Alex' blog (Artikel mit Tag malware)

Was kommt nach JavaScript & Flash ? UPnP !

nospam@example.com (Alex) — Tue, 15 Jan 2008 14:42:00 +0100

Seit heute ist es auch beim Verlag Heise zu lesen: Ungewollte Fernkonfiguration für Heim-Router.

Das UPnP schon immer gefährlich war, ist nichts neues. Eigentlich wird UPnP hauptsächlich für das Setzen von Port-Forwardings im Router, initiert durch Anwendungen im LAN, benutzt. Daher war Universal PnP auch schon immer so gefährlich, da sich bereits im LAN befindliche Malware ebenfalls UPnP bedienen kann, um Port-Forwardings im Router einzurichten. Somit wäre es dann möglich auf Dienste, die sonst vom WAN aus nicht erreichbar wären, problemlos zugreifen zu können.

Doch nun kommt das Ganze etwas ~~anders~~ schlimmer: Während man früher noch CSRF/XSRF-Attacken in Verbindung mit einem bereits in den Router eingeloggten Benutzer brauchte, um z.B. den vom Provider zugeteilten DNS-Server zu verändern, um (z.B.) gepflegter Phishing betreiben zu können, ist dies jetzt nicht mehr notwendig, da UPnP über keinerlei Authentifizierungsmassnahmen verfügt und leider zu wesentlich mehr fähig ist als nur Port-Forwardings setzen zu können, was ich leider auch erst lernen musste. Wikipedia ist hier leider nicht vollständig.

Bislang konnte sich Malware im LAN ebenfalls dieser "erweiterten" Features von UPnP bedienen, aber dank der Arbeit von pdp und ap braucht es jetzt quasi nicht mehr als einen Webbrowser und eine entsprechend präparierte Webseite für einen solchen Angriff von außen.

Daher macht man es mir am besten nach. UPnP komplett deaktivieren - und nicht nur im Router, sondern auch am besten in allen anderen UPnP-fähigen Geräte, sofern weitere vorhanden sind. (Unser Router hat direkt an seinem ersten Arbeitstag UPnP deaktiviert bekommen.)

Weil die beiden bereits genug ausführliche Artikel zu dem Thema geschrieben haben, verweise ich hier auf die entsprechenden Seiten:

c't: NOD32-Lizenz für ein Jahr kostenlos

nospam@example.com (Alex) — Thu, 13 Dec 2007 22:19:00 +0100

Die neuste Ausgabe der Fachzeitschrift c't enthält wieder einmal eine CD. Darauf befindet sich dieses Mal u.a. die neuste Version von Knoppicillin (allerdings "nur" noch mit zwei Virenscannern) und eine 1-Jahres-Lizenz für die Windows-Version von NOD32 für Privatbenutzer.

Letzteres scheint allerdings in den Abo-Ausgaben ausnahmslos zu fehlen. Leider betrifft dieser Fehler auch einige Kunden, die die Zeitschrift im Laden gekauft haben und sie nicht nur aus dem eigenen Briefkasten fischen mussten. Wer beim Durchblättern der Zeitschrift um Seite 237 keinen NOD32-Einhefter findet, der sollte sich an die c't per E-Mail wenden oder als Nicht-Abonnent, wie ich, einfach eine andere Zeitschrift im Laden greifen. (Ich hatte gleich beim ersten Griff Glück.)

ADS und permanente Virenscanner im Hintergrund

nospam@example.com (Alex) — Tue, 11 Dec 2007 21:33:42 +0100

Ich habe zwar nur Avast und NOD32 getestet, weil diese hier installiert waren, aber dennoch folgendes:

Ich habe zuerst einen Virus in einen alternativen Datenstrom geschrieben und danach habe ich auf die Originaldatei zugegriffen - also ohne Angabe des Datenstromnamens. Keiner der beiden genannten Virenscanner hat Alarm geschlagen, obwohl diese (auf zwei getrennten Systemen) permanent im Hintergrund aktiv sind.

Wenn man allerdings die Datei On-demand scannen lässt, so wird der alternative Datenstrom gefunden. Lässt sich auch anhand der Anzahl der gescannten Objekte im Log erkennen.

