Mein Computer sendet Massenmails!

Hallo Peter,

ich habe den grössten Teil Deines Postings der Übersicht halber hier gelöscht, er steht ja noch in voller Grösse einen Schritt weiter oben

Hast du eigentlich verstanden wie der Trick mit dem berühmten
„Bufferoverrun“ funktioniert

ja, ich glaube schon, obwohl ich kein Programmierer bin.

und wie einfach man das verhindern kann?

Nein. aber klär mich auf. Ich lerne immer gern dazu

Eigentlich ist ein Bufferoverrun ein typischer Anfängerfehler.

Wenn Du es sagst.

Also ein kleines Beispiel (dieses hat Sasser verwendet):

TCP/IP kann Datenblöcke bis zu 64 kB übertragen.
Du hast jetzt irgend ein Protokoll entwickelt welches aber nur
Datenblöcke mit maximal 4 kB benutzt.
Zur Bearbeitung einer Meldung musst du diese in eine Variable
im RAM ablegen, dazu siehst du 4kB vor, weil ja keine
grösseren Meldungen vereinbart sind.
Wenn dir ein Datenblock vom TCP/IP übergeben wird, übernimmst
du die Längenangabe von TCP/IP und kopierst die Daten in deine
Variable.
Ein erfahrener Programmierer überprüft aber zuerst, ob die
Variable auch Platz für die Daten hat. Andernfalls
überschreibst du 60 kB im RAM welche hinter deiner Variablen
im Speicher abgelegt sind.
Im Fall Sasser, war in diesem Bereich Programmcode abgelegt.
Sasser hat nun einfach einen übergrossen Datenblock versendet
und im hinteren Teil seinen Programmcode so abgelegt, dass er
genau den bestehenden Code überschrieben hat.
Nur durch den Empfang eines solchen Datenblocks wurde dann
dein PC zum Zombie !! Alles ganz OHNE IE und OE und Brain.exe
hat da auch keine Chance was versehentlich anzuklicken.

Wollte noch mal auf das Buffoverrun zurückkommen.
Danke für Dein einleuchtendes Beispiel.
Wie kann man es verhindern? Wenn ich recht verstanden habe, trifft die Schuld den Programmierer, der eine Abfrage ‚vergessen‘ hat, die überprüft, ob die Variable oder der Array in den Stack passt, primitiv ausgedrückt.
Und nach Deinem Beispiel kann der User selbst, der ein solches Programm mit einer offenen Hintertür benutzt, rein gar nichts gegen Eindringlinge, die diese Tür ausnutzen tun? ich meine, ausser den üblichen Schutzmassnahmen.
Aber grade beim Beispiel Sasser hat sich doch gezeigt, dass er erfolgreich bekämpft werden konnte, und zwar ohne Neuinstallation. Ich meine nachdem Microsoft die Lücke endlich durch ein Update geschlossen hattte. okok, ich will jetzt nicht erneut darauf rumhacken, aber meine Meinung habe ich trotzdem nicht geändert.

Ich glaube, ich halte mich in Zukunft aus den Malware-Diskussionen einfach raus (das hier war sowieso eine Ausnahme) und überlass euch das Feld

cu
Seni

Danke Seni,

das war der erste brauchbare Hinweis hier!

Da bist Du leider im Irrtum! Das ist ganz grosser Quatsch!

@ Hinterwäldler: Danke für deine schlauen Kommentare - ich
gehe da jetzt nicht näher drauf ein…

Das solltest Dua aber! Nur so geht es! Neuinstall. und für die Zukunft ein backup anlegen!

Ich habe einen zweiten Rechner hier stehen, mit dem ich
googlen und auch auf das Internet zugreifen kann, ohne meinen
„verseuchten“ Rechner ans Netz nehmen zu müssen!

Dann werde ich wohl mal Detektiv spielen, es sei denn, jemand
hat eine Idee, wie es einfacher funktioniert -

Das wurde Dir schon mehrfach gesagt: NEUINSTALLATION!

vtl. probiere
ich es ja mit den falschen Virenscannern etc. und es gibt da
noch etwas, was ich nicht ausprobiert habe?

NEUINSTALLATION! Damit wärst Du schon fertig, wenn Du das gleich gemacht hättest!

Gruß, Andre

Du bist ein Held!

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Da ich auch im realen Leben (ja, es gibt noch eine Welt da
draussen) auf ein gewisses Maß an Sozialkompetenz Wert lege,
werde ich mich hier nicht auf eine Disskussion mit euch
einlassen…

Und ich lege keinen Wert darauf, dass solche Zombie-Computer
wie deiner mein Postfach zuspammen, weil der Benutzer sich
ziert, gegen das Problem wirkungsvoll anzugehen und es von der
Wurzel an zu zerstören.
Ich hab da einfach NULL Verständnis für!

Und ich habe NULL Verständnis für Betriebssysteme, die heute
auf User losgelassen werden, die so unsicher gestrickt sind,
dass dieser ganze Hacker-, Trojaner- und Virensch… überhaupt
erst ermöglicht wird.

Zustimmung.

