Die Forscher von G DATA haben eine interessante Variante der Viren-Installation/Ausführung entdeckt, die gegenwärtig prinzipbedingt von Scannern nicht gefunden wird.
Hier im SecurityBlog von G DADA beschrieben, und von SemperVideo anschaulich erklärt.
Seite 1 von 1
Virus ohne Datei somit gegenwärtig vor Virenscannern sicher
Anzeige
#2
geschrieben 27. August 2014 - 12:11
Da ham die mal ein richtig fieses Ding ausgegraben...
Wieder mal ein Argument mehr, nicht ohne Scriptblocker online zu gehen.
Wieder mal ein Argument mehr, nicht ohne Scriptblocker online zu gehen.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#3 _d4rkn3ss4ev3r_
geschrieben 29. August 2014 - 19:33
Danke für das Video. SemperVideo macht sehr gute Videos
#4
geschrieben 29. August 2014 - 19:40
Keine Zeit und Lust auf Videos daher danke für den "Text"link.
Und ja, diese "virtuellen" Dateien (die nur im RAM existieren) mag ich auch nicht, bzw daß dafür die Möglichkeit geschaffen wurde (javascript: Protokoll, data: Protokoll, vermutlich andere). Damit öffnet man sowas Tür und Tor, und ehrlich gesagt bin ich grad ein bißchen erstaunt daß denen das "erst jetzt" einfällt.
*Aluhut auf* Vielleicht isses NDA abgelaufen.
Und ja, diese "virtuellen" Dateien (die nur im RAM existieren) mag ich auch nicht, bzw daß dafür die Möglichkeit geschaffen wurde (javascript: Protokoll, data: Protokoll, vermutlich andere). Damit öffnet man sowas Tür und Tor, und ehrlich gesagt bin ich grad ein bißchen erstaunt daß denen das "erst jetzt" einfällt.
*Aluhut auf* Vielleicht isses NDA abgelaufen.
#5
geschrieben 30. August 2014 - 02:08
Was mich eher wundert ist, dass es noch immer keinen Registry-Editor gibt, der diese ungültigen/versteckten Einträge anzeigt. Wir hatten hier schon mal eine Diskussion in Bezug auf derartige Einträge, finde das aber ums Verrecken nicht wieder. Weiß auch nicht mehr, in welchem Zusammenhang, ist schon ne ganze Weile her...
#6
geschrieben 30. August 2014 - 04:19
Das Problem gibt's aber auch schon, seitdem es das Reg-Export-Format 5 (=> Unicode-Unterstützung) gibt und das tut es seit Windows 2000.
Ob's einen Regeditor gibt... Keine Ahnung. Muß ich passen. Hatte da bisher nicht so viele in der Hand.
Ob's einen Regeditor gibt... Keine Ahnung. Muß ich passen. Hatte da bisher nicht so viele in der Hand.
#7
geschrieben 30. August 2014 - 06:44
TIPPS:
Registrar Registry Manager http://www.resplende...istrar_features
scheint mit versteckten Registry Einträgen umgehen zu können.
(scheinbar nur in der Kaufversion) http://www.resplende...strar_compchart
RegScanner http://www.nirsoft.n...regscanner.html
kann auch Hidden Registry Entries finden und löschen.
Registry Trash Keys Finder http://www.trashreg.com/rtkf_deu.html
hat scheinbar auch eine solche Option
Registrar Registry Manager http://www.resplende...istrar_features
scheint mit versteckten Registry Einträgen umgehen zu können.
(scheinbar nur in der Kaufversion) http://www.resplende...strar_compchart
RegScanner http://www.nirsoft.n...regscanner.html
kann auch Hidden Registry Entries finden und löschen.
Registry Trash Keys Finder http://www.trashreg.com/rtkf_deu.html
hat scheinbar auch eine solche Option
Dieser Beitrag wurde von ^L^ bearbeitet: 30. August 2014 - 06:49
Gesundheitsbasis: (Ich) Mach' es wie die Sonnenuhr, zähl' die schönen Stunden nur ...
