[HaBo]

EarthWorm

Anzeige

Hallo.

habe mit C# eine Anwendung geschrieben die
alle .dll's in c.\windows\system32 überschreibt und anschließend löscht.
Funktioniert zwar nicht bei allen .dlls aber nach dem neustarten kam die Fehlermeldung das einige dll's nicht mehr gefunden werden können.

Das ganze hab ich einfach mal zum Test gemacht wie einfach Windows angreifbar ist.

Gibt es eine Möglichkeit sich vor solchen Programmen zu schützen?
So ein Programm ist ja schnell geschrieben.

LG
Marco

xblax

Als Administrator oder als Benutzer?

nifelan

Wenn du Linux den Kernel unterm Hintern wegziehst, ists beim nächsten Start auch nicht sehr erfreut darüber - oder ein "rm -rf" tut auch gut

Ob man das Windows-System als eingeschränkter Nutzer überhaupt schrotten könnte ist jedoch eine andere Frage.

Wer irgendwelche dubiosen Skripts/Executables mit Adminrechten ausführt, ist soundso quasi selbst schuld. Eine Batchdatei mit "echo j | format c:" wäre da ein gutes Beispiel - und das liegt nicht an Windows selbst, dass das funktioniert (könnte man unter Linux genausogut machen)

acdc

Man könnte doch theoretisch in die Registry einen Autostart schlüssel eintragen, der auf auf einen Virus verweist. Sollte der Admin sich irgendwann einmal anmelden wird das System mit Adminrechten systematisch geschrottet.

Der Virus könnte sich auch als StandardOS in die boot.ini eintragen und beim nächsten Start die Festplatte formatieren.

(ich weiß nicht, ob das inzwischen gepatcht wurde aber) Windows sucht auch an anderen Orten nach explorer.exe (C:\ z.B.), dort könnte man auch seinen Virus hineinkopieren und das echte explorer.exe plus dll's löschen.

Fazit: es gibt TAUSENDE Möglischkeiten um ein Windows zu schrotten!


Wie man sich dagegen wehren kann?
Sein Antivirenprogramm/Sein Windows immer auf dem neuesten Stand halten und bei heruntergeladenen Programmen immer mistrauisch sein.

roadrunner1

Hallo EarthWorm



Jein, es kommt darauf an, aus welcher Perspektive man das betrachtet. Da Windows das meistbenutze OS ist, (> 90% aller Internet-Nutzer?) liegt es nahe, daß die meiste Malware hierfür bzw. *hier gegen* geschrieben wird, klar. Natürlich kann man auch argumentieren, daß Malware immer einen Weg findet.......aber in den meisten Fällen ist der User mittelbar oder unmittelbar daran beteiligt. Hier werden auch dann Deine weiteren Fragen beantwortet:



Eindeutig JA, das *Programm* heißt *brain.exe* und ist i. d. R. sehr effizient, sollte man meinen.


Leider sieht die Realität anders aus, da wird das OS nicht aktuell gehalten, mit alten Browser-Versionen gesurft, möglichst noch mit dem IE, auf File-Sharing-Seiten zugegriffen, Dateien/Programme ohne vorherige Prüfung installiert, und natürlich ist man auch als Admin unterwegs, damit Schädlinge bei erfolgreicher Installation das OS auf dem Silbertablett präsentiert bekommen.

Hieran kannst Du schon erkennen, wo der Knackpunkt liegt, wenn man all diese Dinge und noch ein paar mehr nicht beachtet, ist der Schädling schneller auf der Platte, als man gucken kann.


Verstehe mich bitte nicht falsch, aber es gibt definitiv einen Weg, sich nicht zu infizieren, hier ist er beschrieben:




Quelle: http://www.mathematik.uni-marburg.de...ompromise.html


Diesen Link solltest Du Dir zu Gemüte führen, ist sehr lehrreich, und wenn Du schon dabei bist, auch diesen:


http://www.mathematik.uni-marburg.de...c-removal.html

Quintessenz:


Du selbst bist dafür verantwortlich, daß keine Infektion stattfindet. Hierzu mußt Du u. a. die Dinge beachten, die ich oben anführte, und immer mit der nötigen Vorsicht unterwegs sein. Das Zauberwort heißt, Minimierung der Angriffsfläche und Wissen! Dein Verstand ist die stärkste Waffe im Kampf gegen Schädlinge! Je mehr Du lernst und Computerkompetenz bekommst, umso effektiver wirst Du Dich vor all den Bösewichtern schützen können.