Sorry, dass ich mich hier einmische, aber ich habe noch
weniger Verständnis dafür, dass immer die Opfer als die
Schuldigen hingestellt werden und immer diese auch mit ihrer
Zeit und mit ihrem Geld dafür zu Sorgen, dass das Netz Viren-
und Trojanerfrei gehalten wird.

Was ihm vorgeworfen wird, ist seine unglaubliche Beratungsresitenz. Es ist nun mal, wie es ist, und es gibt nun mal nur einen Weg, das wieder zu ändern.

Ich bin schon schwer am überlegen, dass, wenn ich mal mit
DSL-Flat unterwegs bin, mir nicht eine verseuchte Kiste ans
Netz hänge, wo nichts interessantes drauf ist und lasse die
dann mal loslegen. Ich denke es sollte mal richtig zum Chrash
kommen, in der Hoffnung das dann endlich Systeme entwickelt
werden, mit denen ich endlich arbeiten kann und nicht ständig
irgendwelche Systemupdates, Sicherheitsupdates, Virenscanner
und sonstigen was weiß ich noch Mist auf den Rechner holen
muss, was mich meine Kohle und Zeit kostet. Dann kann ich auch
endlich unbeschwert mit der Kiste ins Netz und mich wieder
meinen eigentlichen Hobbys widmen.

Gruß Jürgen

Die gibt es bereits: Etliche Linux - Distributionen und Apple Macintosh.

Und ich habe NULL Verständnis für Betriebssysteme, die heute
auf User losgelassen werden, die so unsicher gestrickt sind,
dass dieser ganze Hacker-, Trojaner- und Virensch… überhaupt
erst ermöglicht wird.

Man sollte solche Betriebssysteme erst gar nicht kaufen. So
einfach ist das.

Sorry, dass ich mich hier einmische, aber ich habe noch
weniger Verständnis dafür, dass immer die Opfer als die
Schuldigen hingestellt werden

Wer sind denn deiner Meinung nach die Opfer? Doch nur
diejenigen, deren Mailboxen voll Scheiße sind. In meinen Augen
haben alle Teilnehmer an einem Netzwerk dafür zu sorgen, dass
sie mit einwandfreien Maschinen unterwegs sind. Das ist doch
nicht zuviel verlangt.

Ich fürchet doch. Das BS des Marktführers ist nun mal löchrig wie ein Käse und Otto Normalverbraucher und Lieschen Müller verständlicherweise nicht in der Lage, all die Löcher zu stopfen, sei es aus Unwissenheit oder Leichtsinn oder Unterschätzung der Gefahren.

Wenn das bedeutet, dass Windows-Anwender sich bis an die Zähne
bewaffnen müssen, dann müssen sie es eben machen. Alternativ
müssen sie auf Windows verzichten - ich würde es mit meinem
Mac nicht anders machen.

Ich für meinen Teil verzichte nicht auf Windows, das klingt so nach opfern. Mein Mac ist ihm in jeder Hinsicht überlegen, der steht hinter einem Router und gut, mit AV und FW und Anti-was-weis-ich-noch-alles braucht sich weder mein System noch ich mich belasten.

Das verlange ich auch von meinen Adminkollegen: entweder
kaputte Systeme reparieren oder sie anderweitig schützen oder
weg vom Netz.

und immer diese auch mit ihrer
Zeit und mit ihrem Geld dafür zu Sorgen, dass das Netz Viren-
und Trojanerfrei gehalten wird.

Tja. Ich kann das nicht unbedingt als Opfer sehen.

Ich denke es sollte mal richtig zum Chrash
kommen, in der Hoffnung das dann endlich Systeme entwickelt
werden, mit denen ich endlich arbeiten kann und nicht ständig
irgendwelche Systemupdates, Sicherheitsupdates, Virenscanner
und sonstigen was weiß ich noch Mist auf den Rechner holen
muss, was mich meine Kohle und Zeit kostet.

Solche Systeme gibt es. Seit Jahren. Ich weiß nicht, was du
willst.

Dann kann ich auch
endlich unbeschwert mit der Kiste ins Netz und mich wieder
meinen eigentlichen Hobbys widmen.

So wie ich.

Gruß,
Stefan

Hallo Seni

TOFU wurde der Übersicht halber gelöscht

lad dir hijackthis runter und mach eine „Momentaufnahme“
Deines Systems, vorzugsweise mit Abschalten von allen anderen
Programmen (wie Antivirenscanner usw).

Was soll damit erreicht werden? In dieser Zeit werden weitere
hunderte Mails versendet!

nicht jeder macht gleich seinen PC platt wegen einer Malware
wobei Deine ewigen Hinweise auf Back-up durchaus berechtigt
sind *zugeb*

Vorher vom Netz gehen!
[…]
windows\system32 zu finden, die Viren nicht. Also Detektiv
spielen und für jeden Prozess googlen.

Du bist ein echter und wahrer Held.

da sind wir schon zwei. Du sagst auch immer den Betroffenen,
was sie vorher hätten tun sollen, wenn es zu spät ist

Tut er nicht. Er sagt, was sie jetzt tun sollen - neu installieren - und als nächstes tun sollen, um beim nächsten Mal besser gewappnet zu sein.
Es liegt nicht an ihm, wenn sich die Leute erst NACH der Infektion erkundigen, und nicht vorher, wie man sie verhundert.

