Anmelden

Vollständige Version anzeigen : Ein neuer "Feind"......FLUX !!!


Manni
05.11.2004, 09:11
Flux Verbreitung nimmt zu



Flux ist der Name einer neuen Seuche, die derzeit im Untergrund des Internets grassiert und zunehmend beängstigende Ausmaße annimmt. Bei Flux handelt es sich um einen Backdoor-Trojaner, der derzeit vielen Herstellern von Malware Schutzsystemen Kopfschmerzen bereitet.



Der Schädling gehört zur Gattung der sogenannten "Reverse Backdoors". Reverse bezieht sich dabei auf die Verbindungslogik. Im Normalfall öffnet der schädliche Teil eines Backdoors (der sogenannte Server) auf dem System eines Opfers einen Port und wartet dort auf eine Verbindung von außerhalb durch ein Kontrollprogramm (dem sogenannten Clienten). Dieses herkömmliche Verfahren hat aber eine gravierende Schwäche:



Sollte sich das Opfer (auch Victim oder kurz Vic genannt) innerhalb eines Netzwerks oder "hinter" einem Router bzw. einer Hardware Firewall befinden, kann der Client keinerlei Verbindung zum Server aufbauen und die Übernahme des PCs schlägt fehl.



Aus diesem Grunde gehen mehr und mehr Backdoortrojaner dazu über, selbst eine Verbindung aufzubauen auf einen Port, der zuvor vom Kontrollprogramm geöffnet wurde. Da ausgehender Traffic vom eigenen PC aus innerhalb von Hardware Firewalls und Routern meist erlaubt ist, kann der Backdoor trotz dieser Schutzmechanismen Kontakt zum Kontrollprogramm aufnehmen.



Das perfide und hinterhältige an Flux ist allerdings weniger die Tatsache, dass er diese umgekehrte Verbindungslogik nutzt, sondern die Art wie sie implementiert wurde. Flux benutzt eine für Trojaner neue Technik des Code Injectings. Unter Code Injecting versteht man im Grunde genommen das Injizieren von fremden Code in einen Prozess. Bisherige Code Injecting Techniken basierten darauf, dass ein neues Modul (eine sogenannte DLL) in den Zielprozess eingeschleust wurde. Diese Methode (auch DLL Injecting genannt) war einfach zu erkennen, da alle geladenen Module einfach ermittelt und überprüft werden können. Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt dafür, dass dieser ausgeführt wird. Neben der Tatsache, dass viele Desktop Firewalls in diesem Falle annehmen, dass ein legitmer Prozess wie z.B. der Internet Explorer aufs Internet zugreifen möchte und den Zugriff folglich erlauben, ist das Hauptproblem, dass der schädliche Flux Code mit keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den meisten Malware Schutzsystemen schlichtweg übersehen wird. Dies macht ein sauberes und dauerhaftes Entfernen von Flux nahezu unmöglich.



Da wir bereits vor geraumer Zeit Trojaner mit dieser Infektionstechnik gerechnet haben, haben wir bereits Gegenmaßnahmen in Form eines erweiterten Prozessspeicherscans für a² Version 2.0 entwickelt. Da die Verbreitung von Flux aber massiv zunimmt, haben wir uns dazu entschlossen, den erweiterten Prozessspeicherscan bereits in Version 1.5 freizuschalten.



Dies bedeutet für Sie, dass a² als eines der ersten Schutzprogramme derweil in der Lage ist, effektiv vor Flux zu schützen und einen aktiven Flux zu deaktivieren. Zudem haben wir ein spezielles Erkennungsprogramm entwickelt, dass wir allen Nutzern anderer Anti-Malware Software als a² kostenfrei für einen schnellen Test auf eine Flux Infektion zur Verfügung stellen. Das Programm erkennt und deaktiviert Flux in infizierten Prozessen und ermöglicht so in Verbindung mit einem aktuellen Anti-Malware Programm, wie z.B. a², eine komplette Entfernung von Flux.



Sie können den Flux Scanner auf der a² Downloadseite herunterladen:



http://www.emsisoft.de/de/software/download

----------------------------------------------------------------



Ist ein Winzig-Tool mit 240 kb. Muss nicht installiert werden, sondern sucht nach Doppelklick sofort los und ist ruckzuck durch.



