Shark3 unter der Lupe

Dancho Danchev hat in seinem Weblog vor kurzem auf die Veröffentlichung einer neuen Version des „Remote Administrations Tools“ (RAT) Shark3 hingewiesen. Shark3 nennt sich zwar RAT, im Prinzip ist es aber nichts anderes als ein Tool, um einen Trojaner zu erstellen. Da können die Autoren beim Start des Hauptprogramms so oft auf die Eigenverantwortung hinweisen, wie sie wollen:

Shark3 bietet ein umfangreiches Konfigurations-Tool, um neue ausführbare Dateien zu erstellen, mit denen sich dann andere Computer in einen „Server“ verwandeln lassen – allerdings meist vermutlich nicht freiwillig, wie die Vielzahl an spezialisierten Optionen beweist. Diese „Server“ können dann von Shark3 aus kontrolliert werden. Read More …

Erfahrungsbericht: Panda Antivirus 2008 unter Vista

Der Test von Panda Antivirus 2008 auf einem Notebook mit Vista Ultimate ist nicht optimal verlaufen. Die Software gab leider mehrfach Anlass zu Kritik. Ein technisches Problem unter Vista liess sich mit Hilfe das Panda-Supports jedoch beheben.

Das Programm prüft vor der Installation den Arbeitsspeicher und hat gleich 28mal Spyware gefunden. Da erschrickt man doch etwas. Bei näherem Hinsehen entpuppt sich diese „Bedrohung“ jedoch als eine Handvoll Cookies.

Nach der Installation erfolgen beim ersten Start mehrere Fehlermeldungen. Zuerst „EAccess Violation“ und dann die Fehlermeldung, dass das Programm nicht starten könne.

Dabei läuft es ja eigentlich bereits, wie man an dem Panda-Icon unten rechts im System-Tray erkennen kann.

Aber es gibt noch mehr Kritikpunkte: Der Installer trägt Panda Antivirus ungefragt in die Schnellstart-Leiste unten links ein. Das ist zwar kein großes Problem, aber trotzdem lästig.

Um automatische Updates zu bekommen, fordert Panda den Kunden zu einer Registrierung im Web auf. Bei dieser Fragestunde will das Unternehmen einige Informationen. Nicht nur Name und E-Mail-Adresse sind Pflichtangaben, sondern auch Adresse und Telefonnummer. Wenigstens lässt sich die (natürlich vorausgewählte) Zusendung künftiger Werbe-Mails abwählen.

Wer sich jedoch nicht registrieren will, hat Pech gehabt. Mehrere Tage lang aktualisiert sich das Programm auch ohne Registrierung, aber dann ist Schluss.

Die Fehlermeldungen unter Vista konnten mit Hilfe des Panda-Supports behoben werden. Panda bietet das Analyse-Tool PS Info 2 an, dass man ausführen und das Ergebnisprotokoll zurück an das Unternehmen schicken soll. Das habe ich gemacht und die Antwort erhalten, dass auf dem Notebook eine veraltete Version des Dell Support Centers für die Fehler verantwortlich sei.

Der Support hat auch gleich einen Download-Link mitgeliefert. Das Dell Support Center lässt sich leider nicht direkt aktualisieren, man muss es zuerst deinstallieren und danach die aktuellere Version einspielen. Aber die Fehler wurden dadurch tatsächlich behoben. Panda Antivirus 2008 läuft jetzt bei mir auch unter Vista fehlerfrei.

Noch eine Anmerkung zu dem Analysetool: PS Info 2 erstellt ein verschlüsseltes Protokoll im PSZ-Format, das man dann per Mail zurück an Panda senden muss. Was in dieser Datei genau drinsteht, erfährt man leider nicht.

Übersicht über Antivirus-Removal-Tools (Update)

Im folgenden eine kleine Übersicht über Removal- beziehungsweise Cleaner-Tools, um installierte Antiviren-Programme auch wirklich loszuwerden:

Einsetzen sollte man diese Tools immer dann, wenn man von einem Antivirenprogramm zu einem anderen wechseln will. Ansonsten bleiben eventuell Reste der vorherigen Software übrig und das neue Programm läuft nicht korrekt.

Update: zweiten Norton-Link hinzugefügt.
Update 2: Uninstaller für Comodo Antivirus Beta 1.1 hinzugefügt.

