31. Januar 2007

Goldfinger

Vergesst den Drogenhandel Kinder, SMS sind die Geldmaschine:

2005 betrugen die gesamten Einnahmen durch SMS über 74 Milliarden Dollar weltweit. Zum Vergleich: Hollywood spielte etwas unter 30 Milliarden Dollar ein, die Einnahmen der Musikindustrie lagen weltweit bei 35 Milliarden Dollar, und Videospiele, Konsolen, und Software brachten um die 40 Milliarden Dollar ein. Der Wert aller 2005 verkauften Laptops betrug 65 Millarden Dollar. SMS alleine bringen mehr ein als irgendeiner dieser Wirtschaftszweige (…) und SMS bedeuten immer noch über 90% Profit. Wir sollten diese Industrie lieben!
(Tomi T. Ahonen, englischer Fach-Autor)

Eigentlich war SMS im GSM-Standard nur als kostenloses "Abfallprodukt" vorgesehen...


Links

Einblick in den Windows Vista-Kernel

Windows Vista ist jetzt im Handel. Über kurz oder lang werden wir uns alle mit dem neuen Teufelswerk befassen müssen.

Mark Russinovich (Ex-Sysinternals) hat einen interessenten Artikel darüber geschrieben - und Microsoft hat ihn gleich in elf Sprachen übersetzt.

Es wird auch erklärt, wie die neuen dateibasierten symbolischen Verknüpfungen (alias Symlinks) funktionieren.


Links

Schweine-Holocaust in Taiwan

2000 pigs sacrifice to the deity General Chao of Wudeh temple at a temple festival in Jendeh, southern Taiwan, 19 Jan 2007.


Links

29. Januar 2007

Ein Abgrund von Trägheit

Alle Virus-Scanner haben ein Problem: Bei neuen Sachen hinken sie immer etwas hinterher. Manche mehr als andere.

Dieses Exemplar - laut Kaspersky Trojan-Downloader.Win32.Nurech.aa - hat es geschafft, sowohl am "stündlich aktualisierten Profi-Scanner" von GMX, als auch an acht Spam-Filtern vorbeizukommen.

Die E-Mail kam heute um 12:55. Absender war 124.216.23.102, registriert auf KOREA CABLE TV ULSAN STATION.

Absender: billing8585@ebay.de
Betreff: Handlungsbedarf: Zahlung per Lastschrift 491131 abgelehnt
Anhang: E260883905016-Rechnung.pdf.exe

Text:

eBay-Kontonummer: E260883905016-EUR
Bankkontonummer: XXXXXXXX5302
Fälliger Betrag: Euro‚-426,96


In dem angefügten Anhang sehen Sie eine detaillierte Auflistung Ihrer Verkäufe.
Bitte diese genauestens durchlesen und bei einer Unstimmigkeit Ebay kontaktieren.
Zum Lesen wird kein zusätzliches Programm benötigt.
Der Widerspruch ist nach neuen AGB's innerhalb von zwei Wochen zulässig!

[...]

Die Erkennungsrate (es sieht finster aus):


Von 29 Scannern finden ihn nur 7. Der E-Mail-Wurm ist zumindest Kaspersky seit ca. 8 Stunden bekannt.

P.S.: Das Open-Source-Programm ClamAV hat bei mir gerade Punkte gemacht.


Links

28. Januar 2007

Selbsterkenntnis

Ich habe gerade bemerkt, dass ich die Hälfte aller Artikel mit "Ich habe" anfange. Was dass wohl zu bedeuten hat?

High-Tech im Klo

Gestern im Fernsehen gehört:

"Die größte technologische Revolution, auf die ihr Urinstrahl treffen kann."

(Werbung für einen Schwangerschaftstest).

The Root of All Evil? (Video)

Exzellente Dokumentation von Professor Richard Dawkins, Author von "Das egoistische Gen" und "The God Delusion" und Erfinder des Wortes Meme. Dawkins ist Atheist und stolz drauf. Wowereit.


The Root of All Evil, Episode 1 of 2 "The God Delusion"
By Richard Dawkins

The+Root+of+All+Evil%3A+Episode+1


The Root of All Evil: Episode 2 of 2 "The Virus of Faith"
By Richard Dawkins

The+Root+of+All+Evil%3A+Episode+2



Links

27. Januar 2007

World of Warcraft - Sucht 2.0?

Bild "Reality" von Pyxelated / deviantART


Ich habe bei Alleswasbewegt noch eine dieser "World of Warcraft hat mein Leben ruiniert"-Geschichten gefunden. Diese ist besonders erschreckend und detailiert.

Sowas kann wohl jeder Computerspieler gut nachvollziehen. Als Jugendlicher - als ich noch keinen richtigen Computer hatte - bin ich nach der Schule oft in den Computerraum gegangen um stundenlang SimCity für DOS zu spielen. Damals kam es uns schon leicht krass vor, aber immerhin war ich nicht alleine und es waren maximal drei oder vier Stunden. Ich habe eine Woche lang mein Zimmer nicht verlassen um Jagged Alliance 2 zu spielen - und das war es wert.

Das sind aber alles nur weiche Einstiegsdrogen im Vergleich zu World of Warcraft. Nach einer Woche hat man sich dort gerade mal eingearbeitet. Die Leute verbringen tatsächlich Jahre in der Spielwelt. Das ist beängstigend.

Das ist auch der Grund, warum ich kaum noch "Aufbauspiele" oder Civilisation spiele. Solche Endlos-Spiele verbrauchen einfach viel zu viel Zeit.

Gestern kam was im Radio über Second Life. Die Spieler dort klingen auch schon leicht irre. Die kaufen sich Grundstücke und virtuelle Kleidung für ihre Figuren mit echtem Geld. Die "Bewohner" von Second Life sind nicht mehr die klassischen Computerspieler. Man geht nicht auf LAN-Parties, sondern trifft sich gleich im Spiel, und nur im Spiel.

Wie harmlos sind im Gegensatz dazu die guten alten Gewaltspiele: Ein Kampf bei Counterstrike oder Command and Conquer ist nach maximal zwei Stunden zu Ende. Bei C&C bekommt man einen Orden, wenn man den Feind in unter 10 Minuten ausradiert (habe ich).

Online-Endlos-Spiele wie World of Warcraft dagegen belohnen das sinnlose Verweilen in der Spielwelt. Wenn Spiele süchtig machen, ist WoW das Heroin zu dem Hasch von Counterstrike.

Der riesige Erfolg wird noch zahlreiche Klone "inspirieren". Vielleicht wusste WoW-Hersteller Blizzard am Anfang nicht was sie angerichtet hatten. Die Nachfolger werden ihre Spiele aber mit Sicherheit alle so gestalten, dass die Kunden möglichst stark gebunden werden.


P.S: Das gute Workrave erinnert mich hier alle 45 Minuten daran, eine Pause zu machen. Sowas sollte mal dringend in World of Warcraft eingebaut werden.


Links

25. Januar 2007

Was Sie schon immer über IceSword wissen wollten

SETI@home hat mich kürzlich auf eine Fähigkeit von IceSword aufmerksam gemacht, die ich bisher noch nicht kannte.

Wenn IceSword seinen Treiber IsDrv120.sys nicht laden kann, kommt diese Fehlermeldung: "Cannot load IsDrv120.sys. Run abnormally, you'd better reboot your computer after using this tool."


Dann wird der Treiber trotzdem geladen - unter einem anderen, zufällig gewähltem Namen.

Dieses Verhalten kann man auch erzwingen: Ich habe den Standard-Treiber tcpip6.sys kopiert und IsDrv120.sys genannt.

Wenn IceSword bereits gestartet ist, Rebooten. Der Treiber muss zuerst entladen werden.


  1. OSR Driver Loader starten.
  2. Bei Driver Path auf "Browse" klicken.
  3. Die Datei tcpip6.sys mit der Maus bei gedrückter Strg-Taste kopieren. Die neue Datei "Kopie von..." in IsDrv120.sys umbenennen, auswählen und auf Öffnen klicken.
  4. Dann unten auf Register Service, Start Service, Unregister Service klicken.
  5. Programm beenden.

(Kann man auch irgendwie mit der HIPS-Funktion von GMER machen)


Jetzt IceSword starten. Unter "Kernel Module" wird ein Treiber mit Zufallsnamen angezeigt (unten, ImageSize ist 2D000).

Wozu das gut ist? Keine Ahnung.


Links

CHKDSK.EXE ist ein Hypochonder

Ich habe gerade eine Stunde meines Lebens damit verschwendet, einen nicht-existierenden Fehler bei meinem Computer zu beseitigen. Das gehirnlose CHKDSK.EXE Programm von Windows hat ständig sowas ausgeworfen:

CHKDSK hat freien Speicher gefunden, der in der MFT-Bitmap (Master File Table) als zugeordnet gekennzeichnet ist.
CHKDSK hat freien Speicher gefunden, der in der Datenträgerbitmap als zugeordnet gekennzeichnet ist.
Windows hat Probleme im Dateisystem festgestellt.
[...]