Eigentlich ist das Verhalten der Virenscanner durchaus korrekt. Schließlich enthält die Original keinen Virus, sondern nur ein spezieller Datenstrom. Jedoch finde ich, dass dies trotzdem gleich gecheckt gehört, da die meisten Leute wahrscheinlich keinen vollen Systemscan von Zeit zu Zeit machen ...

PS: Auf der Suche nach einem Virus im Internet bin ich dann allerdings zufälligerweise (ja, so etwas findet man durchaus auch dann, selbst wenn man nicht explizit danach sucht) auf einen Online-Shop in Österreich gestoßen, der eine RFI-Lücke aufweist und nun kontaktiert gehört.

Futter für Bundestrojaner

nospam@example.com (Alex) — Tue, 11 Dec 2007 17:58:34 +0100

Es wurden ja schon viele (abstruse) Ideen bzgl. des Bundestrojaners diskutiert. Dabei ging es u.a. auch um die On-the-fly-Veränderung von Downloads, um diese mit Schadcode, dem Bundestrojaner, zu infizieren.

Sofern dieser Eintrag nicht erfunden ist, wäre dies neues Futter für die Diskussion um den Bundestrojaner.

Wie man beim Surfen gehackte Server findet

nospam@example.com (Alex) — Thu, 04 Oct 2007 05:16:00 +0200

Nein, ich meine keine speziellen Google-Dorks, die man dazu verwenden könnte.

Eigentlich war ich nur auf der Suche nach ein paar Informationen über die Haltung unserer Jungfische (Platys & Kampffische). Gelandet bin ich letztendlich in einem Forum, welches ich jetzt nicht näher erwähnen werde.

Jedenfalls schlug plötzlich der Virenscanner Avast, welcher eine sehr gute kostenlose Alternative zu NOD32 ist, beim Durchlesen des gefundenen Threads an und warnte mich über einen VBS-Malware. (Ich benutze und bezahle weiterhin NOD32, aber es gibt hier mehr als nur meinen PC. Auf den anderen läuft Avast.)

Nachdem Avast angeschlagen hatte, habe ich diesen deaktiviert und mir die Webseite etwas genauer angeschaut, um die vermeintliche VBS-Malware herunterzuladen. Dieser vermeintliche VBS-Code war allerdings kein VBS. Soweit lag Avast schon mal daneben. Allerdings hatte er recht mit Malware. Es war eine C99Shell. Also quasi Telnet über eine Webseite, jedoch mit zusätzlichen Status-Informationen, die man stets im Blick hat.
(Okay, eine C99Shell muss nicht zwangsweise als Malware betitelt werden. Über HTTPS und abgesichert mittels HTTP Auth ist es sicherlich hier und da ein brauchbares Admin-Tool.)

Ich habe die PHP-Datei dann zusätzlich noch zur Untersuchung an VirusTotal geschickt, wo um 25 verschiedene Virenscanner die Datei überprüft haben. Das Ergebnis ist, dass NUR Avast davor (falsch) gewarnt hat. Das war also Glück, sonst wäre mir das kaputte Bild sicherlich nicht beim Lesen des Threads aufgefallen bzw. ich hätte ihm keine Beachtung geschenkt.

Die PHP-Datei wurde letztendlich als Avatar, also als ein kleines Bild, direkt auf den Server hochgeladen. Die Betreiber habe ich darüber informiert und es scheint niemanden vorher aufgefallen zu sein.

Selbst wenn man nur einmal im Internet etwas total anderes sucht als irgendwas rund um IT-Sicherheit, man kommt immer wieder darauf zurück.

Insecurity 2.0

nospam@example.com (Alex) — Fri, 13 Apr 2007 19:42:00 +0200

Mit Einzug von Web 2.0 und der damit verbundenen Rückeroberung des Internets von Benutzerseite aus, wurden zeitgleich auch neue Gefahren geschaffen, die für den Benutzer wesentlich schwieriger als zuvor abzuwenden sind.

