Die Schlinge zieht sich zu

Windows-User haben bald nichts mehr zu lachen. Laut Heise Online bringt Microsoft schwere Geschütze in Stellung: Regelmäßige Zwangs-WGA für Zuhause, monatliche Berichte für Firmen.

Ab Herbst soll die WGA-Prüfung verbindlich für alle Windows-Nutzer sein. Wer es nicht regelmäßig via Windows-Update aktualisiere, riskiere, dass Windows nicht nur meckert, sondern nach einer Gnadenfrist von dreißig Tagen die Arbeit verweigert. Gleiches dürfte bei einer nicht bestandenen Prüfung passieren.

Was passiert wenn man mal drei Monate im Ausland ist? Rechner einschalten, Windows "abgelaufen"?

Aber auch den Softwareherstellern werden die Daumenschrauben angelegt. Mit der für Windows Vista geplanten zwangsweisen Signierung von Treibern sind die lustigen Zeiten vorbei.

Es gibt noch Benutzer die sich nicht alles bieten lassen:

In den USA hat ein Windows-Nutzer aus Los Angeles eine Klage gegen Microsoft eingereicht, wonach der Konzern Spyware vertreiben würde. Stein des Anstoßes ist die seit dem gestrigen 28. Juni 2006 der Pilotphase entstiegene Gültigkeitsprüfung einer Windows-Lizenz.

In letzter Zeit habe ich wieder öfters an Ubuntu Linux gedacht. Der Microsoft-induzierte Leidensdruck macht es täglich attraktiver.


Linux: Was geht nicht.

• Spiele
• Digitalkamera-Software von Olympus
• Telefon-Software von Motorola
• Vernünftiger Treiber für ATI Grafikkarte
• Vernünftiger Treiber für Canon-Drucker
• Vernünftiger Treiber für Turtle Beach Soundkarte
• Vernünftiger Treiber für Microsoft-Tastatur
• Photoshop / Plugins
• FreeHand
• DScaler
• VirtualDub
• Diverse komerzielle Software

Die Liste ist zu lang, viel zu lang. Solange die Spiele- und Hardwarehersteller Linux nicht unterstützen, bleibt es ein System für Server, Büros und Freaks.

Mit Büro- und Serversoftware macht Microsoft den größten Teil seines Gewinns. Je mehr dieser Gewinn durch Linux angefressen wird, desto enger werden sie den Kunden, die nicht weg können, die Schlinge um den Hals legen.

Wieviel werden die Leute sich bieten lassen?


Artikel

• Microsofts Echtheitsprüfung: Validation - Notification - Deactivation
• Monatliche Berichtspflicht für Inhaber von Vista-Volumenlizenzen
• Lizenzprüfung: Nutzer wirft Microsoft Spyware-Verteilung vor
• Bill Gates finally admits Microsoft is evil

Update 3.7.: Microsoft widerspricht.

Network Security Top 100

Der gute Fyodor - Autor des Portscanners nmap - hat wieder eine neue Vesion seiner Top 100 Network Security Tools veröffentlicht.

Die Top 100 wurden durch eine Befragung der nmap-Benutzer ermittelt. Es sind ein paar interessante Sachen dabei.

Zu den Top 100

MSRT vs. Rootkits - 0:1

Seit Januar 2005 verteilt Microsoft zusammen mit den allmonatlichen Windows Updates das "Tool zum Entfernen bösartiger Software" alias Malicious Software Removal Tool (MSRT).

Die Software wird von Windows Update einmal im Monat automatisch ausgeführt. Laut Microsoft wurde MSRT 2,7 Milliarden mal auf mindestens 270 Millionen verschiedenen Computern ausgeführt. Nach der Ausführung werden automatisch Berichte über entfernte Malware an Microsoft gesendet.

MSRT hat mich nie wirklich interessiert, aber jetzt hat Microsoft ein äußert interessantes White Paper veröffentlicht: MSRT - Progress Made, Trends Observed. Das White Paper präsentiert einige Erkenntnisse aus den von MSRT gesammelten Daten.