Ich hatte schon das Backup bereitgelegt, weil der "Fehler" nicht mehr wegzukriegen war. Wie ich inzwischen weiss, wird der "Fehler" verursacht durch den Dienst VMware Virtual Mount Manager Extended (vmount2.exe). Sobald man den Dienst beendet, verschwinden auch die Fehlermeldungen.

Wohl dem, der Aufzeichnungen und Logfiles hat, in denen man nachgucken kann, was verändert oder neu installiert wurde seit CHKDSK das letzte Mal funktioniert hat.

24. Januar 2007

Blogdiebstahl: Es geschah am hellichten Tag

Ich bin stocksauer: Ein Arschloch mit dem Pseudonym "lestat7677" klaut meine Artikel. Den habe ich gleich bei Google angeschwärzt wegen Verstoß gegen die AdSense-Programmrichtlinie. Verrecke!!1! Wir können auch anders!

Ich habe auch noch einen zweiten erwischt - der lebt aber nur noch im Google Cache.

:-(


P.S.: Ich glaube, dass die gesamte Domain duskdiary.com nur aus gestohlenem Content besteht.


Keine Links (URL zusammenfügen)

  • http://lestat7677.duskdiary.com/
  • http://72.14.221.104/search?q=cache:T54TQPV3F1kJ:100.fmarin.com/ wordpress/j3/blog/2006/08/29/rootkit-unhooker-30-beta-1-erschienen/

Vertraue keinem

Winfuture berichtet von einem neuen Fall von "verseucht ab Werk":

Im Internet machen derzeit Berichte die Runde, wonach bei Saturn ein Mp3-Player des französischen Hersteller zicPlay angeboten wird, dessen Treiber-CD den Trojaner Viking enthält. Tests bestätigen die Vermutung, da fast alle bekannten Virenscanner tatsächlich in der Installationsdatei des Treibers einen Virus nachweisen.

Das ist weder der erste noch der spektakulärste Fall - siehe Links. Ich frage mich immer wieder, wie man sich als Hersteller derart zum Brot machen kann. Können die sich keinen Virus-Scanner leisten?

Ich denke, die sind entweder echt blöd oder so selbstgefällig, dass sie das alles nicht nötig haben. Manche Leute sind ja so sagenhaft clever, dass sie Viren mit "Brain 1.0" aufspüren können (bzw. es glauben).

Achja: Demnächst Test von kostenlosen (Online) Virus-Scannern.


Links

23. Januar 2007

IceSword findet Unreal-Rootkit (teilweise)

IceSword-Programmierer PJF demonstriert in seinem Blog, wozu das FileReg-Plugin von IceSword 1.20 gut ist: Es findet das Unreal-Rootkit.


Unreal benutzt offenbar einen obskuren ADS-Trick: Das Rootkit hängt sich als Alternativer Datenstrom an das Inhaltsverzeichnis des Hauptverzeichnisses. PJF hat nach eigener Aussage vergessen diesen Ort in die Standardsuche zu integrieren, zeigt aber wie man von Hand nachsehen kann.

ADS am Inhaltsverzeichnis des Hauptverzeichnisses anzeigen lassen mit IceSwords FileReg-Plugin:

mount 0 0
ads /#5

Der versteckte Treiber von Unreal wird von IceSword 1.20 nicht gefunden (auch von sonst keinem Programm, soweit ich das feststellen kann).


Links

Google verrät Passwörter von Toolbar-Nutzern

Bei dem allgemeinen Tralala um die gekaperte Google-Domain ist dies hier scheinbar untergegangen:

Finjan’s Malicious Code Research Center (MCRC) researchers discovered that a list of URLs was available and unprotected on Google’s servers and immediately informed Google, which acknowledged receipt of Finjan’s alert about the vulnerability. Finjan believes the information on the servers had been gathered using Google’s anti-phishing browser extension.

Offenbar haben Google-Toolbar-Benutzer verdächtige Seiten gemeldet und damit unwissentlich auch ihre eigenen E-Mail Adressen, Benutzernamen und Passwörter an Google verraten. Diese Daten wurden von Google dann unabsichtlich als Teil ihrer Anti-Phishing-Blacklist veröffentlicht. Die Sicherheitsfirma Finjan hat einen Screenshot, auf dem der Vorfall zu sehen ist.

Die Anti-Phishing-Funktion der Google-Toolbar wird natürlich auch weiterhin Passwörter sammeln, nur veröffentlichen will Google sie nicht mehr. Damit gilt der Fehler jetzt als "beseitigt".

Finjan sagt "durch die Blume", was man dagegen machen soll: Google-Toolbar entsorgen.

Finjan offers the following advice to minimize the risk of exposing confidential information from similar web applications:
...
1. Avoid sharing your browsing habits with third parties by disabling URL sharing or forwarding - as this is usually enabled in your browser’s toolbars.


Links

Korruptions- und Nuttenskandal bei der GEZ

Die dunkle Seite von Köln-Bocklemünd:

Gegen hochrangige Mitarbeiter der Gebühreneinzugszentrale (GEZ) wird wegen Verdachts der Bestechlichkeit ermittelt. Die Staatsanwaltschaft Wuppertal durchsuchte einem Bericht des Kölner «Express» zufolge am Dienstag die Geschäftsräume der GEZ in Köln-Bocklemünd.
[...]
Der Verkäufer einer Wuppertaler Computerfirma soll unter anderem den GEZ-Chef-Einkäufer mit Bordellbesuchen bestochen haben.


Links

21. Januar 2007

Trusted Computing (Video)

Ich kann mich dem allgemeinen Trend nicht länger entziehen und verbreite jetzt auch Videos in meinem Blog. Aber nicht die doofen YouTube Flash-Filmchen. Den Film habe ich gefunden auf meiner neuen Lieblings-Website Zudeo.

TrustedComputing_LAFKON_HIGH

Trusted Computing
Hübsch animierter Kurzfilm von Benjamin Stephan und Lutz Vogel. (Englisch, Quicktime, andere Formate siehe Homepage).

Der Film erklärt Einsteiger-freundlich was "Trusted Computing" ist und die Probleme damit.


Hinweis: Nicht auf Download klicken, sondern auf Torrent file. Die Website ist irgendwie gestört und versucht einem ständig eine veraltete Version von Java unterzuschieben (auch wenn man eine neuere installiert hat). Zum Download wird ein BitTorrent Client benötigt (bei Opera eingebaut).

Der Zudeo-Client (siehe Screenshot) ist im Grunde nur ein modifizierter Azureus mit eingebautem Web-Browser. Unter Advanced versteckt sich der normale Azureus.



Hinweis zu Quicktime: Browser-Plugins unter C:\Programme\QuickTime\Plugins am besten sofort löschen. Darum. "Quicktime Alternative" ist illegaler Frickelschrott mit einer gestohlenen Seriennummer. Wenn Quicktime erst mal installiert ist, kann man die Filme auch mit Media Player Classic ansehen.

Keine "Codec-Packs" installieren. Darum.


Links

Datenschutz

Dieser Blog wird gehostet von Blogger, ein Dienst von Google. Google sammelt irgendwelche Informationen über Besucher und speichert ein Cookie. Darauf habe ich keinen Einfluss und kann die Daten nicht einsehen. Privacy Policy.


Folgende Dienste speichern Daten über Besucher:

  • Google Analytics - Speichert diverse statistische Daten. Erlaubt keine Rückschlüsse auf einzelne Personen oder IPs. Speichert ein Cookie um wiederkehrende Besucher zu erkennen. Privacy Policy.
Alle Zähler basieren auf JavaScript.

Informationen von Besucherzählern werden von mir nicht veröffentlicht oder archiviert, ausser absolute Werte ("x Besucher im Januar"). Es werden von mir keine persönlichen Daten gesammelt oder weitergegeben. Ich kann aufgrund von gesetzlichen Bestimmungen oder Rechtsvorgängen gezwungen sein, persönliche Daten offen zu legen.


Feeds haben keine Besucherzähler. Mit an Sicherheit grenzender Wahrscheinlichkeit sammelt Google irgendwelche Informationen über Feed-Leser und setzt ein Cookie.


Teile dieses Blogs werden gehostet von Arcor. Mit an Sicherheit grenzender Wahrscheinlichkeit sammelt Arcor irgendwelche Informationen. Privacy Policy.


Einzelne Artikel können Bilder enthalten, die auf externen Servern gehostet werden. Mit an Sicherheit grenzender Wahrscheinlichkeit sammeln diese Server irgendwelche Informationen.


Die Blog-Suche gehört zu Google und sammelt unter anderem Informationen über IP-Adressen und eingegebene Suchbegriffe. Darauf habe ich keinen Einfluss und kann die Daten nicht einsehen.


Bei einigen Links werden anonyme Statistiken über die Klickhäufigkeit gesammelt.


Es werden Daten in folgende Länder übertragen: USA, Deutschland. Möglicherweise andere.


Update 22.1.2007: StatCounter entfernt, Spammer-Klausel hinzugefügt, Google Analytics geändert, Blogscout korrigiert.
Update 9.4.2007: Blogscout Datenschutzerklärung.
Update 13.7.2009: 103 Bees, Blogscout entfernt.