Wie soll er das machen
ohne Verbindung zum Internet? Anstecken? Damit hätte er wieder
den von ihm beschriebenen Zustand.

du hast noch nichts von USB-Sticks gehört? *wunder*
ich bin logischerweise davon ausgegangen, dass er mit einem
andern PC surft, als mit dem infizierten

Genau, weil ja selbstverständlich jeder zwei Computer hat. Mindestens…

cu
Seni

genausowenig wie es möglich ist ein absolut fehlerfreies
System zu schreiben, welches nie einen Sicherheitspatch
benötigt.

Da wäre ich mir nicht so sicher.

Ich entwickle nun seit mehreren Jahren Software. Große
Software Projekte bestehen aus hunderten von Mannjahren Arbeit
und mehreren Millionen Zeilen Code.
Du willst mir jetzt erzählen, dass man das ohne Fehler machen
kann…??

Nö, will ich nicht! Wir reden hier über ein BS. Und ein Nachfolgesystem sollte meiner Meinung nach schon besser sein als der Vorgänger. Bisher war es anscheinend genau umgekehrt. Und was ich nun über Vista lese - na ja, red ich nicht mehr drüber.

Na ja, dass sehe ich anders. Meine Zeit, die ich investiere um
das Grundwissen zu erwerben und mich in Sachen PC-Sicherheit
auf dem laufenden zu halten, ist meine Freizeit

Ich habe auch meinen Führerschein in meiner Freizeit gemacht.
Wann auch sonst. Es ist doch vollkommen egal was du machst,
man braucht immer ein gewisses Grundwissen und das erfordert
nunmal auch, dass man sich es aneignet. Da ist es egal ob du
Auto fährst, einen Verein leitest oder schwimmen gehst. Alles
musst du mal gelernt haben. Der Umgang mit dem PC soll einem
aber im Gegensatz zu allem anderen einfach so zufliegen…
Wieso??

Anstatt mich auf diversen
Internetseiten ständig zu informieren, und Sicherheitspatches
runterzuladen

Nochmal: Du musst dich nicht informieren. Das macht Windows XP
für dich automatisch. Du musst gar nichts machen.

Aha, dann versteh ich gar nicht wieso hier überhaupt Probleme auftreten. Das Brett könnte dann ja geschlossen werden. WIN XP macht alles automatisch, nur keiner weiß, was es wirklich macht. Gratuliere.
Ich für mein Teil will schon wissen wer da was mit meinen Daten macht, bzw. mit meinem Rechner!

Das er hier gleichzeitig auch noch Kurse in
„Selbstverteidigung“ ablegen muss, wenn er dies nicht tut,
dann hier als doof und assozial beschimpfen lassen muss, halte
ich dann doch etwas für überzogen.

Ich mag Auto-Vergleiche, daher gleich noch einer: Auch wenn du
„nur“ Autofahren willst brauchst du einen Erste-Hilfe-Kurs. Es
gehört nunmal oft dazu, dass man bestimmte Dinge können muss.
BTW: Kein Mensch hält ihn für doof, höchstens für unwissend
auf diesem Sachgebiet.

Sorry, das liest sich hier aber anders!

Die Unwissenheit ist aber dein größter
Feind im Netz, genauso wie bei allem anderen auf der Welt. Wir
leben nunmal in einer Wissensgesellschaft, wer das noch nicht
kapiert hat, der sollte darüber mal nachdenken.

Oh, oh, weise gesprochen! Anscheinend gehörst Du zu Denen, die nachgedacht haben und alles wissen. Tut mir leid, Wissensgesellschaft hin oder her, ich weiß nicht alles. Ich weiß nur wie und wo ich mir Wissen oder auch gefährliches Halbwissen aneignen kann. Nur habe ich leider nicht die Zeit und die Lust mich auf allen Gebieten so umfangreich zu informieren.

Was sind denn Deine Maßnahmen gegen Autodiebstahl - na - ne
Versicherung. Hast Du nen Kurs belegt, wie Du Dein Auto sonst
noch gegen Diebstahl sichern kannst?

Nein, aber dass ich eine Autoversicherung brauche hat man
einem in der Fahrschule gelernt. Also aus heiterem Himmel weiß
man das auch nicht und auch eine Versicherung abzuschließen
ist mit einem Zeitaufwand verbunden, da kommt auch keiner und
erledigt das für dich.

))) Ok, ich gebe zu, ich hab´ noch ne Kiste mit WIN98.

Toll… du vergleichst also ein 10 Jahre altes Betriebssystem
mit einem modernen Betriebssystem und wunderst dich nun, dass
es schwerer zu warten ist…???

Virenscanner findest du unter http://www.free-av.de

Na ja, ich habe mittlerweile gelernt, dass es nichts
kostenloses gibt (außer der Atemluft - noch). Alles muss
bezahlt werden und wenn es versteckt über irgendwelche
Hintertürchen ist.

