WinFuture-Forum.de: Virus Mit Firewall-funktion - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

Virus Mit Firewall-funktion Fantibag.B


#1 Mitglied ist offline   Kampfrapunzel 

  • Gruppe: aktive Mitglieder
  • Beiträge: 953
  • Beigetreten: 23. Februar 05
  • Reputation: 2
  • Geschlecht:Männlich
  • Wohnort:zwischen Lummerland und Mordor

  geschrieben 01. Juli 2005 - 10:57

Zitat

Virus mit Firewall-Funktion

Zu verhindern, dass ein einmal infizierter PC Updates und Informationen von AV-Herstellern aus dem Internet lädt, gehört schon fast zum Standardprogramm aktueller Schädlinge. F-Secure hat jetzt jedoch erstmals ein Exemplar entdeckt, das dies über richtige Firewall-Funktionen realisiert.

Normalerweise verhindern Viren die Verbindungen zu Update-Sites über Einträge in der hosts-Datei. Dort sorgt ein Eintrag wie beispielsweise

127.0.0.1 windowsupdate.microsoft.com

dafür, dass Verbindungsversuche mit der Windows-Update-Seite auf den lokalen Rechner umgeleitet werden, der sie nicht beantworten kann.

F-Secure hat bei der Analyse einer neuen Bagle-Variante festgestellt, dass dieser das Paketfilter-API von Windows nutzt, um Pakete an bestimmte Adressen auszufiltern. Auf der Liste der geblockten Sites finden sich wie üblich Adressen von Antiviren-Herstellern und diverse Microsoft-Server. Der von F-Secure als Fantibag.B bezeichnete Schädling realisiert dies über die Bibliothek firewall_anti.dll, die er im Windows-Verzeichnis ablegt und in den Adressraum des Internet Explorer einblendet (DLL-Injection).

http://www.heise.de/

Dieser Beitrag wurde von Kampfrapunzel bearbeitet: 01. Juli 2005 - 10:57

Ich bin nicht an dem Problem gescheitert! Ich hab nur 1000 Wege gefunden, wie es nicht geht!

Eingefügtes Bild
Eingefügtes Bild
0

Anzeige



#2 Mitglied ist offline   Witi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.947
  • Beigetreten: 13. Dezember 04
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Kingsvillage
  • Interessen:Frickeln

geschrieben 01. Juli 2005 - 11:11

nicht schlecht...die Hacker werden ja wirklich immer geschickter
[email protected] 0xAAE321A2

50226 - Witis Blog
0

#3 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 01. Juli 2005 - 12:25

Eine Bibliothek nach %windir%\system32 zu klatschen, anstatt über LoadLibraryEx() direkt zu laden und damit ebenfalls Probleme mit DLLSafeSearch zu umgehen, ist alles andere als geschickt.
Zumal das alles (HOST-Datei manipulieren, iphlpapi ansprechen, in %windir%\system32 schreiben, DLL-Injection) unter eingeschränkten Rechten mit einem lauten Knall fehlschlägt.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#4 Mitglied ist offline   Witi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.947
  • Beigetreten: 13. Dezember 04
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Kingsvillage
  • Interessen:Frickeln

geschrieben 01. Juli 2005 - 12:30

hmm...das haste allerdings recht.

Das geschickt war eher auf das bezogen, wenn das Teil schon drauf ist...
[email protected] 0xAAE321A2

50226 - Witis Blog
0

#5 Mitglied ist offline   Megolk 

  • Gruppe: aktive Mitglieder
  • Beiträge: 737
  • Beigetreten: 07. September 02
  • Reputation: 0
  • Geschlecht:Weiblich

geschrieben 01. Juli 2005 - 12:40

Zitat (Rika: 01.07.2005, 13:25)

unter eingeschränkten Rechten mit einem lauten Knall fehlschlägt.
<{POST_SNAPBACK}>

nun ja, das stimmt zwar aber die Mehrheit der "normal" User melden sich leider immer noch an ihre Maschinen mit Adminrechten an - grad erlebt...

Dieser Beitrag wurde von Megolk bearbeitet: 01. Juli 2005 - 12:40

Niveau sieht nur von unten aus wie Arroganz!
0

#6 Mitglied ist offline   Junktyz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 138
  • Beigetreten: 10. Juni 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Stuttgart

geschrieben 01. Juli 2005 - 13:04

Zitat (Megolk: 01.07.2005, 13:40)

nun ja, das stimmt zwar aber die Mehrheit der "normal" User melden sich leider immer noch an ihre Maschinen mit Adminrechten an - grad erlebt...
<{POST_SNAPBACK}>


Ich auch, bei meinem LogIn grad.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0