Since the initial release of the MSRT, the tool has been executed approximately 2.7 billion times by at least 270 million unique computers. [..] The MSRT has removed 16 million instances of malicious software from 5.7 million unique Windows computers over the past 15 months. On average, the tool removes at least one instance of malware from every 311 computers it runs on.

Ich habe mir mal angesehen was es über Rootkits sagt.

Of the 5.7 million unique computers that the tool has removed malware from, a rootkit was present in 14% of the cases; this figure drops to 9% if WinNT/F4IRootkit, the rootkit distributed on select Sony music CDs, is excluded.

Rootkits sind offenbar viel weiter verbreitet als ich dachte. Es ist wohl nur eine Frage der Zeit, bis sich Spyware routinemäßig hinter Rootkits versteckt, um sich vor Anti-Spyware zu schützen.

Zusammenfassung der Verbreitung von Rootkits. MSRT erkennt nur diese fünf. Die nicht aufgeführten Plätze sind keine Rootkits.
Rang	Name	Computer
5	FURootkit	386.304
11	F4IRootkit	250.227
13	Ispro	91.262
20	Hackdef	55.212
55	Hacty	656

Ich war einigermaßen überrascht, dass MSRT überhaupt Rootkits erkennt, und habe gleich mal die Effizienz überprüft. Das Ergebniss ist verheerend meine Freunde, verheerend.


Testergebnisse MSRT 1.17 (Juni 2006)

FU (Rootkit): Erkannt, aber nicht gelöscht.
Hacker Defender (Rootkit): Nicht erkannt wenn aktiv, sonst erkannt und gelöscht.
NetSky.T (E-Mail Wurm): Erkannt und gelöscht.
Andere nicht getestet.


Jawoll, MSRT erkennt Rootkits nur wenn sie keine Dateien verstecken oder nicht aktiv sind. Beim FU Rootkit wurde die "Säuberung" gemeldet, aber es stimmte gar nicht! Bei Hacker Defender versagte es total.

Trotzdem soll MSRT Hacker Defender auf 55212 Rechnern gefunden haben? Naja, das sind nur 0,02% der untersuchten Rechner. Aber auf wieviel Prozent ist ein aktives Rootkit? Das kann sich jeder selbst überlegen.

In 20% of the cases when a rootkit was found on a computer, at least one backdoor Trojan was found as well.

Umkehrschluss: In 80% aller Fälle hat MSRT den durch das Rootkit versteckten Trojaner nicht gefunden. Saubere Erkennungsrate.



Windows Malicious Software Removal Tool: Progress Made, Trends Observed. Whitepaper von Microsoft.

Rootkit Guru: AntiVirus Makes Me Do It. Etwas wirrer Artikel von Hacker Defender Entwickler "holy_father", in dem er sich rühmt MSRT zu überlisten und (wie bei jeder Gelegenheit) Bezahlversionen seiner Malware anpreist. Von Dezember 2005.

Rootkit Uncover BETA

Im Moment scheint jeder an einem Rootkit-Detektor zu basteln. Gerade habe ich mir das neue BitDefender Rootkit Uncover v1.0 Beta 1 angesehen. Das Programm sieht aus wie ein BlackLight-Clon.

Ergebnisse "BitDefender Rootkit Uncover v1.0 Beta 1" Schnelltest
Findet mit Hacker Defender 100 versteckte Prozesse und Dateien / Findet nicht versteckte Registry-Einträge.
Findet mit Vanquish 0.2.1 versteckte Dateien.
Findet AlphaDVD (versteckter Prozess).
Findet nicht mit FUTo_enhanced versteckte Prozesse oder Treiber.
Findet nicht pe386.

Gefundene Rootkits werden umbenannt, die Registry-Einträge bleiben unverändert.

Genau wie BlackLight benötigt Rootkit Uncover immer einen Reboot um Rootkits zu entfernen.