Die Absicherung des heimischen Netzwerks oder Computer lässt sich im Normalfall noch recht leicht bewerkstelligen, so dass man nicht auf Grund eines Buffer-Overflows in irgendeinem Netzwerkdienst Spammern gleich Tür und Tor zu seinem Rechner öffnet. Stichwort: Botnetz.

Wovor sich Otto-Normalanwender allerdings weniger gut schützen kann, sind Angriffe auf Web-Applikationen, die in den letzten Jahre einen wahren Ansturm erlebt haben, weil er fast nichts dagegen unternehmen kann, außer sich entsprechendes Wissen anzueignen und stets alles und jedem zu misstrauen.

Oft basiert ein für den Nutzer gefährlicher Angriff auf JavaScript (XSS und zum Teil auch XFS). XSA, und CSRF bauen, aber nicht zwingend auf JavaScript (oder auch VBScript in der Windows-Welt) angewiesen sind. Durch den Missbrauch von JavaScript werden allerdings auch Cookies wieder gefährlich, da sie Nutzerdaten enthalten, welche möglichst nicht in die Hände eines Angreifers fallen sollten. Neuerdings lässt sich mit JavaScript Port-Scanning von LANs über das Internet bewerkstelligen. Dazu später noch mehr.

Mit JavaScript lässt sich allerdings auch der Browser-Verlauf, sprich: History, stehlen. Ein weiterer Angriff auf die Privatsphäre.

Wer den Internet Explorer von Microsoft benutzt, der ist auch weiterhin der Gefahr von bösartigen ActiveX-Controls ausgesetzt, sofern die Benutzung dieser Controls eingestellt oder wenigstens weitgehend eingeschränkt wird (nur Windows Update erlauben o.ä.). Leider lässt sich diese Gefahrenquelle auch in Alternative-Browser integrieren (z.B. Mozilla Firefox). Davon sollte man aber natürlich Abstand nehmen.

Als Ausweg bleibt nur die Deaktivierung von JavaScript. Jedoch geht einem nicht dabei nicht nur viel Komfort verloren, sondern manchmal lässt sich so die Webseite der Wahl gar nicht mehr anständig lesen bzw. generell etwas mit ihr anfangen.

Hier hilft die (seitenweise) Abschaltung von JavaScript. Man lässt auf diese Art nur noch Webseiten zu, denen man vertraut. Dies schützt natürlich nur bedingt vor XSS-Angriffen u.ä. Vor reinen Angriffen auf die Privatsphäre reicht auch die Abschaltung von JavaScript nicht aus, da sich z.B. mit CSS (Cascading Stylesheets) ebenfalls die History des Browsers auslesen lässt. Hier muss man zwar sehr viel Aufwand betreiben, da man keine Liste direkt aus dem Browser auslesen kann, sondern mit einer eigenen Liste von URLs auf die Suche nach Übereinstimmungen gehen muss, aber es potenziell machbar.
Auch basieren die meisten dieser genannten Angriffe nicht auf Fehlern in Browsern. Fehler in Browsern kommen noch dazu, wie man im Fall des Passwort-Diebstahls im Firefox sehen konnte.

SQL-Injections (prinzipiell jede Art von Datenbank als Backend hinter einem Web-Dienst) sind zwar in erster Linie ein Problem für den Server-Betreiber, aber da in Datenbanken fast immer auch irgendwie Benutzerdaten gespeichert werden, wird dies auch zum einem Problem für die eigene Privatsphäre.

Auch kann der eigene Browser mit JavaScript missbraucht werden, um für den Angreifer die Arbeit (andere Webseiten auf Schwachstellen untersuchen) zu erledigen, wie man bei Jikto sehen kann.

Auch AJAX-Frameworks, deren fester Bestandteil JavaScript ist, und heutzutage recht oft und gerne eingesetzt werden (als Beispiel hier Google), sind nicht sonderlich sicher entworfen, was MySpace anhand eines AJAX-Wurms sehen musste.

Da die komplette Deaktivierung von JavaScript keine wirkliche Hilfe ist, da man zu oft darauf wirklich angewiesen ist und die Einschränkung von JavaScript für ausgewählte Webseiten "nur" die Angriffsfläche verkleinert, bleibt dem Nutzer fast ausschließlich nur das, was er bisher gelernt hat oder was er noch lernen kann.