Mikko Hyppönen über das Pingpong mit Virenautoren

Der finnische Antivirenhersteller F-Secure bietet den Kurs „Malware Analysis and Antivirus Technologies“ an der Helsinki University of Technology an, der Anfang Januar gestartet ist. An dem Unterricht nehmen erfahrene Virenexperten des Unternehmens teil. Im Zentrum steht die Analyse von Schadcode. Interessant sind die begleitenden Schulungsunterlagen, die zu dem Kurs veröffentlicht werden.

Der Chief Virus Researcher von F-Secure, Mikko Hyppönen, hat beispielsweise vor wenigen Tagen einen Kurs über das Thema „Fighting Crime online“ (PDF) gehalten. Darin ist er unter anderem auf das Pingpong zwischen Virenautoren, die einen neuen Trick zur Verbreitung ihrer Schädlinge finden und den gegen sie stehenden Unternehmen und Organsisationen, die darauf reagieren, eingegangen.

Angriff, Reaktion, Angriff, Reaktion:

Nach einem vergleichbaren Schema läuft es bei Spam ab. Die Versender lassen sich laufend neue Knifffe einfallen, auf die man dann in den Spam-Filtern reagieren muss:

32facher Virencheck mit Virustotal


Die Webseite Virustotal ist ein fast schon unverzichtbarer Helfer, wenn man sich vor Computerviren schützen will. Ich habe mir angewöhnt, jede Datei – egal ob ich sie per E-Mail oder per Download erhalten habe – von Virustotal scannen zu lassen, bevor ich sie ausführe.

Der spanische Online-Dienst prüft jede hochgeladene Datei mit Dutzenden unterschiedlichen Virenscannern (derzeit sind es 32, und es werden laufend mehr) und stellt die Ergebnisse übersichtlich in einer Tabelle dar (siehe nebenstehenden Screenshot).

Die Webseite bietet mittlerweile auch eine Shell-Extension für den Windows-Explorer an. Der Uploader integriert sich direkt in den Dateimanager, so dass man eine verdächtige Datei nur noch mit der rechten Maustaste anklicken und „Senden an, VirusTotal“ auswählen muss, um sie hochzuladen. Das Ergebnis wird dann wiederum in einem Browser-Fenster dargestellt.

Virustotal funktioniert so gut, dass der Dienst nicht nur von potenziellen Virenopfern, sondern auch von der Gegenseite, den Virenschreibern genutzt wird. Allerdings verteilt Virustotal die hochgeladenen Dateien an die Antiviren-Hersteller, damit diese ihre Signaturen erweitern können.

Findige Programmierer in ehemaligen Ostblock-Staaten bieten deshalb mittlerweile ähnliche Online-Dienste wie Virustotal an, die garantieren, die hochgeladenen Dateien – neue Testviren zum Beispiel – nicht weiterzuleiten. Im Gegensatz zu Virustotal sind diese Dienste dann allerdings kostenpflichtig und nicht im Sinne der Hersteller der verwendeten Antiviren-Programme.

Tipps zum Schutz gegen Keylogger

Wenn man beispielsweise im Urlaub in einem Internet-Café seine E-Mails lesen will, läuft man Gefahr, dass ein heimlich installierter Keylogger die Zugangsdaten mitschneidet. Ein einfacher, aber effektiver Trick dagegen ist es, beim Eingeben des Passworts zusätzliche Zeichen einzutippen. Im Keylogger-Protokoll steht so am Schluss nur ein sinnloser Zeichensalat.

Das geht so: Man ruft seine Webmail-Seite auf und tippt den Zugangsnamen ein. Dann wechselt man mit der Maus in die Adresszeile des Browsers und beginnt damit mehrere beliebige Buchstaben und Ziffern einzugeben. Mit der Maus wechselt man dann in das Passwort-Eingabefeld und tippt das erste richtige Zeichen ein. Danach wieder zurück ins Adressfeld und mehrere falsche Zeichen eingeben. Ab jetzt mehrmals hin- und herwechseln, bis das korrekte Passwort fertig ist.

Statt dem richtigen Passwort

geheim

steht danach im Keylogger-Protokoll nur zum Beispiel der folgende Wirrwarr

POg2Aefrh19edEiJm

Es ist nicht genau bekannt, was Keylogger heute schon alles aufzeichnen können. Aber man kann davon ausgehen, dass sie einen Wechsel des aktiven Programmfensters vermerken. Deswegen auch der Trick, im aktiven Browser-Fenster zu bleiben und nicht beispielsweise zu einem Text-Editor zu wechseln.

Möglicherweise speichert der Keylogger auch Mausklicks. Es ist deswegen wahrscheinlich sinnvoll, auch während der Eingabe der falschen Zeichen in der Adresszeile das eine oder andere Mal mit der Maus zu klicken.