Free-AV ist umsonst. Einzig nach dem Updaten der
Virusdefinitionen wird kurz ein Werbefenster eingeblendet,
damit kann man aber wohl leben.
Und BTW: Schon mal was von OpenSource-Software gehört?
www.openoffice.org - Für den Privatgebrauch ausreichend und
ohne Hintertürchen…

Doch habe ich. Nur bin ich nicht so naiv zu glauben, dass jemand für lau arbeitet. Auf irgendeine Art und Weise kommen auch die zu ihrer Kohle. Nur das unsereins zu unwissend ist um diese Hintertürchen zu finden.

Nochmal, es gibt nichts umsonst. Irgendwo hat irgendwer auf dieser Welt für ein Produkt gezahlt, auch wenn Du es für umme kriegst. So war es schon immer und so wird es auch bleiben.

mfg
decons

Gruß Jürgen

Und ich habe NULL Verständnis für Betriebssysteme, die heute
auf User losgelassen werden, die so unsicher gestrickt sind,
dass dieser ganze Hacker-, Trojaner- und Virensch… überhaupt
erst ermöglicht wird.

Man sollte solche Betriebssysteme erst gar nicht kaufen. So
einfach ist das.

Na so einfach ist das leider nicht. Bedauerlicherweise werden in unserer Geiz ist Geilgesellschaft schon immer die besseren oder zumindest vielversprechenden Entwicklungen durch das Verbraucherverhalten vom Markt verbannt. Ich erinnere nur an Amiga und Video 2000. Mac hatte bzw. hat auch heute noch schwer zu kämpfen.

Sorry, dass ich mich hier einmische, aber ich habe noch
weniger Verständnis dafür, dass immer die Opfer als die
Schuldigen hingestellt werden

Wer sind denn deiner Meinung nach die Opfer? Doch nur
diejenigen, deren Mailboxen voll Scheiße sind.

Nein. Für mich ist jeder ein Opfer, der gegen seinen Willen von einem anderen (Täter) angegriffen und geschädigt wird.

In meinen Augen
haben alle Teilnehmer an einem Netzwerk dafür zu sorgen, dass
sie mit einwandfreien Maschinen unterwegs sind. Das ist doch
nicht zuviel verlangt.

Wie lange ist Deine Maschine denn in einem einwandfreien Zustand. Doch nur solange, bis dein „Feind“ weiter aufgerüstet hat. Und wenn Du dann nicht nachrüstest bist Du angeschmiert. Äh - hatten wir so was nicht schon mal - überleg und kopfkratz.

Wenn das bedeutet, dass Windows-Anwender sich bis an die Zähne
bewaffnen müssen, dann müssen sie es eben machen.

Jawoll, wird gemacht!!! Ja Sir!

Alternativ
müssen sie auf Windows verzichten - ich würde es mit meinem
Mac nicht anders machen.

Das verlange ich auch von meinen Adminkollegen: entweder
kaputte Systeme reparieren oder sie anderweitig schützen oder
weg vom Netz.

und immer diese auch mit ihrer
Zeit und mit ihrem Geld dafür zu Sorgen, dass das Netz Viren-
und Trojanerfrei gehalten wird.

Tja. Ich kann das nicht unbedingt als Opfer sehen.

Ich denke es sollte mal richtig zum Chrash
kommen, in der Hoffnung das dann endlich Systeme entwickelt
werden, mit denen ich endlich arbeiten kann und nicht ständig
irgendwelche Systemupdates, Sicherheitsupdates, Virenscanner
und sonstigen was weiß ich noch Mist auf den Rechner holen
muss, was mich meine Kohle und Zeit kostet.

Solche Systeme gibt es. Seit Jahren. Ich weiß nicht, was du
willst.

Dann kann ich auch
endlich unbeschwert mit der Kiste ins Netz und mich wieder
meinen eigentlichen Hobbys widmen.

So wie ich.

Gruß,
Stefan

Gruß Jürgen

Aber grade beim Beispiel Sasser hat sich doch gezeigt, dass er
erfolgreich bekämpft werden konnte, und zwar ohne
Neuinstallation.

Willst du das nicht verstehen??
Natürlich kannst du Sasser entfernen. Aber wer sagt dir, ob Sasser der einzige Besucher auf deinem Rechner war??? Dein Rechner stand schließlich wochenlang mit einer bekannten und extrem gefährlichen Sicherheitslücke im Netz…

Denn das Beispiel Sasser zeigt v.a dieses:
12.04.2004 - Sicherheitsupdate für Windows XP (KB835732)
30.04.2004 - Sasser tritt zum ersten Mal auf

Mehr als zwei Wochen war bekannt, dass eine extrem kritische Lücke in Windows enthalten ist. Wer davon befallen war der sollte sich daher folgendes Fragen:
a) Wieso habe ich 18 Tage lang meinen Rechner nicht gepatcht?
b) Wieso ist mein Rechner überhaupt von außen erreichbar?

Und was ich nun über Vista lese - na ja, red ich nicht mehr
drüber.

a) Vista ist Sicherheitstechnisch XP überlegen.
b) Es soll auch noch andere Betriebssystem als die von Microsoft geben

Nochmal: Du musst dich nicht informieren. Das macht Windows XP
für dich automatisch. Du musst gar nichts machen.