20. Januar 2007

Obskure Rootkit-Detektoren (Teil 1)

Ich habe mal ein paar von den weniger bekannten Anti-Rootkit Programmen ausprobiert bzw. evaluiert, wie wir Spezialexperten sagen. Den Rest mache ich vielleicht nächste Woche.

Für diese Übersicht wurden keine Beta-Versionen oder ähnliches berücksichtigt.


Getestet wurden Hook Explorer, HiddenFinder, Process Master, ProcessGuard, RootKit Hook Analyzer und RootkitShark.


Für alle gilt:
System: Windows XP Pro SP2

Schwierigkeit: 1=Sehr schwer, 2=Schwer, 3=Mittel, 4=Einfach
Abkürzungen: Prozesse, Treiber, Hooks, Dateien, Registry
Ja: Findet Objekt, Nein: Was wohl
n/a: Diese Funktion wird vom Programm nicht unterstützt
Demo: Diese Funktion wird von der Demo-Version des Programms nicht unterstützt

*1 Benutzt ADS
*2 Benutzt ISA (Implementationsspezifischer Angriff)



Test Hook Explorer

Hersteller: iDefense
Preis: Freeware
Betriebssystem: Unbekannt

Treibername: Keiner



Hook Explorer vs Rootkits

Grayware-Rootkits:
4 Alpha-DVD (Kopierschutz) - P: n/a H: Ja

Malware-Rootkits:
3 Goldun - H: Ja D: n/a R: n/a
3 Zcodec-Ruins - H: Ja R: n/a


Fazit
Findet nur User-Mode Hooks. Interessantes Programm, leider etwas buggy und wird nicht mehr weiterentwickelt.

Für den Durchschnittsanwender viel zu kompliziert.

Tip: Die "IgnoreList" stammt noch aus Windows 2000-Zeiten. Mit "edit" anpassen und WINNT durch WINDOWS ersetzen für XP.

Benötigt die Visual Basic Runtime MSCOMCTL.OCX.

Alternative: Rootkit Unhooker oder GMER.


Test HiddenFinder 1.3.03

Hersteller: WenPoint
Preis: 29,95 Dollar
Betriebssystem: Windows 2000/ XP

Treibername: KProcWatch.sys (wird bei Bedarf geladen)



HiddenFinder 1.3.03 vs Rootkits

Demo-Rootkits:
1 BadRKDemo_XP - T: Nein H: n/a R: n/a Entfernen: Demo
1 phide_ex - P: Nein T: Nein
1 RKUnhooker Test Rootkit 1.2 neu - P: Nein T: Nein

Grayware-Rootkits:
4 Alpha-DVD (Kopierschutz) - P: Ja Entfernen: Demo
2 FUTo_enh - P:: Nein T: Nein

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: Nein D: n/a R: n/a Entfernen: Demo
3 Hacker Defender 100 - P: Ja D: n/a R: n/a Entfernen: Demo
1 Rustock.B (alias lzx32.sys) *1,2 - T: Nein H: n/a D: n/a R: n/a Entfernen: Demo


Fazit
Eines muss man dem Hersteller lassen: Dafür Geld zu verlangen ist mutig. Das Programm findet praktisch nichts.

Fieser Bug: Bei dem verstecken Prozess von Alpha-DVD zeigt HiddenFinder an, dass der Prozess zu HiddenFinder selbst gehört.

Beim Start kommt ständig eine Fehlermeldung "Unable to load driver". Wenn man es noch mal versucht geht es dann.

Bessere Alternative: Jedes andere Programm.


Test Process Master 1.1

Hersteller: Backfaces
Preis: 19,95 Dollar
Betriebssystem: Windows 2000/ XP/ 2003

Treibername: Keiner



Process Master 1.1 vs Rootkits

Demo-Rootkits:
1 phide_ex - P: Nein T: n/a
1 RKUnhooker Test Rootkit 1.2 neu - P: Nein T: n/a

Grayware-Rootkits:
4 Alpha-DVD (Kopierschutz) - P: Ja Entfernen: Demo
2 FUTo_enh - P:: Manchmal T: n/a

Malware-Rootkits:
3 Hacker Defender 100 - P: Nein D: n/a R: n/a Entfernen: Demo


Fazit
Process Master findet NUR versteckte Prozesse - und das schlecht. Das FUTo Rootkit wurde im Schnelltest einmal gefunden, einmal nicht.

Bessere Alternative: Jedes andere Programm.


Test ProcessGuard 3.410 Free

Hersteller: Diamond CS
Preis: Freeware
Betriebssystem: Unbekannt

Treibername: procguard.sys (immer geladen)



Fazit
Laut Hersteller Diamond CS ist ProcessGuard "the first and best anti rootkit software". In Wirklichkeit ist es ein durchschnittliches Host Intrusion Prevention System (HIPS). Damit findet man keine Rootkits. ProcessGuard versucht nur die Installation von Rootkits zu verhindern.

Das Programm hat eine wirklich hässliche und unübersichtliche Benutzeroberfläche. Es ist leidlich brauchbar für Leute, die ein kostenloses HIPS suchen.

Alternative: Die üblichen Security-Suiten oder ein Gehirn.


Test RootKit Hook Analyzer 2.0

Hersteller: Resplendence
Preis: Freeware
Betriebssystem: Windows 2000/ XP/ 2003 x32 und x64

Treibername: rspsc.sys (wird bei Bedarf geladen)



RootKit Hook Analyzer 2.0 vs Rootkits

Demo-Rootkits:
1 BadRKDemo_XP - T: Nein H: n/a R: n/a Entfernen: n/a
1 phide_ex - P: n/a T: Nein
1 RKUnhooker Test Rootkit 1.2 neu - P: n/a T: Nein

Grayware-Rootkits:
2 FUTo_enh - P:: n/a T: Nein

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: Nein D: n/a R: n/a Entfernen: n/a
3 Goldun - H: Ja D: n/a R: n/a Entfernen: n/a
3 Hacker Defender 100 - P: Nein D: n/a R: n/a Entfernen: n/a
1 Rustock.B (alias lzx32.sys) *1,2 - T: Nein H: n/a D: n/a R: n/a Entfernen: n/a
3 Zcodec-Ruins - H: Nein R: n/a Entfernen: n/a


Fazit
Findet SSDT-Hooks und (versteckte?) Treiber. Der SSDT-Teil ist gut, der andere nicht. Neben BlackLight zur Zeit der einzige Detektor der Windows x64 unterstützt.

Da heute kaum noch ein Rootkit SSDT-Hooks benutzt, ist die Software ziemlich nutzlos.

Alternative: Rootkit Unhooker, GMER, IceSword.


Test RootkitShark 3.27

Hersteller: Advances.com
Preis: 24,95 Dollar
Betriebssystem: Unbekannt

Treibername: Keiner


RootkitShark 3.27 vs Rootkits

Demo-Rootkits:
1 BadRKDemo_XP - T: n/a H: n/a R: Ja Entfernen: Demo

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: n/a D: n/a R: Ja mit Fehlern Entfernen: Demo
3 Goldun - H: n/a D: n/a R: Nein Entfernen: Demo
3 Hacker Defender 100 - P: n/a D: n/a R: Ja Entfernen: Demo
1 Rustock.B (alias lzx32.sys) *1,2 - T: n/a H: n/a D: n/a R: Nein Entfernen: Demo
3 Zcodec-Ruins - H: n/a R: Teilweise Entfernen: Demo


Fazit
Kommandozeilenprogramm. Findet versteckte Registry-Schlüssel. Diverse Fehlalarme und unzuverlässig. Die kostenlose Version kann nichts löschen.

Bessere Alternative: Trend Micro RootkitBuster (GUI), Sophos Anti-Rootkit (Kommandozeile).

19. Januar 2007

Neues Demo-Rootkit Unreal erschienen

Am gleichen Tag wie den neuen Rootkit Unhooker 3.01 bringen die Macher das Unreal Test Rootkit.

Das Rootkit versteckt seinen Treiber und seine Datei.

Unreal rootkit hides file and driver. Works on NT-based operation systems with NTFS file systems. It doesnt have process, so it's not hides processes! It do not hide also a registry keys, so no registry keys are hidden! Make sure, that you readed this post before you start tests or write something.

Das neue Rootkit soll angeblich alle existierenden Rootkit-Detektoren (inklusive Rootkit Unhooker) täuschen.




Vom neuen Rootkit Unhooker wird aber zumindest ein namenloser Treiber gefunden. Andere habe ich auf die Schnelle nicht getestet.

Update: Stimmt gar nicht.Nach einem Reboot findet auch RKU den Treiber nicht mehr. Dafür findet IceSword die Datei (siehe Link).


Links

Rootkit Unhooker 3.01 erschienen

Nach einer gar nicht so langen Beta-Phase ist die Anti-Rootkit Software von DNY, EP_X0FF und MP_ART in der fertigen Version 3.01 verfügbar.




Der nur 141 KB große Installer von Rootkit Unhooker bringt neben den üblichen Verbesserungen und Bugfixes auch einige neue Funktionen.

Es gibt jetzt die Option SSDT-Hooks in einem "einfachen" Modus anzuzeigen. Unter Report kann man jetzt die gewünschten Bereiche auswählen.

