Schutz vor Viren ade?

pfupfu

pfupfu

Dumpfbacke
Thread Starter
Mitglied seit
21.03.2003
Beiträge
1.941
Ort
an der A3
http://www.heise.de/newsticker/meldung/46634 schrieb:
Superwurm mit öffentlichem Quelltext

Phatbot ist der Nachfolger zu Agobot, ein Schädling mit äußerst komplexen Funktionen. Er kann Rechner übernehmen und für quasi beliebige Zwecke missbrauchen. Phatbot kann in fremde Rechner über bekannte Sicherheitslücken wie die Windows RPC-Lücke eindringen, um Systeme ohne Zutun des Anwenders zu infizieren, sofern keine entsprechenden Sicherheitspatches installiert sind. Besonders problematisch: Der Quellcode wurde über ein Web-Forum veröffentlicht und steht als öffentlicher Download zur Verfügung.

Im Grunde kombiniert Phatbot alle typischen Funktionen aus vergangenen Schädlingen: Er verbreitet sich nicht nur über herkömmliche Verbreitungswege wie Netzwerkfreigaben, sondern vermag ebenso nach Hintertüren von den Mail-Würmern MyDoom und Bagle sowie dem Trojaner-Toolkit Optix Pro zu suchen, um anfällige Rechner darüber zu infizieren. Über einen umfangreichen Befehlssatz können durch den Bot infizierte Systeme ferngesteuert werden. Dabei benutzt er ein dynamisch erweiterbares Modell, um Befehle zu registrieren. Sollten neue Exploits auftauchen, können die Bot-Instanzen diese automatisch nachladen und installieren.

Die Liste der Features von Phatbot ist nahezu unüberschaubar: Er kann automatisch CD-Keys von populären Spielen extrahieren oder als Drohne in einem IRC-Botnetz eingesetzt werden. Phatbot bringt dabei Rootkit-Funktionen für Windows mit (Process Hide), um seine Existenz zu verbergen. Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig. Schließlich können sich die einzelnen Clients in einem Peer-to-Peer-Netzwerk organisieren und den Verkehr SSL-verschlüsselt übertragen.

Die Antiviren-Hersteller sehen das Hauptproblem aber weniger in der Komplexität des Schädlings als vielmehr in der Verfügbarkeit des Quellcodes. "Wir müssen befürchten, dass sich bald jedes Script-Kiddie eine eigene Variante des Phatbots zusammenklicken kann", sagte Eric Chien, Leiter der europäischen Zentrale des Security Response Center von Symantec, gegenüber heise Security. Da der Bot gleich ein grafisches Konfigurationstool mitbringt, ist das auch für unerfahrene Anwender mit wenig Aufwand zu realisieren.

Die Gefahr ist mehr als nur theoretisch: Schon bevor der Quellcode verfügbar war, sind binnen Wochen über 200 Agobot-Varianten in freier Wildbahn aufgetaucht. Sophos beispielsweise führt 221 Agobot-Varianten in seiner Datenbank. Geht man nach den Varianten-Bezeichnungen von Trend Micro, die mittlerweile bei Agobot.ZX angekommen sind, gibt es bereits 675 registrierte Varianten. Aufgrund des offenen Quellcodes ist jetzt zu befürchten, dass neue Varianten noch schneller und häufiger auftauchen werden.

Der Quellcode von Phatbot wurde letzte Woche über ein öffentliches Web-Forum der Virenszene veröffentlicht -- zweifellos war das aber nicht im Sinne der Programmierer. Der Quellcode ist auch nicht ganz sauber, er wurde offenbar leicht abgeändert, um eine Out-of-the-Box-Funktion zu verhindern. Für findige Bastler sollte es aber kein Problem sein, den Bot voll funktionsfähig zu machen.

Virenscanner mit aktuellen Signaturen erkennen zwar auch die aktuell bekannten Agobot-Varianten, jedoch ist es mit dem Quellcode kein größeres Problem, Varianten in beliebiger Menge zu erstellen, die von den Scannern nicht erkannt werden -- welcher Virenscanner kann schon ein ganzes Programm zerlegen? (pab/c't)
Zum Vergrößern anklicken....

:eek: :eek: :eek:
man beachte den letzten absatz
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ach du heilige Schei*** dann ist kein Rechner mehr sicher..aber wie fängt man sich den Virus ein?? Hab keine Lust zu lesen :fresse:
 
wer verlässt sich denn schon auf virenscanner ?
eine gute firewall ist sicher besser, aber nichts ist 100% sicher
 
Deine Mudda is trusted. Wenn du weißt, wie solche Würmer/Trojaner etc. funktionieren, dann weißt du auch, wo und wie sie sich einnisten, und wie du sie aufspührst. Man darf halt nicht blind alles anklicken und runterladen, nicht den IE sowie Outlook benutzen, keine Sinnlosen Netzwerkfreigaben erteilen usw. usf. Hast du zum Beispiel eine dedizierte Firewall (evtl. auch Hardware), dann kannst du dich schon relativ glücklich schätzen, denn deren Infiltration geht nicht so einfach, wenn du den Code nicht darauf installierst. Allerdings bringen Firewalls auch kaum etwas, wenn der Trojaner sich als Systemdienst oder als Programm ausgibt, das Netzwerkberechtigungen besitzt. Wenn es z.B. auf Port 80 zugreift, dann kannst du fast nichts machen, es sei denn, dir ist es unwichtig, im Inet surfen zu können.
 
ich ahb den thread doch aufgemacht damit die leute nicht jeden scheiss anklicken
 
nein ich mein was anderes.

wenn die information eines solchen virus in nubkreise geraet, was ueber computer bild schnell geschieht, dann rennt doch jeder n4p in den laden und kauft sich gleich ein trustedcomputergeraet. das meine ich.
 
und ne firewall wird dir nicht viel bringen wenns ne software firewall ist.
habs selber erlebt, nicht bei mir sondern bei meinem bruder.
 
Auch eine Hardware Firewall wird versagen, wenn der Trojaner auf den Standardports aktiv ist.
 
Hmm ist wohl mal wieder daten sichern angesagt wollts eh mal machn hmm ne hunderter spindel cds dürfte reichn ach mist ich brauch endlich n dvd brenner :d
 
Revoltec748 schrieb:
Hmm ist wohl mal wieder daten sichern angesagt wollts eh mal machn hmm ne hunderter spindel cds dürfte reichn ach mist ich brauch endlich n dvd brenner :d
Zum Vergrößern anklicken....

toll und ich brauch ~60 DVD-Rohlinge um meine Daten zu sichern :eek: :haha:
 
Terminator schrieb:
toll und ich brauch ~60 DVD-Rohlinge um meine Daten zu sichern :eek: :haha:
Zum Vergrößern anklicken....


ich mein ja auch nur meine musik :fresse:
 
Hm, klingt ja wiedermal supi... und ich hab mich schon gewundert, warum letzte Woche so oft neue Signaturen kamen. Jetzt weiß ich's.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh