[HaBo]

Robum

Anzeige

Am Beispiel von Sony BMG und dem XCP Kopierschutz ist mal wieder erkennbar, dass
wirtschaftliche Interessen vor Sicherheit gehen. siehe: http://www.heise.de/newsticker/meldung/65688

Schlimm nur, dass anscheinend alle bekannten Antivrirenhersteller involviert oder
teils angewiesen waren, dieses Rootkit mit all seinen Funktionen zum verstecken
von: Dateien, Verzeichnissen, Registry-Schlüsseln und Prozessen, zu ignorieren.

Schlimmer noch ist der Vertrauensbruch zwischen dem Anwender und den Anbietern
sogenannter Sicherheitssoftware.
Wer weiß heute wirklich noch genau, was welche Software, welche Betriebsystemdatei
wirklich macht (Bsp. Tunneln)
Wenn man sich auf die sog. Sicherheitssoftware wie: Firewall, Virenscanner, Portblocker etc. verläßt, ist man anscheinend verlassen.

Das das von First4 Internet gefertigte Rootkit Rechner zum Absturz bringen kann
unter: http://www.heise.de/security/news/meldung/65602 beschrieben, ist nicht nur ärgerlich, zumal eine Analyse für den Grund des Absturzes wohl schwer fallen wird.
Falls man den Treiber jedoch entdeckt und es schafft diesen zu deinstallieren, kann es
passieren, dass anschließend das CD/DVD-Laufwerk nicht mehr ansprechbar ist.

Auf jeden Fall ist der Anwender der gelackmeierte.

Egal ob staatliche Institution, Wirtschaftsverband, Untenehmen oder Hacker, wenn dieses Beispiel Schule macht, hat man demnächst wenn PC's Rundfunkgebührenpflichtig werden vielleicht ein Rootkit von der GEZ zu erwarten, eins vom Finanzamt und so weiter.

Eine wirkliche Lösung für dieses Problem scheint nocht nicht in Sicht. Bis dahin behelfe ich mir mit dem RootkitRevealer von www.sysinternals.com
und einem gelegentlichen Boot von einer Linux-Live-CD, um mir bei Verdacht auf Rootkits zumindest die versteckten Dateien anzeigen lassen zu können.

Habt ihr weitere oder bessere Infos und Lösungen zum Thema Rootkits ?

The Dude

http://www.linuxiso.org/
http://www.freebsd.org/
http://www.openbsd.org/
http://www.netbsd.org/

live free or don't.

ivegotmail

quelle? den artikeln, die ich bisher zu dem thema gelesen habe, konnte ich das jedenfalls nicht entnehmen.

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

Robum

Steht doch im Text des obersten Link:
Sony BMG verteilt die Aktualisierung an die einschlägigen Antivirenhersteller, die darauf basierend ebenfalls diesen zweifelhaften Mechanismus deaktivieren sollen.

ivegotmail

jo da steht dass das update von first4internet, welches das rootkit deaktivert an die antiviren hersteller weitergegeben wurde, damit diese ihre antiviren software erweitern, so dass sie das rootkit erkennen und entfernen können.

das was du geschrieben hast, steht da ganz und gar nicht.

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

Robum

jo stimmt, sorry (danke für den Hinweis)

Aber ob die kommenden bzw. aktualisierten Virenscanner die Funktionen von dem XCP Kopierschutz komplett deaktivieren können und die zusätzlich installierten Dateien durch so ein Rootkit auch werden löschen können, bleibt dann wohl abzuwarten.
Da ja auch Systemtreiber betroffen sind wird eine Reinigung des Systems wohl kaum 100prozentig sein, ohne das ein System instabil wird.

+++ATH0

CloakWin versteckt nun auch sich selber (als Datei) und ist sogar auch gegenüber RootkitRevealer unsichtbar

*scnr* aka: Sorry, ich konnte einfach nicht anders .

Wie wäre es denn, wenn ihr mal nicht die ganze Zeit mit dem Administrator-Account arbeitet und ihr euch mal um Software Restriction Policies kümmert?

Sony BMG

Sehr geehrter Herr +++ATH0,
ihr CloakWin Programm hat das Interesse unseres Unternehmes geweckt. Derzeit arbeiten wir mit Hochdruck an neuen Technologien, welche unseren Konsumenten den Genuss unseres Entertainmentangebots einfacher und komfortabler macht.
Aus diesem Grund sind wir ständig auf der Suche nach kompetenten und innovativen Mitarbeitern.
Bei Interesse schicken Sie bitte ein aussagekräftige Bewerbung an Arne.Wurzelkasten@germany.sonybmg.com
Weitere Innitiativbewerbungen sind ausdrücklich erwünscht.

mit freundlichen Grüßen
Arne Wurzelkasten - Sony BMG Entertainment Group

ghostdog

Au weia Arne,
da scheint euer Server echt nen Problem zu haben, aber ist ja kein Ding. Du bist im HaBo, hier werden sie geholfen

war wohl ein erde-revival.

__________________
Die neuen Desire Z und Desire HD Smartphones

sheepd

Dann verlinke ich doch mal den sehr guten Artikel von SysInternals, wo Mark Russinovich in Detektivarbeit das Rootkit tötet:
http://www.sysinternals.com/blog/200...al-rights.html

+++ATH0

Huch. Also wenn das ernst gemeint ist, dann sorry. Ich denk erst gar nicht dran.
CloakWin wird als PoC (Proof of Concept), wenn es ausgereift genug ist, OpenSource und nichts weiter.

odigo

brav, so ists richtig

__________________
[HaBo] @ Facebook - Gefällt mir!

Sony BMG

OpenSource wäre prima. Bitte benachrichtigen Sie uns sobald Sie Ihre Arbeit vollendet haben.
Dann haben alle etwas davon!

+++ATH0

Und ganz bestimmt nicht mit einer Lizenz, die es ihnen erlauben wird es mit ihren Produkten zu benutzen.

BTW. Könntest du dich bitte mal entfaken. Irgendwie glaub ich das nicht so wirklich.

ivegotmail

lol ok, ich entfake mich mal. aber schön dass du trotz des namens "Wurzelkasten" noch drauf angesprungen bist.

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net