Ausserdem gibt es einen irren preisverdächtigen Zufallsgenerator für den Fenstertitel.

version 3.01 build 100/360 (18.01.2007)
added: full Unicode support
added: pages selection for Report page
added: disks selection for Hidden Files Detector page
added: global settings dialog
added three modes for SSDT Detector/Restorer page
normal - everything displaying as always
simple - show hooks only if their addresses are outside kernel module (useful for KAV users)
show only hooks
note: b mode can be combined with c mode.
[...]

P.S.: An der Entwicklungsgeschwindigkeit können sich andere mal ein Beispiel nehmen...


Links

18. Januar 2007

BitDefender Rootkit Uncover verschwunden

Ich wollte mal nach einer neuen Version von BitDefender Rootkit Uncover sehen. Vielleicht ist das Programm inzwischen besser geworden - dachte ich mir. Auf der Website des (Ex-) Herstellers ist aber nichts mehr davon zu finden.

Weder bei den Produkten noch auf der Beta-Seite ist was davon zu sehen.

Entweder haben sie es in ein anderes Produkt eingebaut oder in die Tonne getreten. Von der Beta-Phase direkt ins nichts. Hmm.

Update: Auf der Beta-Website von BitDefender wird das Programm immer noch angeboten. Die Version ist immer noch Beta 2 von 4. 7. 2006. Direkter Download siehe Kommentar.


Links

17. Januar 2007

Geek with a gun

Guter (langer) Artikel bei Wired. Über Jim Christy, dem dienstältesten Computer-Ermittler des US-Verteidigungsministeriums.

Fifteen years ago, Christy founded the Pentagon's first digital forensics lab. Back then, most cops didn't even bother to seize computers when they executed a search warrant. Ten years ago, he was the guy they tapped to explain computer security to senators and the White House. Now Christy has built his shop into the world's largest center for pulling evidence off damaged or encrypted hard drives, tracking hackers across networks, reconstructing terrorists' computers, and training a new generation of law enforcement. He's the government's original geek with a gun.


Links

Test Avira AntiRootkit Tool 1.0.1.5 (Beta 3)

Hersteller: Avira
Preis: Zeitlich limitierte Beta (Registrierung erforderlich)
Sprache: Englisch

Treibername: avirabb.sys und ssmdrv.sys (werden bei Bedarf geladen)


Eine unsichtbare Fee hat mir die neueste Beta-Version der Anti-Rootkit Software von Avira gebracht. Der hierzulande omnipräsente Hersteller des Viren-Scanners AntiVir will das Programm angeblich schon zur Cebit vorstellen.

Das AntiRootkit Tool ist ein konventionelles Ein-Klick Anti-Rootkit mit automatischer Entfernung. Als Besonderheit kann es eine Verbindung mit AntiVir eingehen. Dabei werden erkannte Rootkits in die "Quarantäne" des Viren-Scanners verschoben.

AntiRootkit Tool findet versteckte Prozesse, Dateien und Registry-Schlüssel. Das Programm zeigt auch versteckte Treiber an, findet sie aber nur durch Scannen der Registry. Die Suche nach versteckten Treibern wird daher als nicht existent gewertet.

Zu jedem gefundenen Objekt kann man sich Details anzeigen lassen, ausserdem gibt es einen Report mit allen Ergebnissen.

Zum Entfernen von versteckten Dateien ist immer ein Reboot erforderlich. Was anderes kann nicht entfernt werden.

Das Programm hat keine Anleitung und keine Online-Hilfe.




Avira AntiRootkit Tool 1.0.1.5 (Beta 3) vs Rootkits

System: Windows XP Pro SP2
Nach der Installation des Rootkits erfolgt immer ein Reboot (ausser bei nicht-persistenten Demos), dann der Test.

Schwierigkeit: 1=Sehr schwer, 2=Schwer, 3=Mittel, 4=Einfach
Abkürzungen: Prozess, Treiber, Hooks, Datei, Registry
Ja: Findet Objekt, Nein: Was wohl, n/a: Diese Funktion wird vom Programm nicht unterstützt

Demo-Rootkits:
1 BadRKDemo_XP - T: n/a H: n/a R: Ja Entfernen: Nein
2 FUTo_enh - P: Ja T: n/a
1 phide_ex - P: Nein T: n/a
1 RKUnhooker Test Rootkit 1.2 neu - P: Ja T: n/a

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: n/a D: Ja R: Ja Entfernen: Automatisch
4 Alpha-DVD (Kopierschutz) - P: Ja Entfernen: Automatisch
3 Goldun - H: Nein D: Nein R: Programmfehler Entfernen: Nein
3 Hacker Defender 100 - P: Ja D: Ja R: Ja Entfernen: Automatisch
1 Rustock.B (alias lzx32.sys) *1,2 - T: n/a H: n/a D: Nein R: Ja Entfernen: Nein
3 Zcodec-Ruins - H: n/a R: Ja Entfernen: Nein

*1 Benutzt ADS
*2 Benutzt ISA (Implementationsspezifischer Angriff)


Fazit
Das Versagen bei der Entfernung von Rustock.B ist nicht wirklich gut. Das Malware-Rootkit ist seit fast einem halben Jahr bekannt. Das AntiRootkit Tool bietet die Entfernung zwar an, schafft es dann aber doch nicht. Das ist wenig überraschend, da die gefundenen Registry-Schlüssel nicht gelöscht werden können und die Datei nicht gefunden wird.

Damit befindet sich Avira AntiRootkit Tool in bester Gesellschaft: Auch Sophos Anti-Rootkit versagt bei Rustock.B. Vermutlich hat auch Aviras Software Probleme mit Alternativen Datenströmen (ADS).

Die Probleme setzten sich fort bei BadRKDemo_XP und Zcodec-Ruins. Die versteckten Registry-Schlüssel werden zwar gefunden, können aber nicht entfernt werden. Ich bin zu dem Schluss gekommen, dass das Programm überhaupt keine Registry-Schlüssel entfernen kann. Die Erkennung von versteckten Registry-Schlüsseln ist aber gut, wenn auch langsam.

Im Test traten bizarre Fehlalarme auf. AntiRootkit Tool fand einmal mehrere nicht-existierende versteckte Treiber. Nach der Installation des Goldun-Rootkits wurden mehrere hundert Registry-Schlüssel von Microsoft .NET als "versteckt" angezeigt. Update: Die Schlüssel waren wirklich versteckt. Warum? Keine Ahnung, Muss besser hinsehen.

Die Erkennung von verstecken Prozessen scheint relativ gut zu sein. Mit Ausnahme des "Super-Rootkits" phide_ex wurde alles gefunden. Beim RKU Test Rootkit versagt sogar die neueste Version von IceSword.

Die Erkennung von versteckten Treibern ist weniger gut bzw. nicht existent. Schlecht: Wenn beim Registry-Scan ein versteckter Treiber gefunden wird, wird der Schlüsselname nicht angezeigt, nur der Dateiname. Das ist eher verwirrend als hilfreich.

Ich habe keine Zeiten gestoppt, aber das Programm kam mir unangenehm langsam vor. Der Trend Micro RootkitBuster kommt mir subjektiv drei mal so schnell vor. Dafür ist das Programm stabil. Es gab keine Abstürze oder ähnliches.

Die einzige Besonderheit von Avira AntiRootkit Tool ist die Integration mit dem Viren-Scanner AntiVir vom selben Hersteller. Damit müssen verdächtige Objekte nicht sofort gelöscht werden, sondern kommen erst mal in Quarantäne.

Die Erkennungsleistung bleibt insgesamt deutlich hinter den Freewareprogrammen Rootkit Unhooker und GMER zurück. Beide Programme können Rootkits im laufenden Betrieb killen und ihre Dateien löschen (ohne Reboot).


Links

16. Januar 2007

IceSword 1.20 für Vista erschienen

Der arbeitsame PJF hat soeben eine neue Ausgabe der Version 1.20 von IceSword veröffentlicht. Die neue Version 1.20 der beliebten Anti-Rootkit Software unterstützt jetzt auch Windows Vista und trägt die Unterversion "SubVer: 111E3".

Ausser einem neuen Zufallsgenerator für den Fenstertitel gibt es keine erkennbaren Veränderungen zur vorherigen Version 1.20.

IceSword 1.20 SubVer: 111E3 funktioniert jetzt unter Windows 2000, XP, 2003 und Vista (32-Bit). Damit ist IceSword nach F-Secure BlackLight die zweite Anti-Rootkit Software für Windows Vista. Update: Avira Rootkit Detection unterstützt jetzt auch Vista (Test demnächst).


Da ich hier in meiner Höhle kein Vista habe, kann ich nicht sagen ob es funktioniert. Ich frage mich, wie IceSword es schafft unter Vista die zwangsweise Treiber-Signierung zu umgehen?


Der Server in China ist weiterhin kaum erreichbar, deshalb habe ich das Zip gleich bei SpeedyShare hochgeladen.


