Layerd Service Provider DLLs - versteckter Irrsinn

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Wahnsinn... Bin immer wieder begeistert über die Leute hier...

      Gegen Alternate Data Streams (also Dateien, die sich hinter anderen Dateien verstecken) gibt es was auf technet von Mark Russinovich, einem der Obergurus von M$. Wobei ich zugeben muß, daß nicht alle Anwendungen schlecht sind, z.B. das Zonenkonzept (Sichere Zone und Internet Zone), wo so eine Datei bewirkt, daß wenigstens rückgefragt wird, ob von Unsicherer in Sichere Zone verschoben werden darf, oder wo der Start von bestimmten Programmen erst mal blockiert wird.

      Aber wer tut jetzt was gegen diese "Layered Service Provider (LSP)" DLL Hooks im TCP/UDP/RAW/NETBIOS-tauglichen WinSock 2.0 Stack?

      EDIT: Ich experimentiere dazu grad mit dem Kommando Netsh rum, in der Hoffnung daß dort die LSP auflistbar sein werden...

      EDIT 2: Sind sie. Der Befehl lautet im Dos-Fenster:
      netsh winsock show catalog > C:\LSP.TXT

      Die eingehakten DLL sind anschließend im C:\-Verzeichnis unter LSP.TXT abgespeichert.
      Jetzt gehts mal ans analysieren...

      EDIT 3: OH GRAUS: 10 mal Einträge mit dem Titel "Mehrschicht-Dienstanbieter": TCP-SPY via TCP, via UDP, via NETBIOS, via... alles was Gott verboten hat. Na super. Und was jetzt?

      EDIT 4: Die Anbieterkennung (das Zeug in {................}, sowas heißt glaub ich GUID ) hab ich mal gegoogelt. Einige Sachen scheinen "koscher", z.B. Spybot-Search & Destroy, siehe Forum. Viele andere sind aber leider nicht aufzufinden... Jetzt komm ich ins grübeln: Via netsh rauslöschen oder nicht?

      EDIT 5: Offenbar kann HijackThis solche unbekannten Stack-Hooks erkennen! (Was für ein saublöder Name für ein Sicherheitstool: "Entführe das da!" - da glaubt man ja eher an Malware!)
      Ein Eintrag im obigen Forum zeigte nämlich folgende "HiJackthis"-Analyse:
      O10 - Unknown file in Winsock LSP: e:\progra~1\tcpspy~1\tcpspylsp.dll

      Mal sehen, ob der das auch bei mir findet - und ob er was dagegen tun kann...
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • p. specht;701460 schrieb:

      Gegen Alternate Data Streams (als Dateien, die sich hinter anderen Dateien verstecken) gibt es was auf technet von Mark Russinovich, einem der Obergurus von M$.

      Mark Russinovich hat Ahnung, wobei sich aber sehr gerne die Leute, die Viren schreiben, auf bekannte Tools "einschießen" - wäre bei ihm nicht das erste mal.
      Sicherer ist immer, für sich selbst was zusätzliches zu schreiben - damit bin ich bislang am besten gefahren.

      p. specht;701460 schrieb:

      Aber wer tut jetzt was gegen diese "Layerd Service Provider DLL" Hooks im TCP-Socket 2.0 Stack?

      Warum nicht du?
      Mein Interessengebiet ist das zur Zeit leider nicht - mir sagen da eher die ADS zu - da werde ich mal schauen. Danke für den Link!
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • So, schon droht der nächste Wahnsinn:

      Das NTFS-Filesystem versteckt eigene Verwaltungdaten vor der Windows API.
      Manche Malware, insbesondere Rootkits, nutzen dieses Versteck, um von dort aus genüsslich weiß Gott was alles zu treiben.

      Im System "Windows Server 2003" gibt es regulär z.B. folgende unsichtbare Dateien

      $AttrDef
      $BadClus
      $BadClus:$Bad
      $BitMap
      $Boot
      $LogFile
      $Mft
      $MftMirr
      $Secure
      $UpCase
      $Volume
      $Extend
      $Extend\$Reparse
      $Extend\$ObjId
      $Extend\$UsnJrnl
      $Extend\$UsnJrnl:$Max
      $Extend\$Quota

      Der Zugriff auf solche Dateien ist nicht erlaubt ("Access denied").
      Es braucht daher spezielle Software, um unbekannte Dateien dort aufzuspüren, zum Beispiel den Rootkit-Revealer von Russinovich, downloadbar von sysinternals/rootkit revealer.

