Sub-Seven?

Johannes_b81aed · 7. Mai 2001 um 09:13

Ich habe eine Mail mit Dateianhang bekommen,
als jpg-Datei getarnt. Beim anklicken passierte
scheinbar nichts, es lief unter Win98 allerdings
hinterher ein Prozess msrexe.exe. Beim durchsehen
dieser Datei mit einem Hex-Editor stieß ich
auf die Bezeichnung „Sub-Seven“ . Ich habe den
neuesten McAfee-Scanner laufen, hätte der mich nicht
warnen müssen?

Uschi_ecad58 · 7. Mai 2001 um 09:22

oh je…
Hallo Johannes,

da hast du dir einen Trojaner eingefangen (

Hier gibt es Infos dazu:
http://www.trojaner-info.de/news/subseven_schaden.shtml

Gruß
Uschi

Johannes_b81aed · 7. Mai 2001 um 09:28

ja, aber . . .
vielen Dank erstmal für die Antwort.
Was ein Trojaner ist, weiß ich.
Daß man keine unbekannten Dateianhänge öffnet,
jaja, ich weiß.
Meine Frage war, warum ein aktueller Virenscanner
keine Reaktion zeigt auf so eine Datei.

Uschi_ecad58 · 7. Mai 2001 um 09:46

tja, wenn ich das so genau wüsste…
Ich spreche nur aus Erfahrung (mir hatte jemand vor einem Jahr etwa „Back Orifice“ auf meinen PC eingeschleust und mein Viren-Scanner hat das damals auch nicht verhindern können).

Oft sind die Viren und Trojaner der „Abwehr-Software“ immer einen Schritt voraus (

Ich halte es seitdem so, dass ich von unbekannten Absendern überhaupt keine emails mehr öffne und Anhänge schon gleich gar nicht. Das hilft dir natürlich jetzt auch nicht weiter, leider (

Gruß
Uschi

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Markus_Bradtke · 7. Mai 2001 um 11:46

Hallo Johannes!

Virenscanner suchen lediglich nach einigen vermeindlich charakteristische Merkmalen in einer Datei. Dies können im einfachsten Fall Zeichenketten sein. Ist hier offenbar nicht der Fall, da „SubSeven“ ja vorkam, aber nicht detektiert wurde.

Alternativ kann der Scanner einen für die SubSeven-Version charakteristischen Teil des Maschinencodes suchen. Auch hier ist es jedoch möglich den Scanner zu täuschen. Der Quellcode für SubSeven ist frei verfügbar. Das eröffnet alle Möglichkeiten der „Anpassung“.

Ein Virenscanner ist nicht wirklich in der Lage, die Funktionalität eines Programms zu identifizieren. Mit Hilfe einer Heuristik kann höchstens eine Aussage gemacht werden, ob verdächtige Code-Fragmente vorliegen, z.B. Code, der dafür sorgt, daß ein Programm nicht im Taskmanager erscheint, etc…

CU
Markus

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Anonym · 7. Mai 2001 um 20:18

Meine Frage war, warum ein aktueller Virenscanner
keine Reaktion zeigt auf so eine Datei.

…weil du keinen Virenscanner sondern eben nur „McAfee“ hast. Der ist nicht ernst zu nehmen. Steht SubSeven nicht auf der black list des Programms, kann es auch nichts damit anfangen, mag es noch so aktuell sein. Btw: NetBus würde McAfee auch nicht erkennen…
Weiterhin viel Freude am Entdecken von Trojanern

Taurus

P.S. Installiere dir eine Testversion von AVP und du wirst den Unterschied merken
http://www.kaspersky.com/de

Anonym · 7. Mai 2001 um 21:20

vielen Dank erstmal für die Antwort.
Was ein Trojaner ist, weiß ich.
Daß man keine unbekannten Dateianhänge öffnet,
jaja, ich weiß.
Meine Frage war, warum ein aktueller Virenscanner
keine Reaktion zeigt auf so eine Datei.

tja, wenn ich das so genau wüsste…
Ich spreche nur aus Erfahrung (mir hatte jemand vor einem
Jahr etwa „Back Orifice“ auf meinen PC eingeschleust und mein
Viren-Scanner hat das damals auch nicht verhindern können).