Links

15. Januar 2007

Spion gegen Spion

"Wir glauben, sie benutzen Google Earth, um die am leichtesten angreifbaren Ziele, wie zum Beispiel Zelte zu identifizieren", zitiert die britische Zeitung "Daily Telegraph" einen britischen Geheimdienstoffizier. Bei der Erstürmung mehrerer Häuser von mutmaßlichen Terroristen hatten Soldaten in der vergangenen Woche Dokumente gefunden, die sie stutzig machten.

Auf Ausdrucken von Satelliten- und Luftaufnahmen der Google-Earth-Software waren auf der Rückseite die Koordinaten potentieller Angriffsziele vermerkt

Das entbehrt nicht einer gewissen Ironie, denn Google hat die Daten für Google Earth von der Firma Keyhole Inc., welche wiederum vom US-Geheimdienst CIA finanziert wurde.

In der Google-Zentrale in Kalifornien sorgen die jüngsten Meldungen nicht für Verwunderung. Ein Sprecher erklärte, die Software könne zu "guten und schlechten Zwecken" genutzt werden, schließlich sei sie offen zugänglich. Die Bedenken würden jedoch ernst genommen. "Natürlich haben wir immer ein offenes Ohr für die Bitten einer Regierung."

Bilde ich mir das ein oder klingt der letzte Satz wirklich wie eine Drohung?


Links

Nummer eins

"Wie war noch mal Ihre Internet-Adresse?"

"Googlen Sie nach hässlichste Homepage. Der erste, das bin ich. Der zweite auch."

Bitte lächeln

Ab sofort werden in den Kommentaren grafische Smilies angezeigt. Im Editor sind sie nicht zu sehen. Die Codes werden erst nach dem Laden der Seite von einem JavaScript in kleine Bildchen umgewandelt.

Mögliche Smilies sind:

:) oder :-) 
;) oder ;-)
:( oder :-(

:-D
:-P
:-$

Credit: Aditya


P.S.: Wer heute dumm genug war, diesen Blog nach Mitternacht zu lesen, dem ist möglicherweise der Browser abgefackelt oder hat sowas produziert:


Das Problem wurde jetzt beseitigt.


P.S.S.: Der kaputte Link zum RSS-Feed wurde repariert.

14. Januar 2007

Doch keine NSA-Backdoor in Windows Vista

Der stets zuverlässige Titanic-Newsticker informiert uns über die wahren Hintergründe der angeblichen Kooperation von Microsoft mit Big Brother der NSA:

Wie Microsoft-Guru Bill Gates erklärte, seien keineswegs Teams der NSA (National Security Agency) an der Entwicklung von Windows Vista beteiligt gewesen, sondern Experten der NASA (National Aeronautics and Space Administration). Diese hätten auch lediglich ein Programm zur Berechnung der exorbitant hohen Preise für das neue Microsoft-Betriebssystem zur Verfügung gestellt.
"Das Bespitzeln unserer Kunden erledigen wir immer noch selbst", erklärte ein Sprecher des Konzerns.


Links

Chinesen klauen den Amis die Sprache

Während wir uns noch über Anglizismen in der Deutschen Sprache ärgern, haben die Amis schon ganz andere Probleme.

Auf der Website der Chinesischen staatseigenen Propagandaschleuder Xinhua habe ich einen herrlichen Artikel entdeckt. Ein Sprachwissenschaftler meint dort, dass die Chinesen aufgrund ihrer zahlenmäßigen Überlegenheit in Zukunft die Englische Sprache "besitzen" könnten:

The English language is undergoing its greatest transformation ever, thanks mostly to translation mistakes made by some 250 million Chinese second-language speakers, according to the San Diego-based consultancy Global Language Monitor.
[...]
"Because of China's growing influence, it now has more impact on Global English than native English-speaking countries. That's pretty astonishing," said GLM president Paul JJ Payack.
[...]
"What's interesting here," Payack said, "is that we're talking about the possibility of the Chinese becoming the owners of the English language."

Das China-Englisch ist allerdings noch nicht ganz politisch korrekt:

The Beijing Municipal Tourism Bureau is now working to stamp out mottled English in the capital. There is a sign reading "Racist Park" denoting the Park of Ethnic Minorities, [...] Perhaps the most offensive are the "deformed man toilet" signs posted above some of the city's handicap-accessible restrooms.

Wieso gibt es eigentlich keine "deformed woman toilet"?


Links

13. Januar 2007

Analphabeten auf Frankfurts Sraßen


Petra "Das Brot" Roth und ihr debil grinsender Hilfspolizist frohlockten, ein weiteres Mal hatten sie sich den Forderungen der SPD widersetzt.

Sichere Passwörter wählen

Noch ein beunruhigender Artikel, bei Bruce Schneier gefunden. Er schreibt darin unter anderem über kommerzielle Passwort-Cracker und deren Funktionsweise:

So the first attack PRTK performs is to test a dictionary of about 1,000 common passwords, things like "letmein," "password," "123456" and so on. Then it tests them each with about 100 common suffix appendages: "1," "4u," "69," "abc," "!" and so on. Believe it or not, it recovers about 24 percent of all passwords with these 100,000 combinations.

Sowas wie "kaffee99" dürfte dem Programm keine 0,3 Sekunden standhalten.

Er erklärt auch, warum man sein Passwort niemals in einer "unauffälligen" Datei verstecken sollte: Die Software erstellt ein Wörterbuch von jeder Zeichenkette auf der Platte, inklusive Auslagerungsdatei und gelöschten Dateien. Damit sollen sich bereits mehr als 50 Prozent aller Passwörter knacken lassen.

AccessData sells another program, Forensic Toolkit, that, among other things, scans a hard drive for every printable character string. It looks in documents, in the Registry, in e-mail, in swap files, in deleted space on the hard drive ... everywhere. And it creates a dictionary from that, and feeds it into PRTK. And PRTK breaks more than 50 percent of passwords from this dictionary alone.

Solche Programme muss man den Benutzern immer wieder vorführen, bis sie es kapieren.


Ich selbst bin ja ein Anhänger der Erste-Buchstaben-eines-Satzes-Methode. Dabei bildet man einen langen Satz und mischt die Anfangsbuchstaben der Wörter mit ein paar Sonderzeichen. Wichtig: Klein- und Großbuchstaben verwenden, Sonderzeichen und Buchstaben mischen, 12 Zeichen Minimum.

Beispiel:
#über Wörterbuch-Angriffe [[~ kann ich nur höhnisch lachen // Geh sterben Hacker

wird zu:

#üW-A[[~kinhl//GsH


Mit etwas Übung kann man sich das tatsächlich merken. Wirkt auch vorbeugend gegen Alzheimer.


Links

Verpixelung umdrehen

Jeder kennt diese "Verpixelung" um Sachen auf Bildern oder im Fernsehen unkenntlich zu machen:


Mit Hilfe eines Wörterbuch-Angriffes kann Dheera Venkatraman jetzt verpixelte Zahlen wieder sichtbar machen - zumindest im Experiment. Mit dem vorgestelltem Algorithmus sollte man theoretisch auch verpixelte Kreditkarten und ähnliches wiederherstellen können.

Beängstigend, sowas.


Links

12. Januar 2007

BIOS-Passwort umgehen oder löschen

Praktisch alle PCs und Notebooks haben die Möglichkeit ein BIOS-Passwort zu aktivieren. Allerdings ist "BIOS-Passwort vergessen" oft genug die Folge.

Besitzer von Desktop-Rechnern sind noch verhältnismäßig gut dran: Die meisten Desktops haben einen Jumper auf dem Mainboard (oft PWD oder CMOS genannt), mit dem man das Passwort löschen kann. CMOS ist dabei der Name des Speichers, in dem das Passwort und die anderen BIOS-Einstellungen liegen.

Deutlich weniger witzig sind BIOS-Passwörter bei Notebooks, besonders wenn der Vorbesitzer nicht mehr greifbar ist. IBM hat früher in solchen Fällen das Mainboard des Notebooks ausgetauscht - zumindest behaupteten sie es.


Mit dem kleinen Kommandozeilenprogramm CmosPwd kann man sich das BIOS-Passwort der meisten Systeme anzeigen lassen.

CmosPwd läuft unter allen Versionen von DOS und Windows (und Linux). Unter Windows muss vor der Benutzung der ioperm-Dienst installiert werden, da Windows sonst keinen direkten Zugriff auf das BIOS erlaubt. Nach der Benutzung sollte man den Dienst wieder entfernen (Sicherheitslücke).

Aus der von CmosPwd angezeigten Liste sucht man sich seinen BIOS-Hersteller heraus, neben dem dann hoffentlich das Passwort angezeigt wird. Es wird nicht das Original-, sondern ein äquivalentes Passwort angezeigt.



Benutzung von CmosPwd unter Windows

ioperm.exe -i
cmospwd_win
[Passwörter werden angezeigt...]
ioperm.exe -u

CmosPwd kann auch ein Backup vom CMOS speichern (und es wieder herstellen). Wenn nix gefunden wird, kann man als letzte Möglichkeit das BIOS-Passwort löschen.

Im Web zirkulieren auch diverse Listen mit Backdoor-Passwörtern der verschiedenen Hersteller. Kann allerdings ewig dauern, bis man eins gefunden hat das funktioniert.