WinBoard-Forum | Dr. Windows | Denkforum
MullVad-Verbindungs-Check | Browser-User-Agent-Check | Trace-Route-Check
Windows-Tasten-Shortcuts | GSM-Handy-Codes | Browser-Privacy-Test
WinBoard-Forum | Dr. Windows | Denkforum
MullVad-Verbindungs-Check | Browser-User-Agent-Check | Trace-Route-Check
Windows-Tasten-Shortcuts | GSM-Handy-Codes | Browser-Privacy-Test
#8 _d4rkn3ss4ev3r_
geschrieben 30. August 2014 - 08:06
Theoretisch sollte es doch schon helfen wenn man sich selbst die Registry-(schreib)-rechte für den Autostart enzieht?!
Dieser Beitrag wurde von d4rkn3ss4ev3r bearbeitet: 30. August 2014 - 08:06
#9
geschrieben 30. August 2014 - 11:36
Jain Dark...
habe so bei einem bekannten versucht die ewigen durch sturrheit des Benutzers auflaufenden "uCash"-Infektionen zu unterbinden als die sich noch in den Autostart geschrieben haben...
Infektion trotzdem infiziert worden.
für die Registry:
Es braucht doch eigentlich DAFÜR nur ein aktives UAC und einen User der nicht einfach plump UAC-Adminanfragen bestätigt
habe so bei einem bekannten versucht die ewigen durch sturrheit des Benutzers auflaufenden "uCash"-Infektionen zu unterbinden als die sich noch in den Autostart geschrieben haben...
Infektion trotzdem infiziert worden.
für die Registry:
Es braucht doch eigentlich DAFÜR nur ein aktives UAC und einen User der nicht einfach plump UAC-Adminanfragen bestätigt
#10 _d4rkn3ss4ev3r_
geschrieben 30. August 2014 - 13:22
Hmm das irritiert mich dabei nur:
Once decoded, the stored code is a PowerShell script... By default, Microsoft Windows has protection to avoid the execution of unknown PowerShell scripts. If we try to execute a PowerShell script, we have the following error message...
The attackers circumvent this limitation by making Windows believe that the script runs in interactive mode of PowerShell. Therefore, the script can be executed without a user notification.
Also Powershell blockieren/ deinstallieren wäre wohl ein Workaround.
Once decoded, the stored code is a PowerShell script... By default, Microsoft Windows has protection to avoid the execution of unknown PowerShell scripts. If we try to execute a PowerShell script, we have the following error message...
The attackers circumvent this limitation by making Windows believe that the script runs in interactive mode of PowerShell. Therefore, the script can be executed without a user notification.
Also Powershell blockieren/ deinstallieren wäre wohl ein Workaround.
#11
geschrieben 30. August 2014 - 13:28
Darf ich daraus interpretieren, dass die - eigentlich geniale - Entwicklung von PowerShell ein Sicherheitsrisiko darstellt?
ich verstehe allerdings dann nicht wieso sich dann (augenscheinlich) PowerShell jenseits des UAC bewegen kann (wenn ich das richtig interpretiere)
ich verstehe allerdings dann nicht wieso sich dann (augenscheinlich) PowerShell jenseits des UAC bewegen kann (wenn ich das richtig interpretiere)
#12 _d4rkn3ss4ev3r_
geschrieben 30. August 2014 - 13:35
Das ist hier die Frage. Wurde PowerShell mit einem Testmodus- diesem interactive mode programmiert, oder ist das ein Bug in PowerShell.
Von der UAC sagt der Artikel nix. Muss wohl eine VM her um das mal nachzutesten.
Von der UAC sagt der Artikel nix. Muss wohl eine VM her um das mal nachzutesten.
Thema verteilen:
Seite 1 von 1