Grüße

Harry Boeck

In Windows ist es unmöglich, irgendwelche ausführbaren Dateien oder Programmbibliotheken zu verändern.

Beziehungsweise solcherart Dateien, die man von außen auf sein System gebracht hat, auszuführen.

Beschreibe einmal, wie Dein System aufgebaut ist, daß bei Dir sowas möglich ist!
Wir können mit Sicherheit Tipps geben, was an Deinem System geändert werden muß, damit es gegen solche Programmierfehler (und vieles ernsthaftes mehr) geschützt ist.

Es ist sehr gut, daß Du Dich mit diesem Thema beschäftigst.
Falls Dir das Forum zu träge ist (wir steigen ja hier sicherlich auf einem sehr grundlegenden Niveau ein, wo Du definitiv mit jeder beantworteten Frage eine ganze Handvoll (oder mehr) neue Fragen aufwerfen wirst), kannst Du unter anderem folgende Einstiegspunkte zu diesem sehr wichtigen Thema verwenden:

(Oh je, wenn man mal aus dem Handgelenk geschüttelt ganz schnell ein paar GUTE Einsteiger-Links setzen will, ist das schon wieder gar nicht so trivial...)

Nach meinem derzeitigen Eindruck ist DAS HIER am nächsten an den Maßnahmen dran, mit denen ich üblicherweise Rechner dicht mache:

http://www.winfuture-forum.de/index.php?showtopic=76390

...Und: Es ist für Einsteiger geeignet.

Schon an dieser Stelle sollte es Dir unmöglich sein, das von Dir beschriebene Verhalten auslösen zu können.

Wenn Du damit durch bist:

http://www.ntsvcfg.de/

Damit sollte es auch "richtig" bösen Jungs sehr schwer geworden sein, das von Dir beschriebene Verhalten auslösen zu können.

Falls Du Dienste wie einen Webserver betreiben möchtest, mußt Du dann noch zwingend eine lange und gründliche Rundreise zum Beipiel hier im Hackerboard, noch besser allerdings mit Hilfe von Google oder ähnlichem machen, um jene über das Maß des üblichen Benutzers hinausgehenden Dinge korrekt zu betreiben.

----

Zugegeben: Microsoft ist noch meilenweit ab von einem System, das von der Installation weg sicher ist. Für DAU's haben sie den Versuch gemacht, mit Vista ein höheres Niveau an Restriktionen einzuführen. Dabei allerdings wieder übertrieben. Sie hätten NUR auf überflüssigen Schnickschnack verzichten brauchen. Und vielleicht MAL in die vielen Foren weltweit gucken müssen, in denen abertausende Admins in Jahren detailliert zusammengetragen haben, WIE man TATSÄCHLICH ein Windows sicher einrichtet und dennoch NICHT die Benutzer gängelt.

Dir bleibt also immer noch nichts anderes übrig, als Dich in die Materie hineinzulesen, WENN Du mit Deinem Windows gegen solche wie von Dir beschriebenen Trivialfehler gewappnet sein willst.

----

Was fehlt:

In dem Tutorial http://www.winfuture-forum.de/index.php?showtopic=76390
fehlt eine wichtige Angelegenheit: Das SINNVOLLE Anpassen (VERMINDERN!) von Zugriffsrechten im Dateisystem.

Das hat Gründe:
[list=1][*]Es ist mit recht viel Arbeit verbunden, wenn man es manuell macht.

Lösungsideen:

Eine Batchdatei verwenden, die sowas wie http://harryboeck.dyndns.org/verschi...pts/xcacls.vbs verwendet, um die Zugriffsrechte automatisiert zu setzen.

