Viren, Malware und Ansichten dazu...

[AHT]

Mmmmh...
Der eine denkt, er könne durch einen Blick auf den ProcessMonitor laufende Malware erkennen, der andere denkt, RootKit-Scanner wie GMER, der RootKit-Scanner von AntiVir oder RootkitRevealer scannen wirklich nach aktuellen Bedrohungen und der nächste glaubt, wenn Professor XY mal wieder die ultimative Methode gefunden hat, ein RootKit zu programmieren, wäre das etwas, was nicht um 100.000 km an der Wirklichkeit vorbeigeht und Bezug zur Realität hätte.

Aber - sollte man wirklkich die Techniken, die Malware nutzt diskutieren und öffentlich darlegen? Sollte man Gefährdungen öffentlich darlegen und dann aufzeigen, wie einfach Malware unsichtbar im Hintergrund laufen kann und Daten vielleicht unbemerkt an der Firewall vorbeischleust?
Würde man damit nicht viel eher die falschen Leute auf destruktive Ideen bringen, als das man damit hilft, Gefährdungen zu erkennen und zu beseitigen??? Was meint ihr (Mehrfachauswahl ist möglich)?

[markusg]

Meinst du denn nicht, dass diese leute die techniken bereits kennen?

[AHT]

Zitat:

Zitat von markusg

Meinst du denn nicht, dass diese leute die techniken bereits kennen?

Manche werden noch nicht verwendet und sind sehr einfach anzuwenden - werden also in Zukunft kommen.
Erst mal auf manche Ideen zu kommen ist schwieriger, als diese anzuwenden, denn dazu muss Wissen vorhanden sein, das nicht jeder unbedingt hat.

[markusg]

Ja, ich denke auch, das liegt daran, das einige Malware einfach nur auf Massenanfertigung programiert wird. Je spezieller eine Malware sein soll, oder schwerer zu entdecken, desto ausgeklügelter werden die Mechanissmen gewählt umd die Erkennung zu erschweren.

[AHT]

Zitat:

Zitat von markusg

Ja, ich denke auch, das liegt daran, das einige Malware einfach nur auf Massenanfertigung programiert wird.

Wer Malware schreiben will, muss kein Experte sein - und ist das in der Regel auch nicht.

Zitat:

Zitat von markusg

Je spezieller eine Malware sein soll, oder schwerer zu entdecken, desto ausgeklügelter werden die Mechanissmen gewählt umd die Erkennung zu erschweren.

Im Augenblick ist es gar nicht nötig, besonders einfallsreich zu werden. Um das, was heute an Malware-Techniken verwendet wird, kümmern sich (die teilweise schon unter Windows2000 entwickelten) RootKit-Scanner gar nicht.

[markusg]

Hallo,
auf welche Techniken beziehst du dich und auf welche scanner, die direct code injektion wahrscheinlich. und welche noch?

[WhiteKnight]

Information und Aufklärung ist sicherlich nicht verkehrt. Panikmache und übertriebene Schwarzmalerei (ohne das hier unterstellen zu wollen) sollte vermieden werden. Auch sollte es kein Lehrgang zum bauen von Malware werden.

Fallbeispiele sollten daher aufklären, aber nicht zum nachmachen anleiten.

Letztlich sollte das ganze auch dem Normaluser auf eine verständliche Art und Weise die Gefahr aufzeigen die das Internet mit sich bringt, wenn man schon einfachste Absicherungen vernachlässigt.

Die Unzuverlässigkeit von Virenscannern, ist sicherlich auch ein Thema was angesprochen werden sollte. Wie leicht sich diese austricksen lassen, kann man sicherlich gut darstellen.

Eines ist wohl jedem klar, den perfekten Schutz gibt es sowieso nicht.

[Frabbing]

Das ist sicher.

Andreas ist sicher auch niemand, der bedenkenlos Anleitungen zu Bau von Malware & Co gibt. Im Gegenteil.

[AHT]

Zitat:

Zitat von WhiteKnight

Information und Aufklärung ist sicherlich nicht verkehrt. Panikmache und übertriebene Schwarzmalerei (ohne das hier unterstellen zu wollen) sollte vermieden werden. Auch sollte es kein Lehrgang zum bauen von Malware werden.

Fallbeispiele sollten daher aufklären, aber nicht zum nachmachen anleiten.