Angriffe, die auf präparierte URLs aufbauen, die dann letztendlich andere Inhalt gelayert (dank XSS) über die aufgerufene Webseite legen oder direkt ein anderes Ziel laden, lassen sich nur mit dem eigenen Verstand abwehren.

Phishing-Filter helfen bei präparierten URLs u.U. nur gerade so weit, dass sie bei bereits identifizierten Schad-URLs warnen. Gerade durch die Internationalisierung von Domainnamen (IDN) sind viele für das Auge gleich aussehende Zeichen hinzugekommen, die sich aber technisch unterscheiden. So wurde schon vor einiger Zeit Daten gephisht, da die Domain vermeintlich richtig aussah, aber dennoch nicht die echte war.

Wie schiebt man einem Benutzer nun solche gefälschten URLs unter ?
Per E-Mail oder Messenger. Das man keine (ungewünschten) Anhänge (fremder) Herkunft öffnet, gar entpackt (mit Passwort) und ausführt, sollte heutzutage bei dem ein oder anderen Benutzer vielleicht doch angekommen sein. URLs in Phishing-Mails evtl. auch, sofern diese noch unbehelligt durch den Phishing-Filter kommen. Beim Einsatz von Messenger sieht das leider noch anders aus. Hier sollte es noch gut möglich sein, irgendwem irgendwelche gefälschten URLs unter zuschieben.
Vor dem (ungewollten) Release von Jikto konnte diese Gefahr durch manipulierte URLs bzgl. XSS o.ä. Angriffen noch als gering angesehen werden, da die Gefahr durch eine gezielt manipulierte Webseite einen Bug im Browser auszunutzen und sich so aller Wahrscheinlichkeit nach administrative Rechte zu sichern, als wesentlich schwerwiegender einzustufen war. Schließlich konnte man sich als Phisher nicht sicher sein, dass derjenige über die Sprache versteht, in der er aufgefordert wird irgendeine Postbank-Webseite in Russland anzusurfen. Nachdem nun irgendwer aber nur aus welchem Grund auch immer den Link klicken muss, um Mittäter einer Attacke zu sein, braucht man keinen hohen Aufwand mehr auf die Ausnutzung von Schwachstellen in Browsern wert legen. JavaScript reicht völlig aus.

Leider sind wir damit noch nicht in der Zukunft angekommen, sondern befinden uns genau da, was heute machbar ist. Die Zukunft wird wahrscheinlich zeigen, dass noch mehr Lücken in AJAX-Frameworks großer Portale gefunden werden und somit Phishern und Spammern viele brauchbare Daten in die Hände spielen werden, ohne dafür groß Zeit zu verbrauchen und Geld ausgeben zu müssen. (Stichwort: StudiVZ)

Auch werden wir in Zukunft vermehrt Varianten von Jikto sehen und weitere Web 2.0-Würmer. Um nun noch einmal auf das Portscanning mittels JavaScript zurückkommen, es werden sicherlich viele Router ,vor allem im heimischen Umfeld, vor JavaScript-basierten Attacken nicht mehr sicher sein, sofern sich jemand einmal hinsetzt und die bisher vorhandenen JavaScript-Portscanner so umschreibt, dass sie sich durch Router-GUIs wühlen können und vorhandene Datensätze zurückschicken. Letztendlich stellt sich dabei nur die Frage, was man damit wirklich "sinnvolles" anfangen könnte.
Eine Methode, die auf jeden Fall funktionieren wird, ist die Methode einen Router unbenutzbar zu machen indem man ein neues Passwort automatisiert vergibt und vorher die Netzwerkeinstellungen verstellt. Die meisten Modelle haben allerdings einen Reset-Knopf, der in solchen Fällen wieder für Abhilfe sorgt. Das Flashen von absichtlich fehlerhafter Router-Firmware sollte auf Grund der Vielzahl unterschiedlicher Geräte sehr unpraktikabel sein. Schließlich wird nicht (immer) jeder Haufen Bits stillschweigend als gültige Firmware akzeptiert, so dass das Gerät sich dann ins digitale Nirvana verabschiedet.
Interessanter ist es da also eher wieder, wenn man SPIs in solchen Geräten deaktiviert oder Port-Forwardings bzw. -Triggers setzt oder UPnP im Router aktiviert (für Viren, Würmer und anderes Getier, welches sich evtl. mal neuer Möglichkeiten bedient).