Als Zusatztool zu empfehlen ist auch das a2-Tool von denen, welches nach MALWARE sucht. MALWARE ist aller Wurmkram, der nichts auf dem Rechner zu suchen hat.

Ich verwende die eingeschränkte Gratisversion.

Diese Nachricht wurde geändert von: Manni, 05.11.04 - 10:15

koppi
05.11.2004, 10:09
Leider nimmt diese Art von Trojanern zu.



TrendMicro erkennt übrigens auch diese Trojaner.



zum Beispiel:

http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=53881&VName=BKDR_FLUXAY.093&VSect=O



Auch der frei nutzbare Onlinescanner erkennt sie.



http://de.trendmicro-europe.com/consumer/products/housecall_pre.php

Manni
05.11.2004, 15:07
Danke für die Zustimmung Koppi!



Aus aktuellem Anlass hier nochmal ein posting dazu aus einem älteren Sicherheitsbeitrag von mir:



Eine dringende Empfehlung von mir für alle die zwischendurch mal auf Nummer Sicher gehen wollen:



Geht man auf einen der unteren links.

Das sind sogenannte ONLEIN-VIRENSCHECKER, die den Zossen durchsuchen.

Diese Sucher sind allgemein auf allerneuestem Stand und recht effektiv und kostenlos. Gemeldete Viecher können dann entfernt werden, das erledigen die gleich mit.



Bitte alles andere schließen und den Zossen mal in Ruhe lassen während des Skänns. Kann etwas dauern, je nachdem wie voll die Platten sind, ähnlich wie beim defraggen.



Wie beim windows-update wird zunächst eine "Engine" geladen, die sich anschließend über die Festplatte hermacht und alles durchsucht. Das kann dann, je nach Größe, etwas dauern. Bei meinen 160 Gigonen etwa 20 Minuten.

Die Engine kann verbleiben und wird beim nächsten Mal nur aufgefrischt, da natürlich "neues Böses" erkannt werden muss. Weiter wird nichts installiert.

--------------------------------------------------------------------------------

http://de.trendmicro-europe.com/enterprise/products/housecall_launch.php

--------------------------------------------------------------------------------

oder auch

http://www.bitdefender.de/scan/licence.html

sash_dc
05.11.2004, 19:36
Verfluxt noch mal!

Danke Manni. Mein Rechner ist fluxfrei.

Manni
05.11.2004, 20:02
Gerne doch, hier wird Sie geholfen!

Flachs kannte ich, Faxenmachen auch und Faxe faxen desgleichen, Fix & Foxi gibt`s noch.............Flux war mir selbst neu. Ein Fuchs jedoch war mir ein Begriff.

Da ist noch Fox Tönende W.........und der Sender VOX

Diese Nachricht wurde geändert von: Manni, 05.11.04 - 21:02

koppi
05.11.2004, 22:43
Irgendwie kommt mir der Begriff Fluxer bekannt vor.

Wir hatten in der Produktion sogenannte Fluxer die brachten ein Mittel auf die Printplatten vor den Lötmaschinen auf damit das Lötzinn besser gerinnt.

Manni
05.11.2004, 22:55
Vielleicht wurde das so nur genannt. Ich kenne das vom Hart-und Weichlöten her als "Flussmittel". Das sind zumeist auf salzsäurebasierende Mischungen als Paste oder flüssig, damit die zu verbindenden Stellen absolut fettfrei sind.



Also schön metallisch rein gemacht, eenmal mit`m Finger drüber und schon wars wieder versaut und das Lot "lief" nicht.

koppi
05.11.2004, 22:59
Google hat mir auf die Sprünge geholfen:





Hab mich mit den Fluxer doch nicht geirrt:



flux hat wohl lateinischen Ursprung und bedeutet so viel wie Fluss.

Wird aber oft auch für schnell verwendet oder Gerinnung.



Beispiel: Ich zieh mal flux meine Schuhe an.

Der Fluxer sorgt demnach für die korrekte Gerinnung des Lötzinns in der Produktion.

etc.

SuperNicky
08.11.2004, 10:55
Mönsch, Jungs :



Zurück in die Zukunft -> Fluxkompensator



(außerdem gibts den auch noch in der Physik -> Magnetismus)