Letztlich sollte das ganze auch dem Normaluser auf eine verständliche Art und Weise die Gefahr aufzeigen die das Internet mit sich bringt, wenn man schon einfachste Absicherungen vernachlässigt.

Die Unzuverlässigkeit von Virenscannern, ist sicherlich auch ein Thema was angesprochen werden sollte. Wie leicht sich diese austricksen lassen, kann man sicherlich gut darstellen.

Eines ist wohl jedem klar, den perfekten Schutz gibt es sowieso nicht.

"Schwarzmalen" möchte ich auf keinen Fall - es ist aber so, dass die vorhandenen Scantechniken an der aktuellen Situation vorbeigehen - so "schwarz" ist das zur Zeit aber noch gar nicht.
Ich würde sogar sagen, vieles ist mit sehr einfachen Techniken recht wirkungsvoll aufzudecken - denn die, die Viren schreiben, sind in der Regel keine Experten.

Auch wenn ich den ein oder anderen ganz gerne mal etwas heftig schütteln würde, halte ich es für sehr gefährlich, zu viel von Techniken preiszugeben, die Malware nutzt, denn:

a) Mir persönlich reicht ein einfaches Demoprogramm ohne Quelltext in der Regel aus, um daraus auf die verwendete Technik zu schließen - wie also das Verstecken dort funktioniert...

b) Quelltexte können auch von Personen genutzt werden, die im Prinzip keine Ahnung von dem haben, was sie da tun...

c) Das Auseinandernehmen einer speziellen Technik reicht für Leute, die etwas programmieren können, in der Regel aus, um eigenen Code zu schreiben...

Wegen a) veröffentliche ich generell keine Malware-Simmulationsprogramme, die Techniken nutzen, für die ich selbst kein Gegenmittel weiß (also keins programmiert habe).
Wegen b) veröffentliche ich generell keine Quelltexte, die die Wirkungsweise von Malware demonstriert.
Wegen c) passe ich auf, das mir nicht zu viel über das herausrutscht, was vielleicht noch möglich wäre.

Über manches sollte man vielleicht den Mund verschließen - oder jedenfalls nicht öffentlich reden. Das ist meine Meinung.

Zitat:

Hallo,
auf welche Techniken beziehst du dich und auf welche scanner, die direct code injektion wahrscheinlich. und welche noch?

Die Scanner stehen etwas weiter oben - das kann man aber, denke ich, noch endlos weiter ausdehnen. Wenn es nur um das gehen würde, was zur Zeit unter "direct code injektion" läuft, hätte ich den Thread hier gar nicht angefangen. Mir sind vor einigen Jahren einige Sachen durch den Kopf gegange - Hirngespinnste eben. Das, was ich damals nur vermutet habe, ist jetzt zum Teil schon real. Ich möchte ganz gerne für "den Rest" passende Gegenmittel haben, bevor auch der real wird - diese "Gegenmittel" also ganz gerne selbst oder mit anderen zusammen schreiben. Im Augenblick fehlt es mir da aber noch an "Ideenreichtum".

[WhiteKnight]

Nun dann sind ja einer Meinung. Dann freue ich mich in Zukunft hier noch mehr hochinteressantes lesen zu dürfen.

[AHT]

Zitat:

Zitat von WhiteKnight

Dann freue ich mich in Zukunft hier noch mehr hochinteressantes lesen zu dürfen.

Dieser Thread hier hat schon was bewirkt - die wirklich interessanten Sachen laufen aber zur Zeit im Hintergrund ab (und das ist auch gut so).

[AHT]

Zitat:

Zitat von WhiteKnight

Dann freue ich mich in Zukunft hier noch mehr hochinteressantes lesen zu dürfen.

Ich hätte noch etwas sehr interessantes für dich persönlich. Leere bitte deinen PM-Kasten, damit ich es dir zuschicken kann.

[WhiteKnight]

dann mach mal

[AHT]

Zitat:

Zitat von WhiteKnight

dann mach mal

Erledigt. Das "Szenario" könnte man noch etwas erweitern - da mir für diese "Erweiterung" aber noch ein "Gegenmittel" fehlt, werde ich, auch dir gegenüber, nicht weiter darauf eingehen - diese "Erweiterung" wird zur Zeit meines Erachtens nach auch noch nicht verwendet, da schon der Rest von Standardsoftware nicht erkannt wird.

[AHT]

PS: Ein Demoprogramm, das dieses "Szenario" zum Teil simmulieren kann, ist in dieser Software enthalten.