Von einem anderen Trick, einzelne Buchstaben auf einer Webseite zu markieren und über die Zwischenablage in das Passwortfeld einzufügen, halte ich nicht viel. Das Überwachen der Zwischenablage dürfte für die meisten Keylogger kein Problem darstellen.

Eine alternative Schutzmöglichkeit sind eingeblendete virtuelle Tastaturen bei denen das Passwort aus einer (oft zufällig wechselnden Zusammenstellung) ausgewählt wird. Aber erstens bieten die wenigsten Web-Mailer vermutlich dieses Feature an und zweitens kann ein Keylogger auch einfach Screenshots der Klicks machen und abspeichern.

Zuletzt sollte man sich aber natürlich vor jeder Eingabe persönlicher Zugangsdaten an einem öffentlichen Computer fragen, ob das wirklich nötig ist? Selbst, wer „nur“ das Passwort zu seinem Mail-Konto aufs Spiel setzt, riskiert erheblichen Schaden, da in vielen Mailboxen wiederum Zugangsdaten zu weiteren Konten gespeichert sind. Von Online-Banking oder ähnlichem in einem Internet-Café sollte man sowieso immer absehen.

Testergebnisse Antiviren-Scanner Januar 2008

Andreas Marx von AV-Test.org hat die Signatur-basierte Erkennung aktueller Virenscanner getestet. Zum Einsatz kamen mehr als eine Million elektronischer Schädlinge der vergangenen sechs Monate. Die für Privatanwender kostenlosen Antiviren-Programme von Avira und Avast haben sich dabei mit Erfolgsquoten von 99,6 beziehungsweise 99,4 Prozent sehr gut geschlagen.

Außer ihnen haben nur noch das Antiviren-Bundle AVK 2008 von Gdata und ein Gateway-Scanner von Webwasher mehr als 99 Prozent Erkennung erreicht. Der Open-Source-Scanner ClamAV hinkte mit 77,3 Prozent Erkennung deutlich hinterher.

Hier die Ergebnisse im Detail, wie sie von Alex Eckelberry, Sunbelt Software, veröffentlicht wurden:

Download dieser Zahlen als PDF oder als Excel-Sheet.

Speicherfresser finden

Gelegentlich kommt es vor, dass der freie Platz auf der Festplatte immer weiter schrumpft, ohne dass der Anwender den Grund dafür kennt. Möglicherweise ist dafür ein heimlicher Schädling verantwortlich oder aber auch nur Programm wie Google Desktop, dessen Index immer weiter wächst und schon mal mehrere GByte Platz benötigt.

Wo die wirklichen Speicherfresser liegen, lässt sich leicht mit dem kostenlosen Tool Treesize Free 2.1 herausfinden. Das Programm scannt die Festplatte und zeigt den Platzverbrauch übersichtlich an:

Microsoft bittet um Kreditkarteninfos – Grund zum Nachdenken?

Man kann leider nicht mehr davon ausgehen, dass Cyber-Kriminelle schlampig vorgehen und man die von ihnen erstellten Betrügereien mit etwas Umsicht erkennen kann. Der Trojaner Kardphisher ist so gut gemacht, dass vermutlich viele Anwender auf ihn hereinfallen werden.

Nachdem Kardphisher einen PC infiziert hat, wird er nach einem Reboot aktiv. Der Trojaner deaktiviert den Task-Manager und blendet folgendes Bild ein:

Wenn der Anwender „No, I will do it later“ auswählt, fährt der Rechner anschließend ohne weitere Nachfrage herunter. Bei Auswahl von „Yes, activate Windows over the Internet now“ öffnet sich folgendes Fenster:

Alle Daten, die ein PC-Nutzer hier einträgt, werden an den Kardphisher-Autoren gesendet.

Symantec hat den Trojaner entdeckt und beschrieben. Auf der verlinkten Seite findet sich auch ein Youtube-Video, dass den Schädling in Aktion zeigt.

Virtuelle Maschinen: Weihwasser gegen Malware

Aus beruflichen Gründen arbeite ich täglich mit bzw. in einer virtuellen Maschine. Lenny Zeltser berichtet auf der SANS Homepage von einem weiteren Vorteil dieser Arbeitsweise: Drei von zwölf kürzlich in einem Honeypot gefangenen Schädlingen haben den Start in einer VM verweigert.

Virtual machine detection is a self-defensive property of many malware specimens. It is aimed at making it harder to examine the malicious program, because virtualization software, such as VMware, is a very popular tool among malware analysts.