Aha, dann versteh ich gar nicht wieso hier überhaupt Probleme
auftreten.

Weil Windows XP dies erst ab Service Pack 2 macht und viele Leute ihr XP seit der Erstinstallation noch nie oder kaum gepatcht haben… Außerdem gibt es Dinge wie eMail-Würmer, die sich nur Aufgrund der Dummheit der Leute verbreiten. Da hilft auch kein ausgefeiltes Sicherheitskonzept, wenn der User selbst den Wurm installiert…

Das Brett könnte dann ja geschlossen werden.

Wenn die Leute ihre Patches installieren würden und aufpassen, von wem sie welche Dateien öffnen, dann könnte man das vermutlich tun.

WIN XP macht alles automatisch, nur keiner weiß, was es wirklich
macht. Gratuliere.
Ich für mein Teil will schon wissen wer da was mit meinen
Daten macht, bzw. mit meinem Rechner!

Wenn du nicht weißt, wie das automatische Update geschieht, solltest du vielleicht nicht solchen Unsinn posten. Es macht gar keiner was mit deinem Rechner. Dein Rechner schaut auf nem Microsoft-Server nach, ob es neue Sicherheitsupdates gibt. Falls ja, frägt er dich, ob er diese runterladen soll oder tut das automatisch, falls du das so einstellst. Wenn die Patches heruntergeladen wurden, frägt er dich nochmal, ob er sie installieren soll. Oder tut dies ebenfalls automatisch, falls du das wünscht.

Und BTW: Schon mal was von OpenSource-Software gehört?
www.openoffice.org - Für den Privatgebrauch ausreichend und
ohne Hintertürchen…

Doch habe ich. Nur bin ich nicht so naiv zu glauben, dass
jemand für lau arbeitet. Auf irgendeine Art und Weise kommen
auch die zu ihrer Kohle. Nur das unsereins zu unwissend ist um
diese Hintertürchen zu finden.

Deine Ansichten dazu sind verständlich, nur leider falsch. 99% der OpenSource Entwickler bekommen überhaupt nichts für ihre Arbeit, sie machen das, weil sie das gut finden. Genauso wie du auch nichts bekommst, wenn du einen Wikipedia-Artikel schreibst.
Das verbleibende 1% der OpenSource-Entwickler sind Angestellte von großen Firmen, die dafür von ihrer Firma bezahlt werden. Diese Firmen unterstützen dies, weil sie durch die restliche unbezahlte Arbeit der 99% anderen Entwickler eine für sie nützliche Software bekommen. Deswegen bauen die aber weder Hintertürchen ein noch verlangen die irgendwo Kohle dafür. Auch ist es nicht so einfach, eine Hintertüre in OpenSource-Software einzubauen, denn der Quelltext liegt ja offen und die Gefahr ist dadurch hoch, dass deine Manipulation auffliegt, v.a. in den Teilen, die sicherheitskritisch sind.

Eines der sichersten oder vielleicht sogar das sicherste Betriebssystem der Welt ist ein OpenSource-Betriebssystem. Wieso glaubst du, ist das so?

Man sollte solche Betriebssysteme erst gar nicht kaufen. So
einfach ist das.

Na so einfach ist das leider nicht.

In meinen Augen ist das so einfach.

Bedauerlicherweise werden
in unserer Geiz ist Geilgesellschaft

Wer geizig gegen sich selbst sein will, dem ist nicht zu helfen.

Nein. Für mich ist jeder ein Opfer, der gegen seinen Willen
von einem anderen (Täter) angegriffen und geschädigt wird.

Es gibt doch nur drei Angriffsszenarien:

1. Ein offener Port wird attackiert. Entweder hält er dem Angriff stand oder nicht. Wobei sich in jedem Fall die Frage stellt, ob er offen sein muss, und wenn ja, ob man selbst die Fähigkeit hat, diesen Port angemessen zu überwachen und zu schützen. Man kann es sich also selbst aussuchen, ob man angegriffen und geschädigt werden will.

Ich würde mal vermuten, dass über 99% aller Anwender, die über einen Router an das Internet angebunden sind, sich um dieses Problem nicht zu kümmern brauchen.

2. Installation eines Trojanischen Pferdes. Tja, das installiert nun mal jeder selbst. Wer das Holzpferd reinlässt, ist ein Trojaner und muss die Zeche zahlen, haben wir bereits von Homer gelernt. Hier ist das vermeintliche Opfer also selber der Täter.

3. Einsatz nicht internetfähiger Software. Wer sich auf Schmuddelseiten herumtreiben oder jeden Link in seiner Mailbox nachverfolgen will, sollte dazu geeignete Software nehmen und nicht irgendwas. Hier liegt der Hund begraben, denn während andere Gerätschaften des täglichen Bedarfs mit Hinweisen versehen sind, was man damit machen darf und was nicht, ist der Windows Internet Explorer mit keiner Warnung versehen und vermittelt den Eindruck, als könne man ihn zum Surfen benutzen.

