PureBoard

hardfalcon hat geschrieben:Malware zu finden. bzw vor dieser zu warnen ist nicht die Aufgabe der Firewall, sondern die der Antivirensoftware.

Nur blöd, wenn die nix finded, da durch Rootkit getarnt. Da bin ich doch froh das mir wenigstens die Firewall sagt das das was irgendwas vorhanden ist, was nicht da sein soll. Auch die Firewall konnte die Spyware nicht identifizieren. Wurde nur als "versteckter Prozess" identifiziert.

Klar kannst du sagen: Ist Sache des Virenscanners. Musst dann halt mit Rootkits leben, wenn du welche auf dem System hast. Die Virenscanner haben mit Rootkits immernoch massive Probleme, wenn die einmal laufen. Gut Ports lassen sich durch Rootkits auch tarnen. Aber in diesem Fall hats was genützt.

Es gehört zu den Aufgaben einer Antiviren-Software, Rootkits zu erkennen und gegen diese zu schützen (z.B. indem ein Teil des AV-Scanners auf Ring0-Ebene, und ein zweiter Teil als "normales" Programm agiert, wenn Diskrepanzen zwischen dem, was beide Programmteile im Dateisystem sehen, auftreten, ist mit hoher Wahrscheinlichkeit ein Rootkit entdeckt).

Ein "ordentlich" gemachter Trojaner lässt sich oft genug nicht mehr als solcher vom Virenscanner erkennen (auch ohne Rootkit), das mag schon stimmen, aber eine Personal Firewall wird ihn dann auch kaum noch aufhalten können.

Z.B. können Tastatur- und Mauseingaben simuliert werden, die im Browser eine URL aufrufen, über die Daten z.B. als GET-Parameter übermittelt werden.

Alternativ (und deutlich unauffälliger) wäre z.B. ne Code Injection in den Browser-Prozess.

Auch lustig: DNS-Server verbiegen auf einen Server des Angreifers. Dabei können selbstverständlich auch Daten rausgeschleust (und Befehle vom Angreifer eingeschleust) werden.

Welche Firewall will kontrollieren, ob Eingaben nicht simuliert werden? Wer stellt seine Firewall so ein, dass vor jeder einzelnen DNS-Abfrage ne Nachfrage kommt? (das würde bei einer durchschnittlichen Website schonmal gleich 2-3 Nachfragen bedeuten, und wer seine Firewall so krank eingestellt hat, der hat sicherlich auch noch an sonsten einiges an Klickbedürftiger "Sicherheits"software).

Seht der Wahrheit ins Auge, wenn jemand es geschafft hat, auf euerm Rechner Schadecode zur Ausführung zu bringen (und ihr auch noch mit Admin-Rechten arbeitet, z.B. grade weil ihr euch wegen der Firewall und des AV-Scanners ja sooo sicher wähnt), dann habt ihr schon verloren. Es gibt IMMER einen Weg nach draußen.

hardfalcon hat geschrieben:Es gehört zu den Aufgaben einer Antiviren-Software, Rootkits zu erkennen und gegen diese zu schützen (z.B. indem ein Teil des AV-Scanners auf Ring0-Ebene, und ein zweiter Teil als "normales" Programm agiert, wenn Diskrepanzen zwischen dem, was beide Programmteile im Dateisystem sehen, auftreten, ist mit hoher Wahrscheinlichkeit ein Rootkit entdeckt).

Sollten. In der Praxis haben Virenscanner wie gesagt immernoch massive Probleme mit Rootkits. Nur auf Kernel-Ebene zu Scannen reicht schon lang nicht mehr. Es kommt drauf an wer weiter vorne in den Verarbeitungsketten sitzt.

Aber egal. Das Problem mit solchen extremen Ansichten ist, das vergessen wird das mindestenz 90% aller Schädlinge von Spinnern und Scriptkiddies in die Welt gesetzt werden. Du hast natürlich recht. Gegen die paar wirklich gut gemachten, Trojaner nützt das alles nix. Da nützt dir aber auch kein Virenscanner und sonst was nix. Aber gegen den überwiegenden Teil der von irgendwelchen Scriptkiddies zusammengeklickten Schädlinge nutzt das sehr wohl etwas. Und die sind bei weitem in der Überzahl.

