WinFuture-Forum.de: Dr/ezula.ak.3 Und Dr/ezula.ak.4 - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Dr/ezula.ak.3 Und Dr/ezula.ak.4 Weis vielleicht einer was der macht?


#1 Mitglied ist offline   Palnschi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 362
  • Beigetreten: 15. März 04
  • Reputation: 0

geschrieben 07. November 2005 - 23:15

Moin

Folgendes habe ich bei einem Freund mittels AntiVir gefunden (Dateien lagen in Temporary Internet Files Ordner des Benutzer Kontos):

woinstall[1].exe
[FUND!] Enthält Signatur des Droppers DR/EZula.AK.3

eZinstall[1].exe
[FUND!] Enthält Signatur des Droppers DR/EZula.AK.4

Der große Bruder fand folgendes:
eTrust
symantec
Rechner: WinXP Pro+SP2, Dienste hinreichend konfiguriert,
Router+NAT
FF
(keine PFW oder sonstiger Blödsinn!)

Es scheint zu keiner Ausführung gekommen zu sein da sonstige Kontaminationen nicht nachzuweisen sind. (Kann man sich da überhaupt sicher sein?)

Wo kann das hergekommen sein?
Was kann unternommen werden damit das nicht wieder passiert? (Vielleicht reicht ja schon das verbieten auf xxx seiten rumzusurfen ;-))
Scheint ja auch nicht schlimm zu sein aber es sollte eigentlich gar nicht erst auf den Rechner gelangen.
(ich hab die Kiste ja eingerichtet, also bin im Grunde ich der blöde)

Grüße

Dieser Beitrag wurde von Palnschi bearbeitet: 07. November 2005 - 23:34

0

Anzeige



#2 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 08. November 2005 - 00:27

Zitat

Es scheint zu keiner Ausführung gekommen zu sein da sonstige Kontaminationen nicht nachzuweisen sind. (Kann man sich da überhaupt sicher sein?)

Nur wenn du das System offline gegen eine Referenzkonfiguration prüfst.

Zitat

Wo kann das hergekommen sein?

Jemand hat mit 'm IE gesurft.

Zitat

Was kann unternommen werden damit das nicht wieder passiert?

IE via Proxy-Settings lahmlegen und Lesezugriff auf die iexplore.exe für alle Nichtadmins sperren.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#3 Mitglied ist offline   Dodger 

  • Gruppe: Verbannt
  • Beiträge: 22
  • Beigetreten: 07. November 05
  • Reputation: 0

geschrieben 08. November 2005 - 05:56

Beitrag anzeigenZitat (Rika: 08.11.2005, 00:27)

Nur wenn du das System offline gegen eine Referenzkonfiguration prüfst.


Wie? Mit Prüfsummen?

Beitrag anzeigenZitat (Rika: 08.11.2005, 00:27)

IE via Proxy-Settings lahmlegen und Lesezugriff auf die iexplore.exe für alle Nichtadmins sperren.


Lahmlegen mit Proxy Setting 127.0.0.1:9? Warum dann noch iexplore.exe für alle Nichtadmins sperren?
0

#4 Mitglied ist offline   BachManiac 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.476
  • Beigetreten: 10. August 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Wels-Land

geschrieben 08. November 2005 - 06:58

Weil du vielleicht mit Firefox surfen sollst!!!?!
Lenovo / IBM Thinkpad W500 2,8 GHZ Core 2 Duo | ATI FireGL v5700 | WUXGA LED Mod | 1TB HDD, 128GB SSD | 8GB Ram
0

#5 Mitglied ist offline   Dodger 

  • Gruppe: Verbannt
  • Beiträge: 22
  • Beigetreten: 07. November 05
  • Reputation: 0

geschrieben 08. November 2005 - 07:27

Beitrag anzeigenZitat (BachManiac: 08.11.2005, 06:58)

Weil du vielleicht mit Firefox surfen sollst!!!?!


wen meinst Du? Mich? Mit Proxy Setting 127.0.0.1:9 ist der IE doch lahmgelegt. Änderungen an den Proxy-Einstellungen kann man doch über Reg und/oder policy unterbinden.
0

#6 Mitglied ist offline   Palnschi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 362
  • Beigetreten: 15. März 04
  • Reputation: 0

geschrieben 08. November 2005 - 09:52

Beitrag anzeigenZitat (BachManiac: 08.11.2005, 06:58)

Weil du vielleicht mit Firefox surfen sollst!!!?!


siehe

Zitat

Rechner: WinXP Pro+SP2, Dienste hinreichend konfiguriert,
Router+NAT
FF


Wer lesen kann ist klar im Vorteil!

@Rika: Danke, so werd ich das machen! Allerdings glaube ich nicht das der IE zum surfen verwendet wurde, maximal fürs WinUpdate. Werd ihm mal auf die Finger hauen.
Des Weiteren habe ich mit dem Ezula Removal Tool von Symantec keine weiteren Einträge gefunden.

Zitat

Nur wenn du das System offline gegen eine Referenzkonfiguration prüfst.


Die vorgehensweise hierzu ist mir nicht ganz klar.
0

#7 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 08. November 2005 - 13:23

Du erstellst von einem uninfizierten System Hashsummen des Windows-Ordners und vergleichst diese mit dem bestehenden System. Bei Konfigurationsänderungen/neu eingespielten Updates etc. müssen die Hashes natürlich angepasst werden.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#8 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 08. November 2005 - 18:22

Zitat

Wie? Mit Prüfsummen?