Ich bin jedenfalls gespannt was noch von anderen kommt und woran ich selber in naher Zukunft mitarbeiten werde. Für den Otto-Normalanwender wird es auf jeden Fall schlimmer werden.

Acer Notebooks in Gefahr durch ActiveX - Update

nospam@example.com (Alex) — Sat, 13 Jan 2007 14:00:00 +0100

Nachdem ich vor ein paar Tagen hier schrieb, dass ich die Veröffentlichung meines Exploits wahrscheinlich von der Reaktionszeit und der Informationspolitik von Acer abhängig machen werde, ist es nun Zeit ein Update dazu zu schreiben, da Acer nun einen Patch für das Problem bereitstellt. Jedoch finde ich deren Informationspolitik nicht überzeugend. Selbst die Update-Seite ist nicht sonderlich informativ ...

Acer Notebooks in Gefahr durch ActiveX

nospam@example.com (Alex) — Tue, 09 Jan 2007 15:45:02 +0100

Wie man beim Verlag Heise heute lesen konnte, ist das ActiveX-Control namens LunchApp.APlunch, welches sich auf mit Windows vorinstallierten Notebooks von Acer befindet, durch eine Schwachstelle anfällig. Das Control ist zwar als sicher für Scripting markiert, ist es aber leider nicht. Mittels Scripting lässt sich so das Control über jede Webseite missbrauchen, sofern der Internet Explorer 6 oder 7 eingesetzt wird. Version 6 gibt mit den Standardeinstellungen keinerlei Warnung aus. Der IE 7 jedoch einmalig. Entdeckt wurde die Schwachstelle von Tan Chew Keong bereits schon in November 2006.

Heise hat auch einen harmlosen Demo-Exploit dazu veröffentlicht.

Ich habe zwar kein Notebook von Acer und habe meinen Exploit auch nicht ausprobiert, aber ich war so frei und habe ihm folgende Dinge mit auf den Weg gegeben:

Sicherheitscenter unter Windows XP deaktivieren
Windows-Firewall deaktivieren
Automatische Updates deaktivieren
Erneuter Start dieser Dienste nach Reboot ebenfalls verhindern
Diverse Antivirus-Software am Update hindern
Diverse aktuell laufende Personal-Firewalls und Antivirus-Software abschiessen
Bot herunterladen und installieren

Dieser Exploit ist, wie man so schön sagt, noch nicht "released to the public" und ich habe es eigentlich auch nicht vor, da das ActiveX Control u.U. schon seit 1998 im Umlauf ist und somit viele Rechner kinderleicht angreifbar wären, aber vielleicht mache ich es auch noch abhängig von der Reaktionszeit von Acer und ihrer Informationspolitik.

Bundestrojaner darf jagen gehen

nospam@example.com (Alex) — Sun, 24 Dec 2006 03:12:00 +0100

Der Bundestrojaner (was für ein (leider) lustiges Wort und somit eigentlich unpassend zur Sache) darf nun auf die Jagd nach den öffentlichen "Schaufenster" der Deutschen im Internet gehen.

Der Landtag in NRW hat am 20.12.2006 dank CDU und FDP das geänderte Verfassungsschutzgesetz verabschiedet. So sollen Online-Durchsuchungen von PCs oder anderen an das Internet angeschlossenen Geräten von den Verfassungsschützer getätigt werden können - zumindest momentan nur von NRW aus.

Ich bin ja kein Jurist, aber ich frage mich wirklich, wie man diese Entscheidung mit dem neuen Entwurf des Paragraphen 202c StGB unter einen Hut bekommen möchte, sofern dieser abgesegnet wird, was wiederum recht wahrscheinlich ist.

Deutschland, quo vadis ?

