News Neuer Trojaner hinterlässt keine Spuren

[tomatoes]

@FourSeven

Um diesen Nachteil auszugleichen, haben die Angreifer für die Infektion mit dem Schadcode eine Webseite präpariert, von der sie ausgehen, dass Anwender sie immer wieder frequentieren. Es soll sich nach Aussagen von FireEye um eine Seite zu nationaler und internationaler Sicherheitspolitik handeln.

 

[grenn]

Betroffen sind nur XP Oder 7 und das unter dem IE10 und 11.

Du weist schon das es sowohl den IE 10 als auch den IE 11 nicht für Windows XP gibt?
Und wie kommst du eigentlich auf die Vermutung?

 

[Krik]

@Four2Seven
Ach iwo. Die cracken die Seiten von Werbeanbietern. Die werden täglich millionenfach besucht und da sind die präferierten Seiten der Opfer eher egal.
Das ist schon mehrfach passiert.

 

[Ruebennase]

Ruebennase

Gehe unter Energieoptionen auf Netzschalterverhalten ändern. Dann den Schnellboot den Haken rausnehmen

Danke dir

 

[auRE]

hm... schon lustig, wie sich alles "nur" wiederholt. Diese art von "Seuchen" gepatchte Kernel hat es schon zu C64 Zeiten, später Amiga Zeiten gegeben, nichts ungewöhliches, polymere RAM resistente PRGs... da Architekturbedingt ist der Wirkungsgrad schon gewaltig und zu dem, wenn es einmal "durchkommt" dann werden abwandlungen folgen. Die Möglichkeiten sind enorm.

Sowiel zu Sicherheit von MS das ganze Signieren von Modulen usw. ist ad Absurdung geführt. ggf. selbstgebrantes ROM hat schon was für sich gehabt...

 

[Radde]

Die besagte Seite, die wohl sehr viel angesurft wird, wird dann wahrscheinlich facebook oder google sein.

Es reicht ja eigentlich wenn die Seite 1x täglich aufgerufen wird. Und da gibt es sehr viel mehr Seiten, die in Betracht kommen.

Es soll sich nach Aussagen von FireEye um eine Seite zu nationaler und internationaler Sicherheitspolitik handeln.

heise.de, netzpolitik.org, vielleicht Spiegel-online, focus.de, sueddeutsche.de, ...
Wie gesagt, es gibt viele Seiten, die betroffen sein könnten.

 

[Ostfriese]

Sehr interessant.

Obwohl ich den IE nicht aktiv nutze, so kann ich beobachten, dass immer temporäre Dateien von ihm ausgehend angelegt werden.
(Warum ist das so?)

Hoffentlich bleibt man wirklich verschont von so etwas, wenn man, wie ich, nur Firefox nutzt, auch wenn der IE ja trotzdem "irgendwie" aktiv zu sein scheint.

 

[estros]

heise.de, netzpolitik.org, vielleicht Spiegel-online, focus.de, sueddeutsche.de, ...
Wie gesagt, es gibt viele Seiten, die betroffen sein könnten.

Man spricht von Sicherheitspolitik, nicht (linke) Netzpolitik. Zudem international, man darf davon ausgehen, dass sie Englisch sprachig ist.

Der Trojaner an sich halte ich für höchst interessant. Das eher mangelhafte Eingreifen von AV ist aber schwer zu Glauben, RAM sollte sich doch ähnlich Auslesen lassen wie Festspeicher?!

 

[Sun_set_1]

Sowiel zu Sicherheit von MS das ganze Signieren von Modulen usw. ist ad Absurdung geführt. ggf. selbstgebrantes ROM hat schon was für sich gehabt...

Jein. Ab Vista soll es für den IE eigtl nicht mehr möglich sein im „middle“ und „high important” Bereich des Arbeitsspeichers zu schreiben. Dadurch wollte man erreichen, dass selbst wenn ASLR mittels Spraying besiegt wird, eben nur in „low“ Bereiche des Arbeitsspeichers gesprayt wird. Offenbar wurde aber genau diese Technik nun ebenfalls besiegt, denn ansonsten wäre eine Infektion des Systemes aus dem Arbeitsspeicher heraus nicht ohne weiteres möglich.
Wenn du aber einmal im "high important" gelandet bist, interessiert es keinen Kernel der Welt mehr ob du korrekte Signaturen für Dateiänderungen mitbringst. Aus diesem Bereich heraus kann der komplette Kernel "exploited" werden und wird somit zum Einfallstor für alles und jeden.

 

[alphatau]

Man spricht von Sicherheitspolitik, nicht (linke) Netzpolitik. Zudem international, man darf davon ausgehen, dass sie Englisch sprachig ist.

Mir fällt dazu janes.com ein ;-)

 

[auRE]

@Sun_set_1
Deinen Ausführungen stimme ich zu - So viel zu Theorie. Die Praxis zeigt aber, dass bereits mehrfach das MS-Sicherheitssystem in der Vergangenheit durchbrochen worden ist.