Oder einem vollständigen Duplikat der Dateien. Ja.
In den meisten Fällen ist das nicht sonderlich praktisch, wenn man nicht eine Veränderung des Systems durch eingeschränkte Rechte und strikte Trennung vorbeugt.

Zitat

Lahmlegen mit Proxy Setting 127.0.0.1:9? Warum dann noch iexplore.exe für alle Nichtadmins sperren?

Weil auch das Öffnen lokaler Dateien ein Problem sein kann.

Zitat

Änderungen an den Proxy-Einstellungen kann man doch über Reg und/oder policy unterbinden.

Die Group Policies greifen ja auf die Registry zurück. Musst dann aber auch durch entsprechende Zugriffsrechte dafür sorgen, daß keiner die Policies wieder ändern kann, also eingeschränkte Benutzerrechte.

Zitat

Allerdings glaube ich nicht das der IE zum surfen verwendet wurde, maximal fürs WinUpdate.

Das kann schon ausreichen, da seit WU Version 6 bzw. MS Update eine HTTPS-only-Konfiguration nicht mehr möglich ist und somit ein Man-in-the-middle-Angriff (z.B. durch den 14jährigen pickeligen Jungen, der bei deinem ISP ein Praktikum machen darf, weil sein Papi der Chef ist) nicht auszuschließen. Hab ich aber bislang nur ein einziges Mal bei einem Studi-Wohnheim gesehen, wo das jemand aktiv praktiziert hatte.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#9 Mitglied ist offline   Dodger 

  • Gruppe: Verbannt
  • Beiträge: 22
  • Beigetreten: 07. November 05
  • Reputation: 0

geschrieben 08. November 2005 - 19:09

Beitrag anzeigenZitat (Rika: 08.11.2005, 18:22)

In den meisten Fällen ist das nicht sonderlich praktisch, wenn man nicht eine Veränderung des Systems durch eingeschränkte Rechte und strikte Trennung vorbeugt.


Viel Aufwand? Für Privatleute echt erforderlich?

Beitrag anzeigenZitat (Rika: 08.11.2005, 18:22)

Weil auch das Öffnen lokaler Dateien ein Problem sein kann.


mmh, habe ich nicht dran gedacht, aba leuchtet ein.

Beitrag anzeigenZitat (Rika: 08.11.2005, 18:22)

Die Group Policies greifen ja auf die Registry zurück. Musst dann aber auch durch entsprechende Zugriffsrechte dafür sorgen, daß keiner die Policies wieder ändern kann, also eingeschränkte Benutzerrechte.


das mach ich so. Arbeiten, surfen etc. nur als Benutzer

Beitrag anzeigenZitat (Rika: 08.11.2005, 18:22)

Das kann schon ausreichen, da seit WU Version 6 bzw. MS Update eine HTTPS-only-Konfiguration nicht mehr möglich ist und somit ein Man-in-the-middle-Angriff (z.B. durch den 14jährigen pickeligen Jungen, der bei deinem ISP ein Praktikum machen darf, weil sein Papi der Chef ist) nicht auszuschließen.


das finde ich Erschreckend. Empfehlung kein WU/MSU mehr nutzen? Wie sieht es eigentlich mit dem Update Dienst aus? Ich habe den aus.
0

#10 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 08. November 2005 - 19:15

Dodger sagte:

Viel Aufwand? Für Privatleute echt erforderlich?

Sehr viel Aufwand und nur in wenigen Fällen (im produktiven Umfeld - von Standardimages abgesehen- gar nicht) erforderlich/sinnvoll.

Dodger sagte:

das finde ich Erschreckend. Empfehlung kein WU/MSU mehr nutzen?

Naja, erschreckend ist das IMHO nicht, wäre ja nicht der einzige Weg MitM-Attacken durchzuführen. Ob du MSU weiterhin einsetzen willst liegt in deinem Ermessen, ich persönlich bevorzuge den manuellen Download, aber nicht unbedingt aus besagtem Grund.

Dodger sagte:

Wie sieht es eigentlich mit dem Update Dienst aus? Ich habe den aus.

Der macht eigentlich nichts außer nerven. Kannst du getrost deaktiviert lassen.

Dieser Beitrag wurde von Graumagier bearbeitet: 08. November 2005 - 19:15

"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#11 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 08. November 2005 - 19:19

Zitat

Viel Aufwand?

Man muss Programme prügeln, daß sie laufen, oder, wenn das nicht möglich ist, diese einfach wegwerfen können. Erfordert vor allem Konsequenz, und daran mangelt es leider vielen Leuten (und zwar nicht nur beim Computer).

Aber wenn man beispielsweise sogar Installationspakete dekompilieren muss (InstallShield, MSI, ...), weil entweder das Installationsprogramm ein Win16-Modul ist (während man 16Bit-Programme per Policy verboten hat und sowieso das komplette Win16-Subsystem entfernt) oder weil das Programm sinnlos in HKLM schreiben will (das Java Development beispielweise will das, obwohl es die gleichen Settings auch in HKCU akzeptiert), wird's manchmal echt haarig.

Zitat

Wie sieht es eigentlich mit dem Update Dienst aus?

Der macht schon seit jeher HTTP, ist aber wenigstens nicht gegen Exploits anfällig. Die Update werden ja sowieso via HTTP übertragen, von daher dient WU nur dazu, den Rechner mit dem aktuellen Patch-Stand gemäß Microsofts Auskunft abzugleichen.
Die Updates lädt man dann manuell via Microsoft Download Center HTTPS-geschützt herunter.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0