Google Malware OpenSearch-Plugin für Firefox 2.0

nospam@example.com (Alex) — Thu, 02 Nov 2006 18:00:00 +0100

Google indexiert neben HTML-Seiten u.a. nun auch binäre Dateien mit PE-Header. So kann man durch die Signatur eines PE-Headers auf die Suche nach Dateien gehen. H.D. Moore hat eine kleine Malware-Datenbank aufgebaut, die nach Eingabe eines z.B. Trojaner-Namens mittels Google nach infizierten Dateien sucht.

Da mir langweilig war, habe ich dafür ein kleines Such-Plugin im OpenSearch-Standard (Version 1.1) für Mozillas Firefox 2.0 geschrieben.

Zur Installation HIER klicken.

Viel Spaß damit !

Update: da gibt es etwas, was ich vergessen habe zu erwähnen: das Such-Plugin läuft so auch direkt im Internet Explorer 7.0 von Microsoft. Somit ist das Plugin nicht nur auf den Firefox 2.0 (aufwärts) beschränkt.

avast! patzt bei Signatur von QQPass.DY

nospam@example.com (Alex) — Thu, 26 Oct 2006 20:56:17 +0200

Das heutige Update des Virenscanners avast! in der Home Edition sorgte kurzzeitig für Aufregung bis ein zweites Update erschien.

Auf einem von mir betreuten PC läuft avast! 4.7 Home Edition welcher nach dem ersten Update den Windows-eigenen Editor (notepad.exe) in Quarantäne stellen möchte, da die Datei angeblich mit dem Trojaner "Win32.QQPass.DY" (versendet Passwörter) infiziert wurde.

Eigentlich kann das schlichtweg bei den Vorkehrungen, die ich treffe, und den Einweisungen, die ich weitergebe, eher kaum bis überhaupt nicht passieren, daher erschien mir dieses Verhalten kurz nach dem Update nicht unbedingt korrekt zu sein.

Eine Überprüfung durch "VirusTotal" und "Jottis Malware Scanner" brachte zu Tage, dass wiederum nur der avast!-Scanner anschlug. Kurzerhand habe ich die Datei zur Überprüfung an ClamAV geschickt. Doch bislang steht das Ergebnis der Analyse noch aus.

Um ca. 20 Uhr heute wurde ein weiteres Signatur-Update von avast! nachgeschoben, welches den Windows-eigenen Editor nicht als Trojaner klassifiziert. Zusätzlich habe ich auch noch einen zweiten PC mit dem Virenscanner von avast! auf die Datei losgelassen, der ebenfalls nach dem zweiten Update, am Editor nichts mehr zu beanstanden hat.

Wie man jetzt auf VirusTotal sehen kann, haben noch mehrere Leute den Trojaner auf ihrem PC gefunden, aber erst nachdem das erste Update heute herausgekommen ist. Davor war der Trojaner nicht in der Grafik enthalten als einer der Top 10 Viren.
Somit war dies ein False-Positive.

Microsoft erstellt API für Sicherheitslösungen von Drittanbietern

nospam@example.com (Alex) — Mon, 16 Oct 2006 18:15:59 +0200

Microsoft hat sich jetzt (spät) dem Druck von verschiedenen Drittanbietern von Sicherheitslösungen (Virenscanner, etc.) gebeugt und integriert noch eine neue API für die Überwachung des Kernel-Modus in Windows Vista.

Zur Vermeidung von doppelten Sicherheitswarnungen von Microsoft und einem Produkt eines Drittanbieters will MS noch Modifizierungen bis zur Auslieferung von Vista vornehmen. Die angekündigte neue API selbst wird aber aller Wahrscheinlichkeit nach nicht rechtzeitig dafür fertig.

Man kann sich also nun schon ausmalen, was wahrscheinlich unter dem hohen Zeitdruck unter dem MS nun steht mit dieser Kernel-API passieren wird. Ich wage die These aufzustellen, dass sich in dieser API viele brauchbare Bugs finden werden, um tief ins System eindringen zu können.

Der wirkliche Sinn dieser API erschließt sich mir bislang noch nicht.