Falls das Programm versagt, bittet der Programmierer um eine Mitteilung.


Links

11. Januar 2007

Backup mit Robocopy

Robocopy ist das "Robust File Copy for Windows". Das Kommandozeilenprogramm von Microsoft ist im Grunde ein aufgemotzter Copy-Befehl.

Robocopy eignet sich besonders zum Verschieben von größeren Datenmengen übers Netzwerk. Im Gegensatz zu den meisten anderen Programmen wird der Kopiervorgang nicht beim ersten Netzproblem abgebrochen (daher auch das "Robust").

Auch als Pseudo-Backup ist Robocopy erste Wahl. Die Option /MIR implementiert einen intelligenten Mirror. Dabei wird ein entferntes Verzeichniss mit einem lokalen stets synchron gehalten. Beim ersten Durchlauf werden alle Dateien aus dem lokalen Verzeichniss kopiert. Dann werden nur noch die geänderten Dateien kopiert. Wenn im lokalen Verzeichniss eine Datei gelöscht wird, wird sie auch auf dem Mirror gelöscht.

Das ist nicht so sicher wie ein richtiges Backup, aber extrem schnell, wartungsarm und einfach zu bedienen. Damit kann man einfach alles auf eine USB-Festplatte spiegeln. Mit der Option /COPYALL werden auch alle Berechtigungen kopiert. Im Gegensatz zu einem richtigen Backup wird der Mirror im Laufe der Zeit nicht immer größer. Außerdem braucht man keine spezielle Software um an die Daten zu kommen - jede einzelne Datei kann bei Bedarf einfach zurückkopiert werden.


Die neueste Version ist offensichtlich XP010. Sie ist Bestandteil des Windows Server 2003 Resource Kits (funktioniert auch unter älteren Versionen von Windows).



Wem die Kommandozeile zu kompliziert ist, dem bietet Microsoft Robocopy GUI an. Das .Net-Programm ist allerdings nicht wirklich übersichtlich. Die ganzen Optionen werden einfach ohne Erklärung angezeigt.

Robocopy kommt mit einer ausführlichen Anleitung als Word-Datei (die man besser lesen sollte).

Update: Mit der Option /CREATE gibt Robocopy auch ein erstaunlich brauchbares "Defragmentierungsprogramm" ab.


Links

10. Januar 2007

Becksteins Lebenswerk

Gibt es eigentlich Innenminister, die keine verhinderten Faschos sind?

Bayerns Kabinett hat in dieser Woche eine neue Bundesratsinitiative gestartet, die ein bereits zuvor von Bayerns Innenminister Günther Beckstein (CSU) vorgeschlagenes "Herstellungs- und Verbreitungsverbot von virtuellen Killerspielen" vorsieht. Dabei bleibt es jedoch nicht, auch Aktivitäten jenseits des Computers wie Gotcha, Paintball und Laserdrome sollen verboten werden - dem Schutz der Jugend zuliebe.
[...]
Mit weiteren Gesetzesänderungen sollen etwa höhere Bußgelder (500.000 statt 50.000 Euro) für Verstöße verhängt oder der Verleih und die Vermietung indizierter Spiele auch an Erwachsene verboten werden können.

Das musste ja kommen. Zuerst installiert man einen "Jugendschutz" durch eine "freiwillige" Selbstkontrolle. Dann ersetzt man die "freiwillige" Selbstkontrolle schleichend durch eine Behörde. Dann dehnt man die Zuständigkeit der Behörde auf alles und jedes aus. Dann ist die "Jugendschutz"-Behörde plötzlich auch für Erwachsene zuständig.

Beckstein sagte dazu: "Geben sie uns noch fünf bis sieben Jahre, dann haben wir das Grundgesetz so weit ausgehöhlt, dass es von selbst zusammenfällt."


Links

8. Januar 2007

Windows Resource Kit und Support Tools

Das Resource Kit von Microsoft ist eine Sammlung von Hilfsprogrammen für Windows. Früher gab es die Programme vollständig nur auf einer Buch-CD (das Resource Kit Buch). Heute kann man sich alles kostenlos herunterladen.

Neben dem Resource Kit gibt es auch noch die Support Tools von Microsoft. Die Support Tools sind auch eine Sammlung von Hilfsprogrammen. Die Aufteilung der Programme zwischen Resource Kit und Support Tools ist etwas mysteriös. Manche Programme die zum Windows 2000 Resource Kit gehörten, sind heute in den Windows Server 2003 Support Tools enthalten.

Die meisten Programme sind für die Kommandozeile, es sind aber auch aufwendige GUI-Programme dabei.

Beide kommen als eine Exe-Datei, die sich ab Windows XP installieren lässt. Trotz des "2003" im Namen funktionieren die meisten Programme auch unter Windows 2000. Manche Programme sind sogar unverändert aus dem alten Resource Kit übernommen wurden.

Unter Windows 2000 lässt sich die Exe allerdings nicht installieren. Man kann die Programme aber von Hand aus dem Installer holen. Auch Benutzer von XP und 2003 können es so machen, wenn sie nur ein einziges Programm aus dem Resource Kit haben wollen.

Resource Kit / Support Tools von Hand installieren

Benötigt 7-Zip.

rktools.exe -> Rechtsklick -> 7-Zip -> Öffnen
Doppelklick auf rktools.msi
Gewünsche Datei auswählen und irgendwo hin kopieren.

...-SupportTools-x86-ENU.exe -> Rechtsklick -> 7-Zip -> Öffnen
Doppelklick auf support.cab
s.o.


Highlights aus dem Resource Kit
  • Cleanspl (Spooler Cleaner) - Gut bei diversen Druckerproblemen
  • HLScan (Link Display Tool) - Einziges mir bekanntes Programm welches Hard Links anzeigt
  • Linkd - Erzeugt Namespace Junctions (Windows-Version von Unix-Symlinks)
  • Robocopy (Robust File Copy Utility) - Kopier- und Backup-Programm
  • SubInACL - Suchen und Ersetzen in Dateisystemberechtigungen (SubInACL aus dem 2003er Resource Kit ist fehlerhaft. Unter anderem funktioniert es nicht mit Windows 2000. Hier kann man eine neue Version herunterladen)
  • Winexit (Windows Exit Screen Saver) - Bildschirmschoner der Benutzer ausloggt

Highlights aus den Support Tools
  • Bitsadmin (BITS Administration Utility) - Kontrolliert den "Hintergrundübertragungsdienst" von Windows Update (Passend dazu: WinBITS Download-Manager, braucht Net 2.0)
  • Devcon (Device Console Utility) - Kommandozeilenversion des Geräte-Managers
  • Dnslint (DNS Lint) - Gut bei diversen Netzwerkproblemen
  • Msizap (Windows Installer Zapper) - Windows Installer (MSI) Krücke


Für alle Programme gibt es eine ausführliche Anleitung in Form einer CHM-Datei. Achtung: Die CHM-Datei vom Resource Kit ist fehlerhaft. In der Baumanzeige links werden nicht alle Programme angezeigt. Besser nach der Alphabetischen Anzeige im Hauptfenster richten.

Hinweis
Einige Programme aus dem Resource Kit stammen noch aus der Zeit von Windows 98. Teilweise sind die Programme etwas skuril, manche funktionieren nicht richtig unter XP/2000/2003.


Links

7. Januar 2007

Sicherheitsrisiko Browser-Plugins

Ich liebe ja Statistiken. Darum habe ich mir mal angesehen, welche Version des Flash-Plugins meine Besucher verwenden. Über die Versionsnummern von anderen Plugins verrät mir Google Analytics leider nichts.

Und ich bin entsetzt meine Freunde, entsetzt.


Nur 22,21 Prozent der Flash-Nutzer haben die aktuelle Version installiert. Dabei haben alle anderen Versionen bereits seit Monaten bekannte Sicherheitslücken!

Die Statistik zeigt nur die Besucher aus dieser Woche (1.Januar 2007 bis gestern). Die aktuelle Version des Flash-Plugins ist 9.0.28 (in der Grafik hervorgehoben).


Web-Browser-Plugins sind im Grunde kleine Programme, die innerhalb des Browsers laufen. Dabei gibt der Browser dem Plugin einen Platz auf dem Bildschirm und ihre Daten (zum Beispiel eine SWF-Datei von Flash). Die Plugins laufen dann quasi als unabhängige Tochterprogramme innerhalb des Browsers ab.

Jede Sicherheitslücke in einem Plugin ist daher genauso schlimm wie eine Sicherheitslücke im Browser selbst (aber schwerer auszunutzen).


Adobe Flash ist zwar zahlenmäßig die größte Sicherheitslücke, aber andere Mütter haben auch hässliche Töchter:

Sicherheitslücken in Browser-Plugins

  • Sun Java: Alles unterhalb 1.5.0.7 hat bekannte Sicherheitslücken
  • Adobe Flash: Alles unterhalb von Version 9.0.28 hat bekannte Sicherheitslücken
  • Adobe Reader Plugin: Alles unterhalb von Version 8 hat bekannte Sicherheitslücken
  • Apple Quicktime: ALLE Versionen haben bekannte Sicherheitslücken (ist von Apple)
(Stand: 7. Januar 2006)

5. Januar 2007

Die Hard, Firefox

Ich habe bei der Sueddeutschen eine faszinierende Software gefunden: DieHard. Durch eine verbesserte Speicherverwaltung soll es weniger Abstürze und Sicherheitslücken geben. Klingt zuerst mal wie eine Verarsche, sieht aber seriös aus.