IceSword findet zwei versteckte Treiber die von Rootkit Uncover stammen??

Fazit: Schnell und einfach zu bedienen, Erkennungsrate lässt zu wünschen übrig. IceSword und DarkSpy finden mehr, brauchen keinen Reboot und sind Freeware.

Zum Download (Registrierung erforderlich).

Wikipedia-Gründer warnt vor Wikipedia

Der stets gehässige Register zitiert Wikipedia-Gründer Jimmy 'Jimbo' Wales mit ein paar interessanten Aussagen aus The Chronicle.

Wales said that he gets about 10 e-mail messages a week from students who complain that Wikipedia has earned them fail grades.

"They say, 'Please help me. I got an F on my paper because I cited Wikipedia'" and the information turned out to be wrong, he says. But he said he has no sympathy for their plight, noting that he thinks to himself: "For God sake, you're in college; don't cite the encyclopedia," the journal reports.

Als wir mal ein Referat halten sollten, hat sich jemand einen Haufen Werbeprospekte (!) von der Atom-Lobby kommen lassen, und das als "Recherche" verkauft. Der Idiot war ganz glücklich darüber, wie "hilfreich" seine neuen Atom-Freunde waren.

Leider sind Lehrer nicht so total gehirnamputiert um Werbung oder Wikipedia zu glauben.

Artikel

smsZippper

Die Aalborg Universität in Dänemark bietet einen interessanten SMS-Komprimierer zum kostenlosen Download an:

smsZipper is a tool to compress SMS text messages, patented by Aalborg University. [...] The tool enables you to compress text messages by factors two to three depending on the content (higher compression ratios are possible, but not in the free version). Different languages are supported (English/German/Italian/Danish).

Nur damit es jeder kapiert: Mit smsZipper werden die SMS komprimiert gesendet, es ist kein "Speicherplatzoptimierer". Damit kann man bis zu 500 Zeichen in eine SMS quetschen! Offensichtlich müssen sowohl der Absender, als auch der Empfänger die Software installiert haben.

Leider gibt es keine PC-Version davon, 500-Zeichen SMS am Handy zu tippen könnte etwas anstrengend werden...

smsZipper Homepage

Wie gefährlich sind Treiber?

News.com berichtet von einer Untersuchung die Intel durchgeführt hat. Forscher von Intel suchten dabei nach öffentlich bekannten Sicherheitslücken in Windows-Treibern.

Wie und Wo sie gesucht haben ist nicht bekannt. Gefunden haben sie allerdings fast nichts. Deshalb sagen sie jetzt, dass es nur wenige solcher Sicherheitslücken gibt. Auch ein Vertreter von McAfee stimmte dem laut News.com zu.


Ich denke die Intel-Forscher machen es sich zu einfach. Die Tatsache dass Google keine fertigen Exploits ausspuckt, bedeutet nicht dass ein System "sicher" ist.

Die verwirrten Anhänger von Apples Mac OS glaubten lange, dass ihr System besonders sicher sei. Als Begründung wurden gerne die kaum vorhandenen Viren angeführt. Diese "Sicherheit" zerbröselte aber schnell, als Hacker mal einen genaueren Blick auf das System warfen. Seitdem jagt ein Sicherheitsupdate das nächste,

McAfee ist offensichtlich nicht mal in der Lage ihre eigene Sicherheitssoftware sicher zu machen. Eine aktuelle Studie von "Skywing" für Uninformed listet eine ganze Reihe von schweren Problemen in Treibersoftware von Kaspersky und McAfee auf. Im Gegensatz zu den Intel-Forschern hat sich Skywing dabei nicht nur auf allgemein bekannte Probleme beschränkt, sondern eigene Nachforschungen angestellt.

Eigene Nachforschungen hat auch Rubén Santamarta angestellt, und dabei schwere Sicherheitsprobleme in Microsofts SMB Treiber gefunden. Sein Advisory wurde passenderweise einen Tag nach der Präsentation von Intel veröffentlicht.