Es wird nicht beim Einfaltstor „EI“ bleiben, da werden noch ganz andere Möglichkeiten als Targets kommen.

Bis dato sind wir USER nur bessere Betatester nichts mehr… von Sicherheit kann keine Rede sein.

Nicht um sonst wenden sich so viele ab.

 

[fethomm]

@Four2Seven
Ach iwo. Die cracken die Seiten von Werbeanbietern. Die werden täglich millionenfach besucht und da sind die präferierten Seiten der Opfer eher egal.
Das ist schon mehrfach passiert.

Darüber kommt man aber nicht gezielt an Unternehmen oder Institutionen ran.

 

[auRE]

... empfehlenswert zu lesen

http://www.fireeye.com/blog/technic...linked-to-deputydog-uses-diskless-method.html

sowiel zum Thema "Sicherheit"

 

[Yuuri]

Mal ne ganz banale Frage: Gibts eigentlich einen Virenscanner, der die C&C Server von Viren schon faktisch in der hosts-Datei "killt" (ergo nur die Kommunikation)? Wenn man die IPs immer ständig aktuell hält, könnte man so u.a. die Gefahr ja auch eindämmen. Zumindest gibts dann kaum noch Interaktion, da ja kein Traffic mehr stattfindet. Der Virus/Trojaner ist dann zwar noch drauf, aber es könnten so u.U. Botnetze weitreichend(?) eingedämmt werden.

 

[JBX]

richtig und beim neuen tollen win 8, wo auch nicht mehr richtig heruntergfahren wird, sondern nur noch mit hiberfile, wird man das teil auch nicht mehr los, weil ein speicherabbild auf der platte gespeichert wird, da hilft nur komplettneustart und zwischendurch stromlos

Es ist kein echter Ruhezustand, sondern nur der Kernel. Je nachdem wo dieser Trojaner residiert würde er auch dadurch "gelöscht" werden.

 

[grenn]

Habe gerade übrigens das hier gelesen http://www.chip.de/news/Windows-7-Unsichtbarer-Virus-befaellt-Arbeitsspeicher_65345560.html, demnach ist der IE11 nicht davon betroffen, was ich aber nicht verstehe wieso Vista nicht davon betroffen sein soll aber Windows XP und 7?
Wird ja kaum so sein das Vista die Lücke nicht hat, dort gibt es auch nur den IE 7, 8 und 9.

 

[auRE]

@grenn das was chip geschrieben hat ist nonsense - sorry ist eher Werbeartikel für MS und IE11.

Schau Dir auf der HP von http://www.fireeye.com/blog/technic...linked-to-deputydog-uses-diskless-method.html die Methode der Verbreitung an. Da werden Kernelfunktionen gepatched und verschoben :/ nice...

Der Code ist leicht verständlich ist gut erklärt wie es geht. MS hat ein Problem.

 

[anonymous_user]

Von chip kann man eh nur abraten, was die schon für grandiosen Schwachsinn geschrieben hat, zeigt dass dort keinerlei Kompetenzen vorhanden sind.

Zum Topic:
Na toll, und wenn nach einem richtigen Neustart der Virus weg ist, ist Windows doch immernoch drauf. Der Trojaner ist also immernoch auf der Platte

 

[Sebbi]

Da man Windows eh öfter neu starten muß, ist das kein großes Problem

öhm nein ^^

(OS) Unknown Windows NT Kernel OS (6.1 - 7601), (uptime) 3w 6d 4h 5m 36s, (record) 4w 4h 58m 53s (set on 08.05.2013 00:34)

würde wenn es nicht die Patchdays gäbe auch noch länger laufen ^^

Mal ne ganz banale Frage: Gibts eigentlich einen Virenscanner, der die C&C Server von Viren schon faktisch in der hosts-Datei "killt" (ergo nur die Kommunikation)?
Wenn man die IPs immer ständig aktuell hält, könnte man so u.a. die Gefahr ja auch eindämmen.

wäre dämlich ... das die IPs sich ständig ändert genau wie Domains. Damit schreibt man nur unnötig die HOSTs datei voll. Zudem kann es dazu führen, das falls doch mal einer die Domain rechtmäßig will, die von vielen nicht mehr aufgerufen werden kann weil die nicht wissen, das etwas in der HOSTs datei steht etc.

Wenn dann wären die DNS Server Hoster besser zu sowas dazu geeignet, sowas zu unterbinden.

 

[auRE]

das was "saugefährlich" wird, ist die Kombination mit anderen Angrifsmöglichkeiten wie z.B. mit

http://www.intel.de/content/www/de/...ology/intel-active-management-technology.html häufig schon diskutiert und sehr wenig darüber offengelegt, wenn das schon standart ist, dann "Gute Nacht"

Ps. tutor damit wir wissen von was ich rede http://www.hardwareluxx.de/community/f101/fernwartung-bzw-fernsteuerung-mit-intel-vpro-715144.html