|
search / subscribe / upload / contact |
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
| RSS-Feed Depeschen |  |
|
|
||
|
||
Date: 1998-08-13
Update: Testing Back Orifice-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- updating 98.8.10/2 Update: Testing Back Orifice Bei Viktor Mayer-Schönberger hat der Norton Virensucher Back Orifice erkannt & Alarm geschlagen. Bringt aber nix, meint Rudolf Vymazal (siehe unten). Der allererste BO/Tester Markus Schwaiger hat das gerade veröffentlichte Gegenmittel Toilet Paper 1.0 getestet. Ergebnis @ http://www.msedv.co.at/security Wir danken den drei Herren Testern im Namen der öffentlichen Sicherheit. -.-.- --.- -.-.- --.- -.-.- --.- rvymazal@eunet.at wrote > Up/date Back Orifice: *gefaehrlich* > Inzwischen sind auch andere draufgekommen, dass > der ominoese Sir Dystic vom Kult der Toten Kuehe keinen Hoax > programmiert hat, sondern ein ziemlich ab/gedrehtes Tool. > Bis jetzt hat keins der herkoemmlichen Viren/tools das > trojanische Pferd gefunden. Muss auch keiner. Denn bei diesem Programm handelt es sich eben nicht um einen Virus, sondern um eine ordnungsgemaess programmierte Client-Server-Applikation. Genauso wie WS-FTP, WIN-QVT, pc-anywhere, diverse Webserver oder andere Kommunikationstools. Warum sollte da ein Virenscanner ansprechen?? Die Auto-Installationsfunktion basiert, wie ich schon in der eCE-List erlaeutert habe, auf einem M$-Feature, das eben mitunter recht unwillkommene Ergebnisse liefert. Dass die Verwendung von allemal vorhandenen Window$-APIs in kreativer Weise ausgereizt wurde, kann man dem Programm ja auch nicht veruebeln. Das entsprechende Tool zum Erkennen waere hier ein Portscanner, der abklopft, ob BO die Tuer nach aussen geoeffnet hat. Prinzipiell muesste auch der Befehl "netstat -a" verdaechtige Denunziationen des Programms anzeigen (oder die cowboys haben sich in der Programmierung selbst uebertroffen). Eine weitere Moeglichkeit der Identifikation besteht anhand der Registry. Dort koennen unter einem bestimmten Key selbststartende Dienste eingetragen werden und dort ist auch erkennbar, ob BO hineingepfuscht hat. Naehers dazu und zu BO allgemein demnaechst wieder in der eCE-list. Am Rande: Uebrigens bin ich ueberzeugt, dass das Programm durchaus auch von einigen Virenscannern angezeigt wird. Naemlich von solchen mit heuristischer Suche. Was aber nichts hilft. Denn wird eine derartige Suche auf hoher Sensibilitaet durchgefuehrt, dann zeigt sie auch Windows-Kernel-Systemprogramme wie user.exe und krnl386.exe als suspekt an.( Als haetten wir das nicht schon immer geahnt ;-) -.- --.- -.-.- --.- -.-.- --.- TIP Download free PGP 5.5.3i (Win95/NT & Mac) http://keyserver.ad.or.at/pgp/download/ -.-.- --.- -.-.- --.- -.-.- --.- - -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- edited by Harkank published on: 1998-08-13 comments to office@quintessenz.at subscribe Newsletter - -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- 
|
|
|
 |
CURRENTLY RUNNING |
q/Talk 1.Juli: The Danger of Software Users Don't Control
|
|
|
!WATCH OUT! |
bits4free 14.Juli 2011: OpenStreetMap Erfinder Steve Coast live in Wien
|
|