Fast täglich werden neue Sicherheitsprobleme in bekannter Software entdeckt. Ich denke es ist naiv zu glauben, dass Treiber dagegen immun sind.


Der Grund, warum es so wenig Exploits gegen Treiber gibt, ist relativ offensichtlich: Die Malware-Programmierer gehen den Weg des geringsten Widerstandes. Solange das Scheunentor offen ist, kriechen sie nicht mühsam durch das Kellerfenster.

Solange Malware kaum auf nenenswerten Widerstand trifft, solange Millionen "Internet Explorer als Administrator"-Benutzer mit einer Zielscheibe auf dem Rücken durchs Internet stolpern, ist jeder, der nur minimalste Sicherheitsmaßnahmen implementiert hat, bereits zu anstrengend. Sollte uns das beruhigen?


Artikel

• News.com: Intel: Driver flaws no major threat, yet
• Uninformed: Anti-Virus Software Gone Wrong
• Rubén Santamarta: REVERSING MRXSMB.SYS
• CIO: Mac-Betriebssystem wird Zielscheibe von Angriffen

The Freshmaker

The Extreme Diet Coke & Mentos Experiments:
What happens when you combine 200 liters of Diet Coke and over 500 Mentos mints? It's amazing and completely insane.

EepyBird.com

IceSword nicht perfekt

Gestern stolperte ich zum ersten Mal über ein Rootkit in the wild, welches die aktuelle Version von IceSword nicht findet. pe386 hat einen versteckten Treiber und lebt in einem ADS.

Im Sysinternals Forum gibt es einen Thread dazu.

Erst letzten Monat habe ich einen Bug in Sysinternals Autoruns gefunden. Die von mir so hoch gelobte Software lässt sich alarmierend leicht überlisten.

Aber es ist noch nicht alles verloren. Das neue DarkSpy 1.0.5 erkennt den versteckten pe386 Treiber, und der Fehler von Autoruns wird in der nächsten Version beseitigt.

Was lehrt uns das?

• In dem ewigen Rennen zwischen Malware und Anti-Malware gehen beiden Seiten die Ideen noch lange nicht aus.
• Man sollte sich nicht nur auf ein einziges Sicherheitssystem verlassen.
• Nur weil du paranoid bist, heisst das nicht, dass sie nicht wirklich hinter dir her sind.

Update 5.7.: Die Sache ist nicht so schlimm wie ich ursprünglich dachte: IceSword findet zwar nicht den Treiber, aber den versteckten Registry-Schlüssel von pe386. Mit IceSword Helper kann man die Suche automatisieren.
Neben DarkSpy findet auch GMER den Treiber (und die verstecke Datei und die verstecken Registry-Schlüssel).

Der Horror-Virus

Onlinekosten.de berichtet von einem neuen Messenger-Wurm, BlackAngel.B, der offensichtlich von dem Film "The Ring" inspiriert ist.

Der Wurm transportiert ein Video, in dem ein gruseliges Mädchen und eine Todesdrohung vorkommen.

Echte Todesfälle wurden bis jetzt allerdings nicht bekannt. Ich fand auch den Eulen-Virus wesentlich witziger.

Artikel

Trashmail ist kein Müll

Immer wenn ich mich irgendwo mit meiner E-Mail Adresse anmelden muss, aber meine Adresse nicht wirklich rausrücken will, hole ich mir schnell eine von Trashmail. Dort gibt es wegwerfbare E-Mail Adressen die automatisch verfallen.

Die allerwenigsten Websites brauchen wirklich eine E-Mail Adresse. Die meisten wollen einen nur mit "Newsletter"-Spam zuschütten. Wenn man die Lebensdauer der Trashmail-Adresse auf einen Tag einstellt, ist sie bereits gelöscht, wenn SIE anfangen ihre "Newsletter" zu verschicken.

Seit neuestem gibt es sogar die Möglichkeit der "geschützten" Antwort.