Normalerweise reserviert ein Programm große, zusammenhängende Blöcke im RAM. Das verbessert die Chancen für einen Buffer-Overflow Angriff, da beim böswilligen Überschreiben eines Feldes fast sicher Programmcode zerstört wird. Bergers Programm „DieHard“ schützt gegen diese Schwachstellen.

Es sorgt dafür, dass eine Anwendung ihren Speicherbedarf über einen möglichst großen Bereich des RAM verteilt und voneinander trennt. So kann ein Angreifer, wenn er es schafft einen Buffer-Overflow hervorzurufen, nicht damit rechnen direkt im Anschluss an ein Feld Programmcode zu finden.

DieHard für Windows unterstützt bisher nur Firefox. Angesichts der notorischen Firefox-Speicherverwaltung vermutlich der ideale Kandidat für sowas.

DieHard funktioniert mit Firefox 1.5.0.9 oder 2.0.0.1 unter Windows XP und 2003.


Links

Test Trend Micro RootkitBuster

Ich habe mir mal die Anti-Rootkit Software RootkitBuster von Trend Micro angesehen. Das Programm ist eine Beta-Version und Freeware. Wie die meisten kommerziellen Kollegen ist es ein relativ simpler Ein-Klick Scanner.

RootkitBuster sucht nach versteckten Dateien, Registry-Schlüsseln, Prozessen, Treibern und Hooks.

Es können versteckte Dateien und Registry-Schlüssel entfernt werden. Dazu wird immer ein Neustart benötigt.





TEST Trend Micro RootkitBuster 1.6.0.1049 Beta vs Rootkits

System: Windows XP Pro SP2

RKU Test Rootkit 1.2 - Nichts. Kein Prozess, kein Treiber.
Zcodec-Ruins - Findet Dateien, Registry-Schlüssel, kann es löschen.
FUTo - Findet Prozess, Treiber.
BadRKDemo_XP - Findet versteckte Registry-Schlüssel. Kein Prozess, kein Treiber.
Rustock.B - Findet versteckte Registry-Schlüssel, kann sie löschen. Findet keine Datei, kein Treiber.
HideToolz 1.6 - Findet Prozess
Hacker Defender 100 - Findet Dateien, Registry-Schlüssel, Prozess. Kann es löschen.
AFX Rootkit 2005 - Findet Dateien, Registry-Schlüssel, Prozess. Kann es löschen.
Alpha-DVD - Findet Prozess. Kann es nicht löschen.
Vanquish 0.2.1 - Findet Dateien, Registry-Schlüssel. Kann es löschen.


Fazit
Das Simpel-Rootkit Alpha-DVD kann nicht entfernt werden, da es nur seinen Prozess versteckt. RootkitBuster kann nur Dateien und Registry-Schlüssel löschen.

Erkennung von Hooks ist miserabel. Das Programm hat keinen einzigen Hook gefunden. Die Funktion ist auch standardmäßig nicht aktiviert. Möglicherweise ist dieser Programmteil noch gar nicht implementiert.

Erkennung von versteckten Prozessen und Treibern ist nicht so gut. Aktuelle Kernel-Mode Rootkits werden so kaum gefunden. Nur gegen User-Mode Zeug scheint es ganz gut zu funktionieren.

Die Suche nach versteckten Dateien ist ziemlich schnell aber nicht so gut.

Die Erkennung von versteckten Registry-Schlüsseln ist gut und die Entfernung funktioniert zuverlässig.

RootkitBuster kann mehr als die meisten anderen kommerziellen Ein-Klick Scanner. Versteckte Treiber finden sonst nur wenige. Die Erkennungsrate läßt aber zu wünschen übrig.

"Highlight" (wenn es sowas überhaupt gibt) ist der Registry-Scanner. Hier profitiert das Programm vermutlich davon, dass es relativ unbekannt ist. Gegen die bekannteren der Branche hat die Malware spezielle Routinen. Bei Anti-Rootkit Software ist es immer gut, ein paar "Unbekannte" in der Hinterhand zu haben.


Links

4. Januar 2007

Führ mich zum Schotter, Mitchell

Von wegen "mit Open Source verdient man nichts":

Mozilla-Chefin Mitchell Baker, die sich selbst "Chief Lizard Wrangler" nennt, gab am 2. Januar auf ihrem Blog die Einnahmen für 2005 bekannt (das ist kein Tippfehler, wirklich 2005).

Der Hersteller des Web-Browsers Firefox schwimmt im Geld. Die Mozilla Foundation und ihre kommerzielle Tochterfirma Mozilla Corporation haben zusammen 52,9 Millionen Dollar verdient. Ausgegeben haben sie nur 8,2 Millionen, den größten Teil davon für Personalkosten.

Sie sagen nichts genaues, aber die Kohle scheint zu 95% von "Beziehungen mit Suchmaschinen" zu kommen. Auf Deutsch von Google und Yahoo.


Man muss sich ernsthaft fragen, wie sehr die Mozilla Foundation in der Lage ist "nein" zu sagen, wenn Google irgendwas will. Mozilla hat scheinbar auf Dauer kein Geschäftmodell, dass ohne die gute Google-Kohle auskommt.

Wenigstens wollen sie mit den überschüssigen Millionen Rücklagen bilden. Wenn die Einnahmen in 2006 genauso sind, können sie damit mindestens 10 Jahre lang durchhalten. Wenn sie nicht gierig werden. Ansonsten werden sie ihre Befehle in Zukunft direkt aus dem Googleplex empfangen. Oder die Mozilla Foundation wird gleich im Googleplex sitzen.


Links

LKA: Rütteln und schütteln Sie am Geldautomaten

Das LKA Niedersachsen warnt vor dem uralten Trick mit den gefälschten Geldautomaten, neuerdings "Skimming" genannt.

Die Täter montieren mit beidseitigem Klebeband ein Vorsatzgerät, welches vom Original kaum zu unterscheiden ist. Dadurch können die Daten abgelesen und zu den Tätern übermittelt werden. Während in der „ersten Generation“ lediglich Vorsatzgeräte für den Kartenschlitz (und eine in der Nähe versteckten Kamera) verwendet wurden, fälschen die Betrüger heute durch passgenaue Attrappen häufig die komplette, nach vorne gerichtete Außenhülle.

Wie billig! Bereits in den 80ern gab es in den USA Banden, die echte gebrauchte Geldautomaten gekauft und in Einkaufszentren aufgestellt haben - die wurden allerdings alle verhaftet.

Das Landeskriminalamt Niedersachsen rät:
In der Vergangenheit haben aufmerksame Bankkunden bemerkt, dass sich die Attrappe durch das Anfassen (und leichtes Rütteln bzw. Ziehen) gelöst hat. Verschraubten Originalgeräten macht dieses nichts aus.

Eine Frage bleibt allerdings offen: Wie erkläre ich es den Bankangestellten? Oder dem Überfallkommando der Polizei?

"Das LKA Niedersachsen hat mir gesagt, ich soll nach versteckten Kameras suchen und dann am Geldautomaten rütteln? Huch? Was meinen sie mit versuchter Raubüberfall?"


Nebenbemerkung: Das LKA Niedersachsen hat die hässlichste Homepage der Welt.


Links

3. Januar 2007

BlogAlm Blog-Verzeichnis

Der Blogger Frank Helmschrott hat ein neues Blog-Verzeichnis gestartet: BlogAlm listet deutschsprachige Blogs mit eigenen Inhalten (keine Spamblogs).

In vielen kostenlosen Verzeichnissen dieser Art gibt es als Gegenleistung eine sogenannte “Backlinkpflicht”. Der Seitenbetreiber muss also im Gegenzug zum kostenlosen Eintrag einen Link zurück zum Verzeichnis in seine Seite einbauen. Diese Verpflichtung gibt es bei der Blogalm NICHT.

Bis jetzt steht noch kaum was drin, sieht aber gut aus.


Links

Start des Space Shuttle von oben gesehen

Das Bild wurde aufgenommen aus einem NASA WB-57 High Altitude Research Forschungsflugzeug (nicht aus der Weltraumstation ISS wie warrenellisdotcom fälschlicherweise behauptet).


Das Bild ist vom 9.9.2006.

Hier eine WB-57:




Links

2. Januar 2007

Oma im Glück

Voller Stolz präsentierte Oma die Trophäen ihres Beutezugs in der Fußgängerzone:




"Eigentlich wollte ich nur ein Pfund Kaffee kaufen, aber bei Tchibo gab es diese elegante Krücke im Sonderangebot, da konnte ich natürlich nicht widerstehen".

Geheime Windows-Tricks 1 - Ordner-Inhalt in der Taskeiste

Die Leute fragen mich immer wieder, mit welchem Programm ich dieses Menü in die Taskleiste kriege:



Antwort: Diese Fähigkeit ist bereits seit 10 Jahren in Windows eingebaut.