      "Na servas", wie man bei uns in Wien zu solchen Zuständen sagt...
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • p. specht;701479 schrieb:

      So, schon droht der nächste Wahnsinn:

      Das NTFS-Filesystem versteckt eigene Verwaltungdaten vor der Windows API.
      Manche Malware, insbesondere Rootkits, nutzen dieses Versteck, um von dort aus genüsslich weiß Gott was alles zu treiben.

      Im System "Windows Server 2003" gibt es regulär z.B. folgende unsichtbare Dateien

      $AttrDef
      $BadClus
      $BadClus:$Bad
      $BitMap
      $Boot
      $LogFile
      $Mft
      $MftMirr
      $Secure
      $UpCase
      $Volume
      $Extend
      $Extend\$Reparse
      $Extend\$ObjId
      $Extend\$UsnJrnl
      $Extend\$UsnJrnl:$Max
      $Extend\$Quota

      Der Zugriff auf solche Dateien ist nicht erlaubt ("Access denied").
      Es braucht daher spezielle Software, um unbekannte Dateien dort aufzuspüren, zum Beispiel den Rootkit-Revealer von Russinovich, downloadbar von sysinternals/rootkit revealer.

      "Na servas", wie man bei uns in Wien zu solchen Zuständen sagt...

      Das der RootKit Revealer schon älter ist, sieht man daran, wie Mark es im System Account startet :lol:.
      Das, was dort untersucht wird, ist ja nur die Platte. :-D
      Habe mit einem von meinen Tools etwas gefunden, was mich im Augenblick viel mehr beunruhigt, da ich die Ursache noch nicht kenne :lupe:.
      [IMG:http://www.postimage.org/Pq1GJAJJ.jpg]
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Da wäre selbst die Queen "not amused"... Wo könnte man ansetzen, um herauszubekommen welches Programm die svchost gestartet hat und welches sie verwendet? Ist mir schon lange ein Dorn im Auge, daß Microsoft hier Dinge versteckt.

      Bin übrigens endlich draufgekommen, woher die TCP-Spy Layered Service Provider (LSP) Hooks kommen:
      VOR 5 JAHREN hab ich mal kurze Zeit mit dem Programm "tcpviewer", Quelle:westbrooksoftware.com/tdownloa.aspx herumexperimentiert, weil ich damals einen Chatserver betrieben habe und mich gegen mögliche Angriffe schützen wollte. Ich war also selbst der jenige, der sich diese Läuse reingesetzt hat! Man soll eben nicht blöd auf Dinge klicken, ohne zu wissen was da eigentlich wirklich abläuft.

      Gruss

      P.S.: Dieser informative Artikel zu möglichen Virenverstecken zeigt auch gleich Abhilfemöglichkeiten.
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • AHT;701490 schrieb:


      Habe mit einem von meinen Tools etwas gefunden, was mich im Augenblick viel mehr beunruhigt, da ich die Ursache noch nicht kenne :lupe:.

      Mmmh... die sehen aus, wie System DLLs, konnte die bislang aber nicht identifizieren. Hätte jetzt gerne mal Leute mit Vista, die mal bei sich nachschauen, ob da auch so was rumfleucht.:lupe:
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Nicht uninteressant ein gecachter Artikel von Frank Ziemann, MSN Deutschland: Was SVCHOST normalerweise alles startet. Da baldige Löschung droht, hier nochmal der Text:

