WinFuture-Forum.de: Virus ohne Datei - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Virus ohne Datei somit gegenwärtig vor Virenscannern sicher


#1 Mitglied ist offline   XiLeeN2004 

  • Gruppe: aktive Mitglieder
  • Beiträge: 580
  • Beigetreten: 16. Juni 04
  • Reputation: 50
  • Geschlecht:Männlich
  • Wohnort:Ahrensburg
  • Interessen:Aikidō (Godan), Schwimmen, Motorradfahren ('35er Indian Four, noch von meinem Vater), Dampfmodellbau, Kino

geschrieben 27. August 2014 - 12:04

Die Forscher von G DATA haben eine interessante Variante der Viren-Installation/Ausführung entdeckt, die gegenwärtig prinzipbedingt von Scannern nicht gefunden wird.

Hier im SecurityBlog von G DADA beschrieben, und von SemperVideo anschaulich erklärt.


Eingefügtes Bild
2

Anzeige



#2 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 27. August 2014 - 12:11

Da ham die mal ein richtig fieses Ding ausgegraben...

Wieder mal ein Argument mehr, nicht ohne Scriptblocker online zu gehen.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#3 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 29. August 2014 - 19:33

Danke für das Video. SemperVideo macht sehr gute Videos
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 29. August 2014 - 19:40

Keine Zeit und Lust auf Videos :ph34r: daher danke für den "Text"link.

Und ja, diese "virtuellen" Dateien (die nur im RAM existieren) mag ich auch nicht, bzw daß dafür die Möglichkeit geschaffen wurde (javascript: Protokoll, data: Protokoll, vermutlich andere). Damit öffnet man sowas Tür und Tor, und ehrlich gesagt bin ich grad ein bißchen erstaunt daß denen das "erst jetzt" einfällt.

*Aluhut auf* Vielleicht isses NDA abgelaufen. :ph34r:
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#5 Mitglied ist offline   XiLeeN2004 

  • Gruppe: aktive Mitglieder
  • Beiträge: 580
  • Beigetreten: 16. Juni 04
  • Reputation: 50
  • Geschlecht:Männlich
  • Wohnort:Ahrensburg
  • Interessen:Aikidō (Godan), Schwimmen, Motorradfahren ('35er Indian Four, noch von meinem Vater), Dampfmodellbau, Kino

geschrieben 30. August 2014 - 02:08

Was mich eher wundert ist, dass es noch immer keinen Registry-Editor gibt, der diese ungültigen/versteckten Einträge anzeigt. Wir hatten hier schon mal eine Diskussion in Bezug auf derartige Einträge, finde das aber ums Verrecken nicht wieder. Weiß auch nicht mehr, in welchem Zusammenhang, ist schon ne ganze Weile her...
Eingefügtes Bild
0

#6 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 30. August 2014 - 04:19

Das Problem gibt's aber auch schon, seitdem es das Reg-Export-Format 5 (=> Unicode-Unterstützung) gibt und das tut es seit Windows 2000.

Ob's einen Regeditor gibt... :unsure: Keine Ahnung. Muß ich passen. Hatte da bisher nicht so viele in der Hand. :lol:
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#7 Mitglied ist offline   ^L^ 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.103
  • Beigetreten: 06. Februar 07
  • Reputation: 101
  • Geschlecht:Männlich
  • Wohnort:inmeinerwelt.at
  • Interessen:''Herzliche'' Musik (Renaissance bis Heute) + Waldspaziergänge + Ruhe [o;

geschrieben 30. August 2014 - 06:44

TIPPS:
Registrar Registry Manager http://www.resplende...istrar_features
scheint mit versteckten Registry Einträgen umgehen zu können.
(scheinbar nur in der Kaufversion) http://www.resplende...strar_compchart

RegScanner http://www.nirsoft.n...regscanner.html
kann auch Hidden Registry Entries finden und löschen.

Registry Trash Keys Finder http://www.trashreg.com/rtkf_deu.html
hat scheinbar auch eine solche Option

Dieser Beitrag wurde von ^L^ bearbeitet: 30. August 2014 - 06:49

Gesundheitsbasis: (Ich) Mach' es wie die Sonnenuhr, zähl' die schönen Stunden nur ...

WinBoard-Forum | Dr. Windows | Denkforum
MullVad-Verbindungs-Check | Browser-User-Agent-Check | Trace-Route-Check
Windows-Tasten-Shortcuts | GSM-Handy-Codes | Browser-Privacy-Test
0

#8 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 30. August 2014 - 08:06

Theoretisch sollte es doch schon helfen wenn man sich selbst die Registry-(schreib)-rechte für den Autostart enzieht?!

Dieser Beitrag wurde von d4rkn3ss4ev3r bearbeitet: 30. August 2014 - 08:06

0

#9 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.293
  • Beigetreten: 08. April 06
  • Reputation: 887
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 30. August 2014 - 11:36

Jain Dark...

habe so bei einem bekannten versucht die ewigen durch sturrheit des Benutzers auflaufenden "uCash"-Infektionen zu unterbinden als die sich noch in den Autostart geschrieben haben...

Infektion trotzdem infiziert worden.

für die Registry:

Es braucht doch eigentlich DAFÜR nur ein aktives UAC und einen User der nicht einfach plump UAC-Adminanfragen bestätigt ;D
0

#10 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 30. August 2014 - 13:22

Hmm das irritiert mich dabei nur:

Once decoded, the stored code is a PowerShell script... By default, Microsoft Windows has protection to avoid the execution of unknown PowerShell scripts. If we try to execute a PowerShell script, we have the following error message...
The attackers circumvent this limitation by making Windows believe that the script runs in interactive mode of PowerShell. Therefore, the script can be executed without a user notification.


Also Powershell blockieren/ deinstallieren wäre wohl ein Workaround.
0

#11 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.293
  • Beigetreten: 08. April 06
  • Reputation: 887
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 30. August 2014 - 13:28

Darf ich daraus interpretieren, dass die - eigentlich geniale - Entwicklung von PowerShell ein Sicherheitsrisiko darstellt? :unsure:

ich verstehe allerdings dann nicht wieso sich dann (augenscheinlich) PowerShell jenseits des UAC bewegen kann (wenn ich das richtig interpretiere)
0

#12 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 30. August 2014 - 13:35

Das ist hier die Frage. Wurde PowerShell mit einem Testmodus- diesem interactive mode programmiert, oder ist das ein Bug in PowerShell.

Von der UAC sagt der Artikel nix. Muss wohl eine VM her um das mal nachzutesten.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0