Rechtsklick auf die Taskleiste->Symbolleisten->Neue Symbolleiste

Die Taskleiste kann man übrigens schon genauso lange nach oben verschieben (mache ich immer). Einfach auf einen freien Bereich klicken und ziehen.

1. Januar 2007

Einführung in IceSword - Dump GDT/IDT

Beschreibung
Diese Funktion erzeugt zwei Textdateien im IceSword-Verzeichniss: GDT.log und IDT.log. Diese geben den Inhalt der jeweiligen Systemtabellen wieder.

Die Global Descriptor Table (GDT) ist ein Teil der Speicherverwaltung von Intel 80386 (alias 386 alias IA-32 alias x86) Prozessoren. Die GDT ist im Grunde eine Altlast und wird von modernen Systemen nicht mehr wirklich verwendet. Da die GDT aber von der Hardware vorgegeben ist, wird sie von Windows implementiert.

Die Interrupt Descriptor Table (IDT) ist auch Teil der x86-Architektur. Nähere Erklärungen siehe Links unter Informationen. In Multiprozessorsystemen hat jeder Prozessor seine eigene IDT.

Hinweis
Prozessor-Interrupts (Ints) sind nicht zu verwechseln mit den berüchtigten "Interrupt-Konflikten" von PCI-Karten oder den INT-Leitungen des PCI-Busses. Nennt sich zwar genauso, ist aber was völlig anderes.

Wenn die Funktion Dump GDT/IDT eine Fehlermeldung auswirft, läuft Windows entweder in einer virtuellen Maschine oder man hat ein sehr komisches Problem. Unter VMware funktioniert Dump GDT/IDT, wenn man die Beschleunigung ausschaltet.

Das Rustock.A-Rootkit manipuliert die IDT und erzeugt gelegentlich einen Bluescreen wenn man versucht die IDT zu dumpen.


Global Descriptor Table (GDT)

Die Datei GDT.log hat sechs Spalten. Hier ein Beispiel eines Eintrags:

1
2
3
4
5
6
028Sys802D8000: 000020AB (Base:Limit)P0(DPL)B(type)
IndexSys (System- funktion wie Call Gate) oder Mem (Speicher)(Virtuelle) Adresse und Größe des Bereichs im SpeicherPresent- BitDPL (Descriptor Privilege Level): Ring 0 (Kernel) oder Ring 3 (User)IceSword zeigt hier bei System- funktionen den Typ als Hex-Wert an sonst ein Binärwert


Es gibt zwei grundsätzlich verschiedene Arten von GDT-Deskriptoren: In Spalte 2 werden diese Mem und Sys genannt. Die Mem-Einträge kann man ignorieren (siehe unten).

Spalte 4 zeigt an ob sich der entsprechende Bereich momentan im Speicher befindet (Present-Bit) oder ausgelagert wurde. Was IceSword anzeigt wenn der Bereich ausgelagert wurde, ist mir nicht bekannt.

Spalte 5: DPL ist der Descriptor Privilege Level. Bei Codesegmenten dürfen nur Prozesse mit diesem Level auf den Speicher zugreifen (d.h. der Kernel kann keinen Ring 3 Code ausführen und umgekehrt). Bei Datensegmenten ist es die Mindestberechtigung. Windows kennt hier Ring 0 (Kernel Mode) und Ring 3 (User Mode). Ring 1 und 2 werden von Windows nicht benutzt (sind aber theoretisch möglich).


Übersicht Systemfunktionen (Hex)
  • 0 - Ungültig - ?
  • 2 - LDT - Harmlos
  • 5 - Task gate - Standard in IDT-Index 2 und 8
  • 9 - Verfügbares TSS (386) - Harmlos
  • B - Belegtes TSS (386) - Harmlos
  • C - Call gate (386) - Kritisch
  • E - Interrupt gate (386) - Standard in IDT
  • F - Trap gate (386) - Ungewöhnlich

Andere Typen sollten eigentlich nicht vorkommen. Erweiterte Übersicht siehe Links unter Informationen.

Äußert bedenklich ist vor allem Typ C: Call Gate. Diese Funktion ist für Betriebssysteme gedacht, wird aber heute kaum noch verwendet. Windows verwendet von sich aus niemals Call Gates.

Mit einem Call Gate kann ein User-Mode Prozess ansonsten verbotene Kernel-Funktionen aufrufen.

Das Rootkit Gurong.a (vermutlich ein Vorläufer der Rustock-Serie) benutzt ein GDT-Call Gate um sich zu installieren. Leider habe ich keine Kopie dieses seltenen Rootkits zum testen.

Der Binärwert von Mem-Einträgen entspricht vermutlich den Bits 0-3 des Access Bytes des Gate Descriptors. Erläuterungen dazu siehe Links unter Informationen.

Der erste Eintrag der Liste (000) ist der "Null Segment Selector" und immer "Reserved". Wenn man die Binärwerte der nächsten vier Einträge studiert, könnte man glauben, dass jedes beliebige Programm auf den gesamten Speicher zugreifen kann. Das ist auch so, hat aber keine Bedeutung. Windows benutzt die nicht die GDT, sondern Page Tables zum Speicherschutz. Daher sind die GDT-Einträge vom Typ Mem weitgehend unbedeutend.

Bei x86 (32 Bit) Systemen lebt der Kernel normalerweise im (virtuellen) Bereich ab 80000000. Wenn die /3GB-Option in der boot.ini benutzt wird, im Bereich ab C0000000.

Der Bereich 80000000 bis 9FFFFFFF entspricht normalerweise dem Physikalischen Bereich 00000000 bis 0x1FFFFFFF.


Interrupt Descriptor Table (IDP)

Die Datei IDT.log hat fünf Spalten.

Für jeden der 256 Interrupts gibt es einen Handler (auch Gate genannt). Man kann sich den Handler ansehen, indem man einfach den Offset als Startadresse in den Disassembler eingibt (Prozess ist egal, siehe unten).

Die anderen Spalten entsprechen denen der GDT.

Interessant ist unter Windows 2000 vor allem Index 046 (Hex 2E). Das ist die Schnittstelle zu KiSystemService. Diverse Rootkits (unter anderem Rustock.A und Rustock.B) benutzen unter Windows 2000 Int 2E-Hooks.

Unter Windows XP und neueren Systemen wird der Sysenter-Befehl von neueren x86-Prozessoren verwendet (ist effizienter).

IceSword kann Sysenter-Hooks nicht anzeigen.


Auf was man achten sollte

Call Gates in der GDT. Ein "C(type)" ist praktisch immer Malware.

GDT Base (erste Zeile): Unnormale Adressen sind nicht gut.
Standard ist (soviel ich weiss):
Windows 2000 SP4 - GDT Base:0x80036000
Windows XP SP2 - GDT Base:0x8003F000

Die IDT kommt immer direkt danach (keine Ahnung wie es bei Multiprozessorsystemen gehandhabt wird).

Es gilt folgende Formel: GDT Base + GDT Limit + 1 = IDT Base

Das "0x" bedeutet, dass die Zahlen Hexadezimal sind, es ist nicht Teil der Zahl. Die Berechnung kann man mit dem Windows Rechner im Wissenschaftlichen Modus durchführen.

Wenn die IDT nicht direkt nach der GDT kommt, wurde sie vermutlich kopiert und verschoben. Es gibt keinen Grund das zu tun, der nichts mit Malware zu tun hat.

Komische Einträge in der IDT. Die Index-Spalte ist der Dezimalwert des Interrupts.

Kritisch sind (Hex / Dezimal):
  • Int 0E / 14 - Page Fault. Wird möglicherweise manipuliert vom Shadow Walker Rootkit.
  • Int 2E / 46 - KiSystemService. Diverse Rootkits unter Windows 2000. Windows XP und neuere benutzen Int 2E nicht.

IDT-Hooks kann man theoretisch mit dem eingebauten Disassembler finden. Damit in diesen Artikel mal ein Bild kommt, habe ich den Int 2E-Handler von Windows 2000 disassembliert:



Was IceSword nicht findet
Die IDT/ Int 2E-Manipulation von Rustock.A unter Windows 2000 ist mit IceSword 1.20 nicht zu finden.

Rustock.A hat einen Implementationsspezifischen Angriff gegen IceSword. Sobald IceSword startet, entfernt das Rootkit unter Windows 2000 seinen Int 2E-Hook und entlädt seinen Treiber. Deswegen sieht IDT.log unauffällig aus. Wenn man IceSword beendet, wird das Rootkit nicht wieder hergestellt. Mit Autoruns kann man jetzt leicht den nicht mehr versteckten Treiber deaktivieren.


Andere Werkzeuge
Rootkit Unhooker (findet Sysenter-Hooks)
GMER (findet auch Sysenter-Hooks)


Informationen
Einführung in Protected Mode (mit Systemsegment Typen-Übersicht)
Gates, Interrupts und Exceptions (IDT)
Playing with Windows /dev/(k)mem (siehe 4.2 What's a Callgate ff.). Phrack
From Russia with Rootkit (Informationen zum Gurong.a Rootkit). F-Secure