Dazu zum Beispiel sowas wie http://harryboeck.dyndns.org/verschi...pts/setacc.bat schreiben, damit man die Parameter etwas weniger kryptisch macht (so daß man seine eigenen Batchdateien auch noch nach Monaten oder Jahren versteht und anpassen kann).
[*]Man kann sich ein Benutzerkonto und auch sowas wie die automatischen Updates damit zunageln. Man muß halt wissen, was man tut. Das wird leider so bleiben, solange Microsoft hier nicht endlich eine gute Standard-Einstiegs-Konfiguration vorgibt.[/list=1]

Zum Anpassen der Zugriffsrechte im Dateisystem gehört:

• Schreibrechte für normale Benutzer global entfernen! Selektiv in genau den Verzeichnissen, in denen sie sein SOLLEN, wieder setzen!
• Ausführrechte für Dateien für normale Benutzer global entfernen! Selektiv in genau den Verzeichnissen, in denen sie sein SOLLEN, wieder setzen!

Dabei ist darauf zu achten, daß zwischen den beiden letztgenannten Punkten ein strenges XOR herrscht!

Zum Anpassen der Zugriffsrechte im Gerätesystem gehört:

• In der "Sicherheitsrichtlinie" / "Richtlinien für Softwareeinschränkung" einsetzen mit der standardmäßigen "Sicherheitsebene" = "nicht erlaubt" und "Zusätzliche Regeln" = alle selbst wie oben genannt konfigurierten NTFS-Laufwerke erlaubt, NICHT jedoch irgendwelche Wechseldatenträger!

----

Ansonsten ist das eingangs genannte Tutorial ziemlich vollständig.
Wenn Du die hier genannten Punkte umgesetzt hast (was EIGENTLICH seit fast 10 Jahren (seit seeligen Win NT 3 - Zeiten) die Aufgabe von Microsoft gewesen wäre), berichte nochmal, ob sich irgendein Programm bei Dir zu solch bösartigem Verhalten überreden läßt!

----

Ach ja, da wir gerade bei Thema sind:

Diese Zusammenstellung ist natürlich Welten von einem einsteigerfreundlichen Niveau entfernt. Und daher eigentlich unzumutbar. Das gilt leider für alles, was man zum Thema im Internet findet. DAU's sind damit aufgeschmissen.

Ich würde gern eine Initiative starten, so eine Art Batch-Sammlung zusammenzustellen, die genau auf die Absicherung eines Win XP oder Vista gerichtet ist und all das nachholt, was Microsoft vehement verweigert. Und dabei noch gerade so von DAU's benutzt werden kann, ohne daß diese sich damit ins Knie schießen.

Das ist naturgemäß im stillen Kämmerlein nicht möglich. Und auf meiner momentanen Arbeitsstelle hatte ich keine Arbeitszeit für diesen Zweck genehmigt bekommen.

Falls sich hier Interessenten finden sollten, wäre ich mit Begeisterung dabei.

2Bios

Man kann einfach als normaler Benutzer arbeiten
Das klappt unter Linux auch einwandfrei.

IsNull

schön wärs... mit einem Account der nur user rechte hat, teilweise nachvollziebar, als admin aber total falsch... und es sid praktisch alle Homeanwender mit admin Rechten unterwegs.

Auch die Windows File protection, die mache dlls und Systemdateien wiederherstellt, lässt sich umgehen.

Könntest du also deine Behauptung etwas näher umschreiben? Evtl. reden wir aneinander vorbei

Und, noch was zum überlegen:
Die Malware könnte man wie folgt auslegen:

Man scannt nach allen vorhandenen Autostarteinträgen die nicht vom System sind. Nun injectet die Malware Code in so eine vorhandene Exe(die man vorher durch die Autostarteinträge gefunden hat), und die Infektion ist absolut unsichtbar...

Harry Boeck

@IsNull:

Ja, das hast Du exakt richtig festgestellt. Ich würde es gern sehen, daß "EarthWorm" und der eine oder andere Einsteiger, der hier aufgrund der doch recht interessanten (wenn auch haarsträubenden) Behauptung reinguckt, wegen der ebenso - hoffentlich - interessanten und haarsträubenden Gegenbehauptung Interesse gewinnt und weiterliest...

Psycholgische Kriegsführung...

Der Aufwand, der DANN kommt, ehe man auf dem von mir behaupteten Niveau ankommt, ist schon ziemlich üppig. Ich selbst brauche trotz eingeschliffener Handlungsabläufe bei einem neuen Windows XP nicht unter zwei Stunden, bevor ich das Ding als zumutbar für das Versteckern mit dem Internet ansehe.

Aber es lohnt sich!

