Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

Verfolgung starten Optionen

Hier noch einmal eine Warnung an Alle bzgl. Sasser, vor alle

xafford / 34 Antworten / Flachansicht Nickles

Einige AV-Hersteller schreiben Sasser keine eigenen Schadfunktionen zu, das mag großteils stimmen. Allerdings gibt es einen unschönen Nebeneffekt.
Ich war gerade im Rechenzentrum zwecks Lagebesprechung und es gab interessante Informationen als bestätigung dessen, was ich in einem anderen Posting unten schon vermutet hatte:
Phatbot ist unterwegs und schleicht sich auch auf Sasser infizierte Rechner ein. Die (un)schöne nebenwirkung ist, daß Phatbot die Backdoor, die Sasser installiert in Form eines TFTP wieder schließt und Sasser unschädlich macht. In mehreren Studentenwohnheimen wurden Rechner untersucht, deren Besitzer nichts von einer Infektion merkten aus einem einfachen Grund:
Ursprünglich war eine erfolgreiche Sasser-Infektion. Wenn Sasser erfolgreich einen Rechner korrumpiert, so stürzt der LSASS-Dienst nicht ab, das passiert nur bei einer erfolglosen Infektion, wenn der Wurm den falschen Offset für den Exploit gewählt hat, da dieser bei 2000, XP und 2003 unterschiedlich liegt. Zielmlich direkt nach der Infektion schleuste sich ein Phatbot ein (der auch noch andere Einfallstore nutzt außer Backdoors von Sasser). Phatbot besietigte die Hintertür, es konnten keine weiteren Sasser-Angriffe mehr erfolgen, der User bemerkte also nichts von einer Infektion.
Also auch bei Leuten, die keinerlei Infektion bemerken und bei denen Stinger oder ihr Antivirentool nicht angeschlagen haben können nicht sicher sein, daß ihr System sauber ist, wenn sie den Patch von Microsoft nicht vor dem Wochenende eingespielt hatten.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Hi Xafford! Danke für die zusätzlichen Info s. Ich finde nämlich, dass ... stoffi
Hallo Stoffi, die Info ist auch recht neu, mir auch, wie gesagt, gerade ... xafford
Danke für die Infos xafford. Das klingt ja alles mehr nach rootkit als nach ... XPectIT
Ich finde auch, daß das Teil mehr nach Rootkit aussieht. In den Quellen ... xafford
Hallo Xaff ! Gibt mal bitte einen Link zum Sourcecode ! - repi REPI
LoL...Du weißt doch, Links zur eigenen Platte gehen nicht o ... xafford
PS: mail mich mal an... xafford
kleine Info zu Phatbot Gurus
kleine Info zu Phatbot Gurus
kleine Info zu Phatbot xafford
kleine Info zu Phatbot und Antivierenhersteller Gurus
Promicuous Mode ? Tut mir leid, falls das jetzt ne dumme Frage ist - aber ... stoffi
Normalerweise verwirft eine Netzwerkkarte alle Pakete, welche nicht für sie ... xafford
interessant interessant, manchmal, wie zum Beispiel jetzt, macht es echt ... Teletom
interessant interessant, manchmal, wie zum Beispiel jetzt, macht es echt ... Gurus
Irgendwie find ich das schon interessant, besonders die Milieu- Studien: ... Teletom
ja ich versteh Dich, die einen Arbeiten, die anderen haben Ahnung, die ... Gurus
Mal abgesehen von der Abenteuerschine: Gegen Sasser hilft eine einfache ... The Wasp
Hast Du dich im Thread verlaufen? xafford
Hilft eine DTFW gegen Sasser oder nicht? Wenn nicht, dann bitte eine ... The Wasp
Ist mir egal, ob eine DTF gegen Sasser hilft oder nicht, es hat schlicht und ... xafford
Lölchen Ich mag deine Postings gern lesen, weil sie nicht nur fachlich ... The Wasp
Ich finde wie gesagt schon, dass, wenn es nicht anders geht wie beim ... Teletom
Danke Teletom. The Wasp
Also ich habe noch von keinem Fall des Sasserbefalls gehört, wenn bei einer ... Teletom
@thewasp ein beispiel... blackice pc/server protection: der schädling kann ... GarfTermy
-IRON- The Wasp „Hilft eine DTFW gegen Sasser oder nicht? Wenn nicht, dann bitte eine Begründung.“
Optionen

ichichich *schnips schnips*

Vor der eigentlichen Antwort eine kleine Gegenfrage:
Glaubst du ernsthaft, dass angesichts der allgemein vorherrschenden positiven Meinung zu DTFWs all die vielen hunderttausend oder gar Millionen mit SASSER infizierten Rechner KEINE Desktopfirewall "drauf" hatten?

Nun die Antwort:
Nein, sie schützt nicht, denn ihr Schutz besteht darin, etwas im günstigsten Fall zu blockieren, was optimalerweise gar nicht blockiert werden müsste, da ja rechtzeitig gepatcht wurde.
Sie schützt nicht, da die große "Chance" besteht, dass der Anwender sie falsch konfiguriert oder die noch größere Chance, dass dies eine Malware (wie z.B. Gaobot) für ihn übernimmt.
Ihr Schutz ist nur unter besonders günstigen Bedingungen gegeben und schafft im Gegenzug so viele Möglichkeiten, diese Bedingungen zu verschlechtern (Scheinsicherheit->Unvorsichtigkeit, fehlerhafte Funktion, zusätzliche Lücken), dass dies schlicht zu unzuverlässig wäre, sie zu empfehlen.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
...ja iron. ja. die meisten dtfw sind eher schlecht. ja. und einige davon ... GarfTermy
Glaube ich ehrlich gesagt, kaum. Blaster hatte keiner meiner Kollegen, die ... The Wasp
Beim Blaster-Wurm konnte man ja dieses DCOM einfach deaktivieren. Kann man ... Plazebo
...Kann man den LSA-Dienst auch irgendwie abschalten oder geht sonst nichts ... GarfTermy
Abschalten geht leider nicht, dann wäre nicht einmal mehr eine Anmeldung am ... xafford
Wird wohl ein verbreitetes Phänomen xafford
Wird wohl ein verbreitetes Phänomen The Wasp