Trashmail Website

DarkSpy 1.0.5 erschienen

CardMagic und wowocock beglücken uns mit Version 1.0.5 der Anti-Rootkit Software.

Die neue Version sieht wirklich exzellent aus, jetzt sogar auf Englisch und mit Hilfe-Datei. Soll auch Multi-CPU und Hyperthreading unterstützen.

Der neue Registry-Editor ist der Knaller: Ich kenne nichts Vergleichbares. Der Datei-Explorer war ja vorher schon besser als IceSword. Unbedingt ansehen.

DarkSpy 1.0.5 new features:
Enhanced Process/Driver Module detection.
Fixed some problems working with other security software(Karspersky...etc).
Enhanced process force terminate functionality.
Start to support multi-cpu and hyperthread.
Registry functionality added.
Help document added.

Update 7.12: Der neue Rootkit Unhooker 3 ist die ideale Ergänzung zu DarkSpy.


Download DarkSpy Anti-Rootkit 1.0.5 Test Version (English)

Update 7.12: Die neueste (Beta) Version von DarkSpy gibt es in cardmagics vault bei Rootkit.com.

Hello Kitty rockt

Wie jedes Jahr, ist auch dieses Jahr wieder Weihnachten.

Mit der Hello Kitty Fender Stratocaster Stromgitarre in Pink habe ich schon jetzt dass perfekte Geschenk für mich selbst gefunden.

Auf der nächsten Weihnachtsfeier werde ich dann auf der Hello Kitty Stratocaster ein paar Stücke von Slayer zum Besten geben. Die Klassiker Leise tropft das Blut und Oh Satan klingen einfach besonders niedlich, wenn Hello Kitty dazu von der Gitarre guckt (lächeln kann sie ja nicht, hat keinen Mund).

Hello Kitty ist sooo niedlich. Wenn sie mit einer blutigen Kettensäge vor der Tür steht, würde sie jeder sofort hereinbitten. Und ihr gleich einen Hello Kitty Bleistift für 11.99€ abkaufen. Und ihr helfen die Nachbarskinder zu verbuddeln.

GMER

Update: Dieser Artikel ist veraltet. Neuer Artikel.


Ich habe mir mal GMER angesehen, eine interessante neue Anti-Rootkit Software aus Polen.

GMER is an application that detects rootkits.
[...]
GMER also allows to monitor the following system functions:

• processes creating
• drivers loading
• libraries loading
• file functions
• registry entries
• TCP/IP connections

Die Software ist eine leicht schräge Mischung aus Rootkit Scanner und Hintergrundwächter.


Beobachtungen
FUTo Rootkit wurde nicht erkannt, ansonsten gar nicht schlecht.

Der GMER Safe Mode, die Kill all Funktion und die einzigartige Fähigkeit die SSDT wiederherzustellen unterscheiden es von anderer Software.

Relativ kompliziert, aber interessant.

Im Kurztest zeigte sich der Hintergrundwächter ziemlich instabil (System war nachher Schrott, unbedingt vorher Backup machen!).


Update 6.7.: FUTo wird doch erkannt. GMER braucht einen Reboot um vollständig zu funktionieren (Programm starten, Reboot, nochmal starten). Leider muss man es selbst rausfinden...

GMER Homepage

Einführung in IceSword - Log Process Termination

Beschreibung
Hier wird eine Liste aller Prozesse angezeigt, die andere Prozesse beendet haben. Die beendeten Prozesse selbst werden nicht angezeigt.


Auf was man achten sollte
Eine typische Eigenschaft von Schadprogrammen ist es Systemprogramme zu sabotieren, die ihnen gefährlich werden könnten.

Wenn regedit.exe oder msconfig.exe sofort nach dem Start beendet werden, kann man hier nachsehen welcher Prozess dafür verantwortlich ist.