CDW

@topic:
ich kann Dir (zumindest bis Vista, diese Win-Version tue ich mir nicht so schnell an) mit Adminrechen ALLE Dateien überschreiben. Einfach CreateFile ("PhysicalDriveX") aufrufen und ein anschließendes WriteFile überschreibt direkt Daten auf dem Laufwerk, kümmert sich noch nichtmal um das Dateisystem oder ob etwas läuft (Windows-internes Filelocking). Danach hilft nur noch ein format x:, da auch das Dateisystem in die Mitleidenschaft gezogen wird.
Ohne Adminrechte sieht es schon wieder gaanz anders aus (auch was Registryzugriff angeht).
Allerdings, soweit ich mich erinnere, gibt es eine wesentliche "Design-Schwäche" in Windows: GUI Modul ist mit im Kernel. Dadurch sind auch imho erst viele "makeMeRoot" Angriffe möglich. Auch die Kommunikation durch Nachrichten lässt sich nicht wirklich filtern (auch wenn die "SecuritySuits" mittlerweile da verstärkt ansetzen). Von der "schlecht konfigurierten" Defaultinstallation möchte ich gar nicht sprechen.
Aber letztendlich (bevor wir mit windowsbashing anfanfangen ): RootKit Begriff kommt ja auch ursprünglich von den Linuxern.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

IsNull

OT/
Die Ironie habe ich irgendwie verpasst - konnte nicht ahnen, dass du auf (Psycholgischem) Kriegspfad warst...
/OT
@CDW:

Interessant. Angenommen, eine Datei lässt sich nicht mehr löschen, (wer kennt das unter Win nicht ), ist es dann möglich, sie mit diesem direkten HD Zugriff (So direkt ist der ja auch wieder nicht, er läuft ja über die API ? ) diese Problemdateien zu löschen?

Ist das der Weg, den auch diese FileUnlocker Tools benützen?


Gruss
IsNull

BlackSun1102

Du kennst ja sicherlich die Dateifunktionen, die CDW genannt hat. Nun bekommst du von CreateFile ein Handle,
das eben auf die komplette Festplatte als Datei "zeigt". Nun kannst du ja, wie bereits gesagt, dort lesen und schreiben.
Wenn du die Structs von NTFS kennen und dann gezielt die MFT manipulieren würdest, hast du den gewünschten Effekt.

Die Unlocker (die ich kenne) suchen einfach das Programm, das die Datei reserviert hat und beenden dieses,
oder verwenden dieses Automatische Dateiverschieben von Windows (heißt glaube ich "Pend Moves")

Gruß Chris

Thalon

Unlocker kann auch den Dateizugriff auf die Datei selbst lösen ohne das zugreifende Programm zu killen. Funktioniert bestens

Thalon

CDW

Wie BlackSun schon gesagt hat: du bekommst einen "RAW" Zugriff. Um die Datei auf diesem Wege zu löschen, müsste man schon die NTFS Tabelle manipulieren. Und das wäre mir persönlich zu anstrengend und zu heikel
Bei den Unlockern kommt mir nur die Funktion von ProcessExplorer in den Sinn: Handle zu dem Dateinamen suchen und "Zwangsschließen". Damit bekomme ich übrigens bis jetzt jede Datei gelöscht, da meistens der Explorer selbst der Schuldige ist (bzw. diverse Vorschaufunktionen)

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

IsNull

Ach so. Ok, wenn man natürlich dann auf ein nicht dokumentiertes FileSystem zugreifen muss, stelle ich mir dies auch nicht all zu einfach vor... Schrotten könnte man das Systm damit, aber produktiv was damit anfangen wohl eher nicht...

Das bedeutet dann, dass der Prozess, der die Datei verwendete, diese Datei dann nicht mehr lesen bez. beschreiben kann, aber der Prozess ansich bestehen bleibt, oder?

Wenn der Prozess danach in das vermeintlich geöffnete datastream handle schreiben möchte bez. davon lesen möchte, gäbe es aber trotzdem einen Crash, oder? Von daher ist das closen des Prozesses vielleicht doch die sauberste Variante.


Danke mal soweit für eure Erklährungen

ps:
Das waren jetzt blos ein paar Gedanken von mir, also das ganze nicht als "es ist so" ansehen