100% Sicher ist man sowieso nie. Auch nicht mit Linux.

> 100% Sicher ist man sowieso nie. Auch nicht mit Linux.
+1

Linux ist nur aus einem Grunde sicherer, die Trojan, Virus usw.
Programmierer/Kiddies interessieren sich nicht so sehr für Linux, weil
ansonsten gäbe es dort ähnliche Probleme.

Bei einer häßlichen Frau ist die Wahrscheinlichkeit das sie im Park
vergewaltigt wird auch geringer als bei einer hübschen, es sei denn es ist
schon sehr dunkel

hardfalcon hat geschrieben: Z.B. können Tastatur- und Mauseingaben simuliert werden, die im Browser eine URL aufrufen, über die Daten z.B. als GET-Parameter übermittelt werden.
Hier warnt dich Comodo Defense+

Alternativ (und deutlich unauffälliger) wäre z.B. ne Code Injection in den Browser-Prozess.
Da springt sowieso alles mögliche an, und selbst wenn mans geschickt macht, ich hab noch keinen Test gesehen
(gibts genug, einfach mal googlen) der Defense+ austrickst.

Auch lustig: DNS-Server verbiegen auf einen Server des Angreifers. Dabei können selbstverständlich auch Daten rausgeschleust (und Befehle vom Angreifer eingeschleust) werden.
Du musst ja erstmal die DNS verbiegen,
wie machst du das? Änderungen in den Einträgen oder Hosts Datei oder Zugriff auf den Windows DNS Service--> Defense+

Wenn du mir nicht glaubst, dann setz doch einfach mal eine VM auf,
installier Comodo und dann Müll sie entsprechend zu.
Sicher kann die Firewall nichts gegen die Ursachen unternehmen,
aber sie kann die Symptome verhindern.

Übrigens: so gut die Firewall von Comodo ist,
der Virenscanner war bis vor ein paar Monten auf jedenfall nicht zu empfehlen.

Hmm, also dass der Virenscanner nicht sonderlich viel taugt stimmt ja schonmal.
Der meckert zwar über cdow.exe, hat an Cain&Able aber offenbar nix auszusetzen.

//EDIT: Der Rest von dem Teil taugt offenbar noch weniger. Nachdem die Installation abgeschlossen ist, und er den PC nach Viren durchsucht hat (zu den Ergebnissen dieses "Virenscans" siehe oben in diesem Posting) hat der Installer wie bei AV-Software und Firewalls üblich mitgeteilt, dass er rebooten möchte, was ich ihn dann auch umgehend habe tun lassen. Nach dem Reboot ist der Rechner (zum Glück nur ein virtueller Virtualbox-Rechner) sang und klanglos gecrasht in irgendeiner endlosschleife (100% CPU-Auslastung seit 20 Minuten, dabei aber absolut keine Festplattenzugriffe).

Bei der Installation hab ich keine der vorgegebenen Optionen gewändert, ausser dass ich ihn nicht meine Startseite und meine Standardsuchmaschine im Browser hab ändern lassen.

Für mich ist Comodo an dieser Stelle schon durchgefallen. Wenn die es nicht mal schaffen, meine Kiste NICHT zu crashen, dann werd ich nen Teufel tun und so ein Schrottstück von Software auf meinen Netzwerk-Traffic loslassen. Da gehen auch unverschlüsselte Passwörter durch (z.B. wenn ich mich hier im PureBoard anmelde), und kein Mensch kann mir garantieren, dass das Komodo-Dingens da nicht selber Scheisse damit anstellt.

//EDIT: Virtuellen Reset-Knopf drücken hilft übrigens auch nix, da bin ich ja mal heilfroh, dass ich meine VM vor der Installation von dem Drecksteil gebackupt hab. Betriebssystem ist übrigens SimpleXP (basiert auf TinyXP, enthält aber standardmässig keine Software, die nicht auch beim normalen XP mit dabei wäre. Firefox, WinRAR und Co werden zwar mitgeliefert, aber nur als Installer, d.h. der Benutzer entscheidet selber, was er installieren will und was nicht).