      [Zit.] "Ist Ihnen beim Analysieren mit Tcpview eine verdächtige Verbindung aufgefallen, die vom Prozess Svchost.exe ausgeht, dann handelt es sich wahrscheinlich nur um die automatischen Updates von Windows. Sie sollten sich trotzdem vergewissern: Die Svchost.exe ist ein Host-Prozess für Windows-Dienste (Service Host Process). Das bedeutet, dieser Prozess lädt und verwaltet alle wesentlichen Windows-Dienste. Aus diesem Grund laufen meist auch mehrere Instanzen parallel. Welche Dienste hinter einer Instanz von Svchost stecken, die eine Netzwerkverbindung aufgebaut hat, zeigt Ihnen ebenfalls der Process-Explorer. Klicken Sie im Tool mit der rechten Maustaste auf den Eintrag mit der entsprechenden Prozess-ID, und wählen Sie "Properties". Wenn Sie dann die Registerkarte "Services" öffnen, finden Sie eine Liste mit allen verwalteten Diensten. Kommt in der ersten Spalte der Liste der Eintrag "wuauserv" vor, bestätigt sich die Vermutung, dass es sich nur um die automatischen Updates handelt. Andernfalls können Sie unter pcwelt-wiki.de/wiki/Kategorie:Dienste eine Beschreibung zu allen anderen Diensten in der Liste finden. Klicken Sie dazu auf unserer Web-Seite einfach auf die Links mit den entsprechenden Namen der Dienste, die im Process Explorer in der Spalte "Display Name" stehen. Sollten Sie hier keine Beschreibung finden, handelt es sich nicht um einen standardmäßigen Windows-Dienst, und Sie sollten Verdacht schöpfen. Einen verdächtigen Dienst können Sie über die Schaltfläche "Stop" im Process Explorer anhalten." [Zit.Ende]

      Details zu den Diensten: Systemdienste
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • Also wieder nix... *Grusel*

      Hätte jetzt gerne mal Leute mit Vista, die mal bei sich nachschauen, ob da auch so was rumfleucht.
      Kannichnich dienen mit, derzeit. Also, Vistatoren bitte melden...
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • Da scheint Vista selbst Aktionen mit einem RootKit zu verstecken - irgendwelche Scansachen.
      Die TQUERY.DLL ist was für Suchfunktionen, die nimmt auch der WindowsExplorer unter Vista. Sind alles DLLs, die Windows intern verwendet - nichts für API Programmierung. Ich war doch erst etwas erschroken, als mir mein "RootKit-Tool" in einem svchost Prozess versteckte DLLs meldete. :-D

      Hab dann mit TNT den Speicher ausgelesen und mir daraufhin die DLL Namen extrahiert.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • p. specht;702126 schrieb:

      Na ob das jetzt "Entwarnung" bedeutet? Ich bezweifle es...

      Ich schaue da noch mal genauer. Sieht für mich im Augenblick nach irgendeinem "Integritätstest" aus. Werden diese DLLs wirklich ausgeführt und stehen dort in svchost nicht nur als "toter Code", wäre folgender Grund der wahrscheinlichste:
      Eine DLL, die offiziell nicht geladen ist, kann man nicht so leicht hooken - erst recht nicht wenn diese DLL, wie die System-DLLs unter Vista, nach jedem Reboot ihre Ladeadresse ändern.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Nochmal zum ProcessExplorer:
      Wenn man sich später mal das Programm ansieht, woran Horst Horn zur Zeit arbeitet, wird vielleicht klar, das man sich bei manchen Sachen nicht unbedingt auf das verlassen sollte, was der ProcessExplorer einem an Infos über einen Prozess zurückliefert (die sind eventuell manchmal nicht so ganz korrekt), sondern da lieber das Proggie von Horst zusätzlich nehmen sollte... :lol: :top:
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT;702260 schrieb:

      Nochmal zum ProcessExplorer:
      Wenn man sich später mal das Programm ansieht, woran Horst Horn zur Zeit arbeitet, wird vielleicht klar, das man sich bei manchen Sachen nicht unbedingt auf das verlassen sollte, was der ProcessExplorer einem an Infos über einen Prozess zurückliefert (die sind eventuell manchmal nicht so ganz korrekt), sondern da lieber das Proggie von Horst zusätzlich nehmen sollte... :lol: :top:

      Siehe auch hier. Wie gesagt, die Tatsache, dass es diese Sicherheitslücke gibt, wird demnächst durch das Proggie von Horst behoben. :-)
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT