch nicht aus IT-Sicht. Allerdings kann ich mich noch sehr gut an unsere IT'ler erinnern, wenn sie von Kunden zurück kamen. Die brauchten in aller Regel erst mal nen starken Kaffee.
Geschrieben von DerBilk am 23.08.2005 um 22:35:
Nun denn, werde ich mal ein paar Stichpunkte nennen, ohne Anspruch auf Vollständigkeit...
Client-Update über SUS (WSUS)Server
(sofern es sich nicht um die alten NT4-Überbleibsel handelt)
Der 'normale' Benutzer hat auch nur Benutzerrechte
Zugriffsregelung (wer darf sich an welchem Rechner überhaupt anmelden) über OUs im ActiveDirectory
Mailverkehr:
- Malwarescan am Gateway und ExchangeServer mit unterschiedlichen Produkten
- grundsätzliche Quarantänisierung von ausführbahren Dateien (auch Intern!)
- zentrale Spamerkennung und Filterung bzw. Markierung
Internet:
Contentfilterung
Wobei das natürlich nicht alles in meinen 'Kompetenzbereich' fällt. Nur um Missverständnisse vorzubeugen.
Ich habe sicher noch x genauso wichtige Punkte vergessen... Aber es ruft das Bett.
Geschrieben von dedie am 23.08.2005 um 22:41:
| Zitat: |
| - grundsätzliche Quarantänisierung von ausführbahren Dateien (auch Intern!) |
|
Gerade intern hab ich da schon so manche nette Entdeckung gemacht
Geschrieben von Bishop am 23.08.2005 um 22:47:
RE: Neue Zotob-Variante
| Zitat: |
Due to the ability of the remote user to perform so many different actions on the computer, including installation of applications, it is highly recommended that compromised computers be completely reinstalled. |
|
Es ist soweit, sie haben es zugegeben.
Geschrieben von Hertener am 23.08.2005 um 23:27:
MD, Dein Link von 21:57 funktioniert nicht.
Ansonsten eine sehr interessante Unterhaltung.