Hier hat der Hersteller mit einem Hinweis nachzubessern: „Dieses Programm nur starten, wenn der Rechner NICHT mit dem Internet verbunden (offline) ist.“

Natürlich könnten Anwender auch nach den Erfahrungen der letzten Jahre beschließen, dem Hersteller derartiger Software den Rücken zu drehen, aber die Leute würden Windows auch dann kaufen, wenn es ihr eigenes Leben bedrohen würde.

Wie lange ist Deine Maschine denn in einem einwandfreien
Zustand.

Keine Ahnung. Die letzten Jahre war sie es. Ich betreibe die Kiste hinter einem Router, benutze internetfähige Software (naja) und rüste sie mit aktuellen Patches nach. Damit lässt es sich prima auf Schmuddelseiten herumtreiben

Doch nur solange, bis dein „Feind“ weiter aufgerüstet
hat. Und wenn Du dann nicht nachrüstest bist Du angeschmiert.

So ist es leider.

Wenn das bedeutet, dass Windows-Anwender sich bis an die Zähne
bewaffnen müssen, dann müssen sie es eben machen.

Jawoll, wird gemacht!!! Ja Sir!

Guter Soldat

Gruß,
Stefan

Hallo Deconstruct,

Denn das Beispiel Sasser zeigt v.a dieses:
12.04.2004 - Sicherheitsupdate für Windows XP (KB835732)
30.04.2004 - Sasser tritt zum ersten Mal auf

Mehr als zwei Wochen war bekannt, dass eine extrem kritische
Lücke in Windows enthalten ist. Wer davon befallen war der
sollte sich daher folgendes Fragen:
a) Wieso habe ich 18 Tage lang meinen Rechner nicht gepatcht?
b) Wieso ist mein Rechner überhaupt von außen erreichbar?

Viel spannender ist ja, dass auch Win NT 4, Win 98, 98SE und ME betroffen waren.
http://www.microsoft.com/technet/security/bulletin/M…

Der Fehler war irgendwo in DCOM. Grob gesagt erlaubt DCOM die Verteilung von ActiveX-Elementen auf mehrere Rechner. Etwas was ein ONU gar nie benötigt !!

Selbst wenn man den Mechanismus im eigenen LAN benötigt, muss nur die Firewall (ich meine damit keine PFW) verhindern, dass das verwendete Port aus dem öffentlichen Netz erreichbar ist.
Bei meinem Netzwerk sind die Sasserangriffe schon in meinem DSL-Modem (mit einer eigenen Firewall) hängen geblieben und gar nie auf meinem LAN angekommen.

MfG Peter(TOO)

Hallo Seni,

ich habe den grössten Teil Deines Postings der Übersicht
halber hier gelöscht, er steht ja noch in voller Grösse einen
Schritt weiter oben

Ist OK. ich habe nur das stehen gelassen was ich direkt kommentiert habe, war halt etwas viel )

Wollte noch mal auf das Buffoverrun zurückkommen.
Danke für Dein einleuchtendes Beispiel.
Wie kann man es verhindern? Wenn ich recht verstanden habe,
trifft die Schuld den Programmierer, der eine Abfrage
‚vergessen‘ hat, die überprüft, ob die Variable oder der Array
in den Stack passt, primitiv ausgedrückt.

Genau. Man schaut gar nicht ob es passt, da es ja nach vereinbahrung passen muss. Wenns halt mal nicht passt, wirds trotzdem reingequetscht.

IMEER, wenn man Daten von jemandem übernimmt, sei das als Datei, Datenblock vom Netzwerk, oder auch eine Benutzereingabe, MUSS man überprüfen ob die Daten der Vereinbahrung entsprechen. Es gibt genügend Programme die einfach abstürzen, wenn man eine falsche Taste drückt. Die „Sasser-Lücke“ führte normalerweise einfach zu unerwarteten Abstürzen von Windows, wenn ein Programmierer versehentlich einen zu grossen Block versendet hat.

Gute Software zeichnet sich, unter anderem, dadurch aus, dass auch intern Daten auf Plausibilität geprüft werden und wenn die Daten sinnlos sind wird darauf reagiert und nicht einfach wild weitergerechnet !!
Solche Fehler führten auch zum Absturz einer Ariane.

Und nach Deinem Beispiel kann der User selbst, der ein solches
Programm mit einer offenen Hintertür benutzt, rein gar nichts
gegen Eindringlinge, die diese Tür ausnutzen tun? ich meine,
ausser den üblichen Schutzmassnahmen.

Es genügt den PC mit dem Internet, ohne eine Firewall, zu verbinden und XP, ohne den Patch, zu installieren. Ich kenne die aktuellen Statistiken nicht, aber bei Sasser lag die Wahrscheinlichkeit für eine Infektion bei einigen Minuten.
Viele haben ja noch eine alte XP-CD, also ohne SP oder mit SP1 !!!
Bis du die Patches nachgeladen und die gefährlichen Dienste abgestellt hast, hast du heutzutage schon „Besuch bekommen“. Aktuell liegt die durchschnittlice Zeit bei etwa 20 Sekunden bis zum „ersten Besuch“.

