USB-Trojaner-Lücke in Windows

    ich vermute die heuristic wird in den nächsten tagen in allen großen av-engines eingetragen sein.
    ich geh lieber auf nummer sicher und benutze linux, bzw. öffne den stick in meiner quarantäne-sandbox (virtual box oder sandboxie).

    MfG

    Zitat von Script-Bär

    Oder ist die einzige möglichkeit sich zu schützen, keine USB Sticks oder Archive (aus dem Internet) anzunehmen, bis die Lücke geschlossen ist?


    Du kannst den IconHandler deaktivieren (oder ersetzen) wie schon mehrmals beschrieben und dann niemals auf fremde Verknüpfungen klicken.

    Ich versteh nicht warum erst jetzt so nen Hype drum gemacht wird wenn die Lücke schon seit Win 2K besteht. Möglicherweise sogar schon seit Win 98.

    Warum kommt es erst jetzt ans Licht?
    Und es soll jetzt keiner kommen und sagen: "Hätte man erst jetzt entdeckt"

    Und so nebenbei: Norton schützt extrem gut ;)

    Zitat von lukiono

    Warum kommt es erst jetzt ans Licht?
    Und es soll jetzt keiner kommen und sagen: "Hätte man erst jetzt entdeckt"


    Wahrscheinlich haben die Regierungen nicht mehr genug an MS bezahlt ^^

    xD...

    bei meinem Papierkorb zeigt das Icon an, dass sich angeblich etwas darin befindet, jedoch wenn ich den Papierkorb öffne, ist darin kein einziges Objekt zu sehen. Hat das auch mit dem IconHandler zutun?

    "Je mehr Käse, desto mehr Löcher; je mehr Löcher, desto weniger Käse. Ergo: Je mehr Käse, desto weniger Käse. 8| "
    "Programmers never die: they just GOSUB without RETURN"
    "I tried to change the world but I couldn't find the source code."

    Hab heute zur Abwechslung mal wieder meine Windows Kiste gestartet.
    ESET Smart Security meldet den Proof of Concept Exploit als LNK/ExploitCVE-2010-2568 Trojaner und bricht den Download ab. Nach erzwungenem Download wird die .lnk sofort beim öffnen des Explorers in die Quarantäne verschoben - keine Debug-Meldung.

    Naja... ich schätze mal soo.... einfach wie du es dir Vorstellst wird man nicht Opfer von einem noch nicht bekannten professionellen Rootkit Viruses.
    Normale Botnet Viren verbreiten sich in der Regel via E-Mail, Torrents etc... USB auch (nur mit Autorun.inf) aba kann man auch deaktivieren.

    Was kommt als nächstes?
    2012 geht die Welt unter? :rofl:

    Mal realistisch bleiben, wer ein bisschen was im Kopf hat und nich jede .scr, .cmd, .exe, .bat, .pif, .lnk, .vbs (usw.) von einem Fremden öffnet kann sich auch (normalerweise) nichts einfangen.

    Zitat


    Mal realistisch bleiben, wer ein bisschen was im Kopf hat und nich jede .scr, .cmd, .exe, .bat, .pif, .lnk (usw.) von einem Fremden öffnet kann sich auch (normalerweise) nichts einfangen.


    Unterschätze nicht WebDav!

    Nur keine Hektik - das Leben ist stressig genug

    • Offizieller Beitrag

    LOL, manchem hier sollte man wohl mal den Glauben an den Weihnachtsmann rauben!

    Klassischer Angriff heutzutage:
    https://autoit.de/www.zeitonline.de verkauft Werbung. Google übernimmt die Vermittlung. Dort kann jeder (!) seine Seiten bewerben lassen und (begrenzt) eigenen Code übergeben. Die Vermittlungsfirma kann nicht alle Seiten prüfen. Daher kriegst du auf der Nachrichtenseite Daten von völlig fremden Seiten angezeigt (die eigentlich "nur" Werbung sein sollten). De facto ist es aber JavaScript-Code, der eine (im schlimmsten Fall unbekannte Zero-Day-)Lücke in Firefox, Flash, Adobe Reader (wer hat die alle ständig gepatcht?) ausnutzt, um dir Trojaner herunterzuladen, die (dank VirusTotal) gegen alle Virenscanner immunisiert sind. Der Trojaner holt dir ein Rootkit nach, um sich selbst vor dir zu verstecken. Viel Spaß!

    Alternativ geht es übrigens auch in Foren usw. wo IFrames oder JavaScript zur Ausführung kommen können, weil Berechtigungen nicht korrekt gesetzt oder die Forensoftware buggy ist.

    Das ist die Welt.