Eine Überwachung des Kernel-Modus von Drittanbietern wird nicht funktionieren, wenn sich ein Schädling bereits mit Systemrechten im OS verankert hat. Wo sollte das Problem für einen Wurm-, Viren- oder auch Trojaner-Programmierer sein, die Abfragen, die über die neue API von bspw. einem Virenscanner kommen, mit absichtlich falschen bzw. geschönten Daten zu versehen ? Somit ist der Nutzen dieser API vollkommen sinnlos.

Es nervt ...

nospam@example.com (Alex) — Tue, 19 Sep 2006 03:01:42 +0200

... wenn Virenscanner Vulnerability-Scanner und -Frameworks als Trojaner einstufen, obwohl die Dateien definitiv nicht verseucht sind.

Beim ATK von Marc Ruef verhält es sich also genauso wie es Hanno schon mal bei "w32sec.exe" (Dingens) festgestellt hat: Schlichtweg falsch klassifiziert und sollte somit gar nicht erst in den Signaturen eines Virenscanners vorkommen.

Wer erklärt mir nun, warum das ATK ein Trojaner sein soll ?

Übrigens ist Panda 9.0.0.4 mit Update der Signaturen von gestern immer noch der Meinung, dass "w32sec.exe" ein Hacker-Tool ist.

Virenscanner, die Zweite

nospam@example.com (Alex) — Mon, 04 Sep 2006 19:15:00 +0200

Hat mir ja doch nicht wirklich Ruhe gelassen, was die breite Front an Virenscanner bei meinem letzten Eintrag hier so abgeliefert hat.

Dieses Mal habe ich es mit etwas anderem ausprobiert: einem DCOM Exploit (genauer: oc192-dcom.c). Modifiziert habe ich den Exploit nicht im Gegensatz zum Wurm im letzten Test.

Mein eigener NOD32-Scanner unter Windows schlägt bei diesem Linux-Binary nicht an. Mit zwei zugedrückten Augen kann man hierüber vielleicht noch hinweg sehen, da mit den üblichen Windows-Bordmitteln dieses Binary nicht ausgeführt werden kann und somit eigentlich keine direkte Gefahr (zumindest für andere) besteht. Indirekt könnte man mit dem Erscheinen dieser Datei natürlich auf einen bereits erfolgten Einbruch eines, zugegebenermaßen, dummen Skript-Kiddies schließen, usw. aber darauf möchte ich jetzt gar nicht hinaus.

Jetzt sollten die bereits im letzten Eintrag vorgestellten beiden Online-Scanner ihre Arbeit verrichten.

Das Ergebnis fällt so aus, dass gerade einmal sieben von insgesamt 28 verschiedenen Virenscannern das Exploit-Binary als solches erkennen, obwohl der Exploit nicht neu ist. Das macht exakt 25 % Erkennungsrate über alle Scanner hinweg.

Da einige Virenscanner nur für Windows verfügbar sind, könnte man vielleicht echt bei dieser schlechten Erkennungsrate mit zwei zugedrückten Augen darüber noch hinweg sehen, da das Binary so, wie bereits erwähnt, keine direkte Gefahr darstellt, aber bezeichnend finde ich das schon. Vorallem weil Windows-Dienste ja nun nicht gerade eine unbeliebte Angriffsfläche bieten.

Der Exploit wird vom Autor selbst zwar als PoC eingestuft, was seine Fähigkeiten in Punkto Remoteshell aber nicht schmälert. Es wäre also sicherlich nicht falsch, wenn das Exploit-Binary erkannt würde.

Wo es allerdings gefährlich wird, ist es bei Scannern, die auch für Linux existieren wie z.B. F-Prot, ClamAV, Sophos und Kaspersky. Von diesen Scannern hat einzig und allein ClamAV die Nase vorne und hat das Exploit-Binary erkannt. Hier besteht also großer Nachholungsbedarf ! Nicht, dass der Exploit ein Linux-System ansich gefährden würde, aber dafür umso mehr Windows-Systeme.

Abschließend möchte ich noch bemerken, dass VirusTotal einige neue Virenscanner "im Angebot" hat gegenüber meinem letzten Test vor ein paar Tagen.