Um das System sicher neu aufzusetzen, benötigt man entweder einen Internetzugang welcher durch eine externe Firewall abgesichert ist oder man muss sich zuerst alle SPs und Patches herunterladen und auf CD brennen, dann Internet abstecken und das BS neu installieren. Dannach muss man zuerst die ganzen Patches und SPs installieren BEVOR man den PC mit dem Netzwerk verbindet.

Aber grade beim Beispiel Sasser hat sich doch gezeigt, dass er
erfolgreich bekämpft werden konnte, und zwar ohne
Neuinstallation. Ich meine nachdem Microsoft die Lücke endlich
durch ein Update geschlossen hattte. okok, ich will jetzt
nicht erneut darauf rumhacken, aber meine Meinung habe ich
trotzdem nicht geändert.

1. Sasser geistert IMMER noch im Netz rum !! Das zeigt, dass auch heute noch nicht alle PCs den Patch installiert haben.
2. Siehe die Antwort von Deconstruct. Zudem existieren heute zig Varianten von Sasser !!

Ich glaube, ich halte mich in Zukunft aus den
Malware-Diskussionen einfach raus (das hier war sowieso eine
Ausnahme) und überlass euch das Feld

Oooch, da hast doch selber geschrieben, dass du eine Menge gelernt hast. Und nur wenn du DEINE Meinung hier kundtust, erkennen wir WO du schlicht falsch liegst oder wo dir das Wissen um die Zusammenhänge fehlt. Leider ist auch viel falsches im Internet zu lesen und viel Falsches wird auch fleissig abgeschrieben.
Dadurch ergiebt sich heute die Situation, dass nur derjenige welcher die Information gar nicht mehr braucht, überhaupt erkennen kann welches die Falschmeldungen sind !!

Wenn du also weiter etwas lernen willst, schreib auch weiter zu dem Thema was )

MfG Peter(TOO)

Hi, deco

eigentlich hatte ich nicht vor, nochmal in diesen Board zu antworten, aber ich kann’s nicht lassen:

Willst du das nicht verstehen??

richtig, ich will es nicht verstehen, weil Deine Logik durchlöchert werden kann.

Natürlich kannst du Sasser entfernen. Aber wer sagt dir, ob
Sasser der einzige Besucher auf deinem Rechner war???
Dein Rechner stand schließlich wochenlang mit einer bekannten
und extrem gefährlichen Sicherheitslücke im Netz…

Denn das Beispiel Sasser zeigt v.a dieses:
12.04.2004 - Sicherheitsupdate für Windows XP (KB835732)
30.04.2004 - Sasser tritt zum ersten Mal auf

Mehr als zwei Wochen war bekannt, dass eine extrem kritische
Lücke in Windows enthalten ist. Wer davon befallen war der
sollte sich daher folgendes Fragen:
a) Wieso habe ich 18 Tage lang meinen Rechner nicht gepatcht?
b) Wieso ist mein Rechner überhaupt von außen erreichbar?

richtig. Die User, die nicht gepatcht hatten, waren selber Schuld, keine Frage. Und was war vor dem 12.4.2004? Die Sicherheitslücke bestand ja schon, sonst hätte Microsoft sie nicht mit Hilfe eines Sicherheitspatches geschlossen. Also stand der Rechner nicht wochen- sondern monate- oder jahrelang offen.
Und das gilt für jeden Sicherheitspatch: wenn eine Lücke geschlossen wird, muss sie ja wohl vorher offen gewesen sein.
Konsequenterweise musst Du bei jedem Sicherheitspatch Dein System neu aufspielen, denn irgendeine Malware hätte das ja vorher ausnutzen können.
Und die Backups Deiner Dateien kannst Du gleich wegschmeissen, sie können ja auch infiziert sein. Deshalb spreche ich von Paranoia.
Ok, die Diskussionen hier haben mir gezeigt, dass es unter gewissenen Umständen tatsächlich gescheiter ist, den PC platt zu machen.
Aber auf der anderen Seite haben sie gezeigt, dass es einen sichern PC nicht geben kann.
Mein PC war übrigens nicht vom Sasser-Virus getroffen, wenigstens bin ich konsequent in den Updates.

cu
Seni

Und was war vor dem 12.4.2004? Die
Sicherheitslücke bestand ja schon, sonst hätte Microsoft sie
nicht mit Hilfe eines Sicherheitspatches geschlossen. Also
stand der Rechner nicht wochen- sondern monate- oder jahrelang
offen.
Und das gilt für jeden Sicherheitspatch: wenn eine Lücke
geschlossen wird, muss sie ja wohl vorher offen gewesen sein.
Konsequenterweise musst Du bei jedem Sicherheitspatch Dein
System neu aufspielen, denn irgendeine Malware hätte das ja
vorher ausnutzen können.

Langsam werden deine Argumente lächerlich. Eine Lücke die nicht bekannt ist, kann auch nicht ausgenutzt werden. Natürlich kann auch ein einzelner Hacker eine solche Lücke entdecken und dies niemandem verraten. Aber die Gefahr, dass ein einzelner Angreifer aus zig-Millionen Computern gerade deinen auswählt, um sich auf diesem Weg daran zu vergreifen ist wie eine 6er im Lotto. Mit diesem Restrisiko kann man durchaus leben.