• Einführung in IceSword
• Übersicht: Rootkits

Einführung in IceSword - Log Process/Thread Creation

Beschreibung
Log Process/Thread Creation ist - zusammen mit Reboot and Monitor - eine der nützlichsten Funktionen von IceSword. Hier werden in einer einfachen Liste die letzten 1024 erzeugten Prozesse und Threads angezeigt.

Die Bedeutung der einzelnen Spalten ist dabei relativ selbsterklärend: Creator ist der erzeugende, Created ist der erzeugte Prozess/Thread. Die Einträge sind farblich kodiert. Jeder Prozess hat mindestens einen Thread.

Schwarz: Prozess erzeugt internen Thread.
Blau/ Grün: Prozess erzeugt neuen (anderen) Prozess/Thread.
Rot: Prozess erzeugt neuen Thread in einem fremden Prozess.

Die Aufzeichnung der Prozesse erfolgt durch den Treiber von IceSword, der normalerweise beim ersten Start geladen wird. Die Liste fängt also an mit dem Start von IceSword. Da der Treiber bis zum nächsten Reboot geladen bleibt, wird die Liste im Hintergrund weitergeführt, auch wenn man IceSword beendet.


Auf was man achten sollte
Die roten Einträge sollte man sich besonders genau ansehen. Das Erzeugen von einem Thread in einem fremden Prozess ist ein typisches Merkmal von Code-Injection bzw. DLL-Injection.

Teilweise wird dieses Vorgehen aber auch vom Betriebssystem selbst benutzt. Wie immer liegt es am Benutzer, zu entscheiden was eine Bedrohung ist. Nicht-System Prozesse, die Threads in Systemprozessen erzeugen, sollte man sich ganz besonders genau ansehen.

Vorsicht:
IceSword zeigt hier nur die Dateinamen an, nicht den Pfad. Diverse Schadprogramme tragen den gleichen Dateinamen wie Systemprogramme, haben aber einen anderen Pfad. Man studiere dazu den Kernel Module Artikel (den Teil über digitale Signaturen und verwirrende Dateinamen).
Merke: Die Welt ist böse und vom Teufel beherrscht.

Reboot and Monitor
Mit der Funktion File->Reboot and Monitor im Hauptmenü von IceSword kann man die Prozesserzeugung von Anfang an aufzeichnen. Wenn man diesen Menüpunkt auswählt, wird der Rechner neu gestartet. Wenn man dann IceSword öffnet, werden unter Log Process/Thread Creation alle Prozesse angezeigt, die während des Startvorgangs erzeugt wurden.

Bei entsprechend gründlicher Überprüfung dieser Liste sollte man so gut wie jedes Schadprogramm finden (jedes, das als eine EXE Datei vorliegt, DLLs oder Treiber werden nicht angezeigt).


Andere Werkzeuge
GMER. Etwas instabil, aber nützlich. Hat eine Logging-Funktion, die auch geladene Treiber anzeigt.

• Einführung in IceSword
• Übersicht: Rootkits

Einführung in IceSword - BHO

Beschreibung
Browser Helper Objects sind Erweiterungen für den Internet Explorer. Wenn der Internet Explorer gestartet wird, werden die BHOs automatisch aktiv und können den Browser kontrollieren. BHOs sind eine der beliebtesten Erscheinungsformen von Spyware.


Auf was man achten sollte
Normalerweise ist das Fenster leer (siehe Bild). Jedes BHO sollte genau überprüft werden.


Andere Werkzeuge
Sysinternals Autoruns. Kann neben vielem anderem auch BHOs anzeigen - und löschen.
Mozilla Firefox. Kostenloser Webbrowser, der nicht anfällig ist für BHOs - aber für bösartige Erweiterungen.
Opera. Kostenloser Webbrowser, der nicht erweiterbar ist. Dafür werden heruntergeladene EXE-Dateien manchmal automatisch ausgeführt.


Informationen
Brower-Hijacking. Informationen des BSI, Methoden zur Entfernung.

• Einführung in IceSword
• Übersicht: Rootkits