Ich moechte auch mal was dazu beitragen.
Ein Virenscanner ist absolut nicht in der Lage, einen
Trojaner als solchen zu identifizieren.
Er soll ja auch nach Viren scannen. Gegen Trojaner
solltest du dich anders absichern.
Mein Vorschlag :

a) eine Firewall ist ein MUSS … aber die hast du ja, oder ?
b) Ein wachsames Auge auf alles was Verbindungen ins Netz will.
c) Mehr Misstrauen Fremden gegenueber.
d) Lerne deine Feinde kennen

Greets

Caspar_e37385 · 8. Mai 2001 um 12:06

Hallo,

hier gibt es eine recht ordentliche Firewall vom Team das auch ATGuard entwickelt hat.
http://www.tinysoftware.com/germany/

Hier ein Trojaner Forum.
http://www.trojaner-board.de/

Hier sehr gute Infos, Anleitungen und Downloadmöglichkeiten.
http://www.it-secure-x.net/

Grüße

Xanadu · 8. Mai 2001 um 14:08

Bei mir hat f-prot schon mal ein paar installierte Trojaner gefunden und gelöscht.

Die kostenlose DOS-Version (läuft auch unter Win98/NT) gibts bei http://www.complex.is

Anonym · 8. Mai 2001 um 20:20

Bei mir hat f-prot schon mal ein paar installierte Trojaner
gefunden und gelöscht.

Mein McAfee auch, aber es werden nur alte und schwer bekannte
Trojaner endeckt.
F-prot ist gut. Sollte man kennen.
Vielleicht teste ich den jetzt auch mal, der McAfee ist
nicht so dolle…
Mit der Suchmethode von Vscannern kann man, glaube ich,
nur bereits bekannte Merkmale erkennen.

greets

Sebastian · 8. Mai 2001 um 21:10

a) eine Firewall ist ein MUSS

Schützt wirklich. Aber schnell installieren. Ab besten drei oder vier. Und auf „ganz sicher“ klicken. Und wenn das eine Programmdings dann nicht geht, den "Sicher-Regler wieder 'runterdrehen.

Sebastian

_{Sarkasmus? Wo?}

Anonym · 8. Mai 2001 um 21:59

Hi Sebastian.

Schützt wirklich.

So ist es.

Aber schnell installieren.

So ist es.

Ab besten drei oder vier.

So sprach der DAU.

Und auf „ganz sicher“ klicken.

So ist es.

Und wenn das eine Programmdings dann nicht geht, den "Sicher-:Regler wieder runterdrehen.

Lieber wieder hier was ins Forum reinposten.

_{Sackasmus? Wo?}

Anonym · 9. Mai 2001 um 09:44

VITA: Paranoider Securityspezialist der im Geheimen
in einer Alianz mit den Borg an der Weltherrschaft arbeitet.

Was ist bitte ein/eine Borg?

ein ratloser Mousehunter

Anonym · 9. Mai 2001 um 11:56

Hi Mousehunter.

Die Borg … Das Kollektiv …
kein Star Treck - Fan ? Voyager ?

Na, man muss die Borg ja auch nicht kennen.

Also :

Der Name „Borg“ ist die Kurzfassung von Cyborg. D.h. soviel wie kybernetischer Organismus (Zusammenstellung von organischen Lebensformen und Maschine). Und genau das trifft auf die Borg zu, die Drohnen der Borg sind mit Verbesserungen der Maschinenwelt ausgestattete Lebensformen. Die Verbesserungen des Organismus eines Borg (einer Drohne) wird allgemein als Implantat bezeichnet. Ein Implantat erhöht die Effektivität einer einzelnen Drohne deutlich.

Siehe auch :

http://std.krawall.de/borg/html/1024/index.shtml

greets

Xanadu · 10. Mai 2001 um 10:25

Mein McAfee auch, aber es werden nur alte und schwer bekannte
Trojaner endeckt.

Sub-Seven und Back-Oriffice sind da auch schon Standardangriffe geworden, die sollte eigentlich jeder gute Virenscannder finden können.

Das gute daran ist, daß diese Programme anhand ihres Codes leicht identifiziert werden können. Denn eigentlich kann man sie auch als „Viren“ bezeichnen, die von Hand weiterverbreitet werden und eine (etwas andere) Schadensfunktion besitzen.

F-prot ist gut. Sollte man kennen.
Mit der Suchmethode von Vscannern kann man, glaube ich,
nur bereits bekannte Merkmale erkennen.

Naja, es gibt auch die heuristische Suche, die nach für Viren typischem Code suchen soll. Damit werden auch noch unbekannte Viren gefunden, allerdings gibt es auch häufig Fehlalarme, so daß der Nutzen dieser Suche doch sehr beschräkt ist.

Tino · 14. Mai 2001 um 15:14

SubSeven gibt´s in einer neuen Version (2.2 glaub ich) - die kann noch nicht jeder Scanner erkennen.