Da du den Leuten hier im Forum aber nicht glauben willst, hier ein paar Links und Zitate aus diversen Security-Seiten. Die Meinung ist hier ziemlich eindeutig und die Leute die das geschrieben haben sind mit Sicherheit auch keine Idioten, sonst würden sie nicht auf solch prominenten Seiten ihren Senf dazu geben:

HowTo Clean a compromised System - http://www.masternewmedia.org/news/2004/11/12/how_to…
„The only proper way to clean a compromised system is to flatten and rebuild it.“

Informatikdienst Universität Wien - http://www.univie.ac.at/comment/06-3/063_12.html
Es gibt also keine zuverlässige Möglichkeit, bereits im System laufende Kernelmode-Rootkits mittels Virenscanner zu finden. Die einzig sinnvolle Methode zur „Rettung“ eines derart aufgehackten PCs ist, ihn komplett neu aufzusetzen.

Microsoft Technet 2004 - http://www.microsoft.com/germany/technet/datenbank/a…
Die einzige Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen. So viel ist gewiss. Wenn Ihr System vollständig kompromittiert wurde, gibt es nur noch einen Weg: Systemfestplatte formatieren und System neu aufsetzen

ComSafe IT-Security FAQ - http://www.comsafe.de/faq.html
Ein einmal kompromittiertes System ist in der Regel als unsicher anzusehen. Deswegen ist eine Neuinstallation des Computersystems unter Einhaltung der zehn goldene Regeln dringend zu empfehlen.

Security Focus - http://www.securityfocus.com/infocus/1692
The reality, as any incident response expert can attest to, is that discovering all of the changes made to a cracked system is extremely difficult. Unless there is a file integrity checker such as Tripwire in place, it’s virtually impossible to guarantee a clean system. So a complete reinstall including a disk format is the safer choice.

Microsoft Sicherheitsverwaltung - http://www.microsoft.com/germany/technet/datenbank/a…
Sie installieren ein Rootkit, welches dafür sorgt, dass das System nicht länger vertrauenswürdig ist. Windows Explorer und Befehlszeile zeigen nicht mehr die Dateien an, die sich tatsächlich auf dem System befinden, der Registrierungseditor wird zum Lügner abgestempelt, Kontenverwaltungstools zeigen nicht alle Benutzer an. In diesem Stadium eines Eindringens können Sie sich nicht mehr darauf verlassen, dass das System reale Fakten über sich selbst mitteilt. Das ist der Punkt, an dem nur noch ein Weg offen steht: Festplatte formatieren und System neu aufsetzen.

Redhat Linux Security HowTo - http://www.tldp.org/HOWTO/Security-Quickstart-Redhat…
There is no sure fire way of doing this short of a complete re-install. There is no way to find with assurance all the modified files and backdoors that may have been left. Re-install from scratch, and reformat the drive during the installation (mke2fs) to make sure no remnants are hiding.

BlackSecurity - http://www.blacksec.org/content/view/24/36/
Die einzige sichere Möglichkeit ein kompromittiertes System wieder herzustellen ist es komplett platt zu machen und von Grund auf neu aufzubauen. Leider.

Hallo Decon,

Da du den Leuten hier im Forum aber nicht glauben willst, hier
ein paar Links und Zitate aus diversen Security-Seiten. Die
Meinung ist hier ziemlich eindeutig und die Leute die das
geschrieben haben sind mit Sicherheit auch keine Idioten,
sonst würden sie nicht auf solch prominenten Seiten ihren Senf
dazu geben:

das ist doch mal ein Angebot. Vielen Dank für die Links.
werde mir alle reinziehen, versprochen

cu
Seni

Hi, Decon

Da du den Leuten hier im Forum aber nicht glauben willst, hier
ein paar Links und Zitate aus diversen Security-Seiten.

Nun, ich bin von Natur aus misstrauisch, und noch nicht lange genug dabei, hier zwischen Experten, Pseudo-Experten und Mitläufer unterscheiden zu können.
Aber ich bin auch nicht so unflexibel, meine vorgefasste Meinung mit guten Argumenten nicht zu ändern.

Wenn man mal von den Microsoft-Experten absieht, die wohl so schreiben müssen (die können ja kaum Tipps geben, wie man Malware beseitigt, schon allein wegen der amerikansichen Rechtslage: ein falscher Tipp, und sie haben 1000e Klagen am Hals) gibts auf den Seiten, die Du mir gepostet hast, gute und nachvollziehbare
Erklärungen.
Betrachte mich also als bekehrt.

Die einzige sichere Möglichkeit ein kompromittiertes System
wieder herzustellen ist es komplett platt zu machen und von
Grund auf neu aufzubauen. Leider.

OK, habe ich jetzt begriffen

cu
Seni

Hallo Peter

danke Dir für Deine ausführlichen Erklärungen.
Du hast dazu beigetragen, zusammen mit den geposteten Links
von Decon, dass ich endlich kapiert habe, warum man ein
kopromittiertes System eigentlich nur noch platt machen kann.
Und ich habe mal wieder viel dazu gelernt

cu
Seni