    Johannes

    • Offizieller Beitrag

    Die Firewall schützt Dich hierbei überhaupt nicht.
    Und diese Lücke zielt ja gerade nicht auf die ausführbaren Dateien. Allein das anzeigen der LNK-Datei (im Explorer oder einem anderen Programm, was den Iconhandler zum anzeigen des Icons benutzt), führt bereits zum starten der Malware.
    Das heißt, wenn Du Dir z.B. irgendwo ein verseuchtes ZIP- oder RAR-Archiv herunterlädst oder per EMail bekommst und Du dieses mittels Doppelklick im Explorer öffnest, so ist es schon passiert. Ganz ohne, dass Du eine .exe, .msc, .pif oder sonstwas angeklickt hast.
    Hoffen wir mal, das MS möglichst bald einen Patch für den Iconhandler liefert bzw. die Antiviren-Hersteller entsprechend reagieren.

    Und vor allem sind Viren keine Zufallsprodukte die irgendwie entstehen,
    sie werden gezielt von kranken Menschen entwickelt, um dir Schaden zuzufügen.
    Sie werden gezielt entwickelt, um Virenprogramme zu umgehen, möglichst viel Schaden anzurichten und vor dir selbst möglichst unsichtbar zu bleiben.
    Das wird extra gemacht, und wenn man dagegen nix macht, kann man den PC gleich in den Gulli kicken.

    Natürlich sollte man jetzt nicht in Panik verfallen und seinen PC vor lauter Angst nicht anrühren, aber gewisse Vorsichtsmaßnahmen sollte man schon treffen.
    Ratz und Fatz und dein PC ist infiziert. Einmal nicht aufgepasst, und das wars dann.

    Lieber zuviel Vorsicht, als zu wenig!

    Ach, ich möcht diesen USB-Virus.
    Den steck ich in die Sandbox rein und nehm ihn auseinander.

    Aber wenn man das Teil will, findet man es nicht. Sauerei :D

    Zitat von lukiono

    Ach, ich möcht diesen USB-Virus.
    Den steck ich in die Sandbox rein und nehm ihn auseinander.
    Aber wenn man das Teil will, findet man es nicht. Sauerei :D


    Also wirklich ... "LNK proof of concept" reicht doch?

    Hi, habe heute nach Update von Antivir meiner (selbstgebauten) lnk-Files als "Virus" angezeigt bekommen.
    Das funzt also.
    Den meisten ist wohl immer noch nicht klar, das in den lnk-Dateien (das sind Verknüpfungen) garkein "Virus" drin steckt.
    Die lnk-Datei macht genau das, was sie eigentlich soll, nämlich die mit ihr verknüpfte Datei starten.
    Der "Exploit" macht nichts anderes, als einige Bytes in der lnk-Datei "nicht regelgerecht" zu setzen und damit eine Art "Autostart" zu erzeugen. Wie das genau funktioniert ist bereits reichlich verlinkt^^

    Wer also, ob auf USB-Stick oder CD oder Netzwerkverbindung einen "Virus" in einer ausführbaren Datei einschleppt, dem wird mit der lnk-Datei nur der Doppelklick auf dieses Viech abgenommen, sonst nichts....
    Daher ist auch ein "Scannen" per Virenscanner bisher reichlich überflüssig gewesen, denn bevor der Scanner losrennt, hat das Betriebssystem die lnk-Datei ja längst "gesehen" und somit das verknüpfte Programm gestartet.
    Hätte ein cleverer MS-Programmierer diese "Lücke" erkannt, wäre das sicher längst als Feature (und da gibts m.E. reichlich sinnvolle Anwendungen) ins System übernommen worden!

    Habe gestern ein Script geschrieben, welches sämtliche erreichbaren lnk-Files im System auf Konformität prüft. Auch das findet die veränderten lnk-Dateien. Mit "Veröffentlichen" halte ich mich zurück, es ist ja eine "Anleitung" für Dummies...(um zu exploiten)

    ciao
    Andy


    "Schlechtes Benehmen halten die Leute doch nur deswegen für eine Art Vorrecht, weil keiner ihnen aufs Maul haut." Klaus Kinski
    "Hint: Write comments after each line. So you can (better) see what your program does and what it not does. And we can see what you're thinking what your program does and we can point to the missunderstandings." A-Jay

    Wie man Fragen richtig stellt... Tutorial: Wie man Script-Fehler findet und beseitigt...X-Y-Problem

    2 Mal editiert, zuletzt von Andy (22. Juli 2010 um 19:07)

    Gerade entdeckt: http://www.golem.de/1007/76796.html

    Zum Thema (Microsoft-)Patch: dabei muss die Shell32.dll stark verändert werden.
    Bis diese gravierende Änderung auf Herz und Nieren getestet wird, kann deshalb noch einige Zeit vergehen.