Computer
Virus
Wurm
Backdoor
Trojaner

Virus

Link: Backdoors - Viren - Gefahren im Internet: Backdoors Viren

ist ein ausführbarer Programmcodes, das geschrieben wurde, sich selbst verbreiten zu können. Einige Viren enthalten neben der Fähigkeit, sich zu vermehren eine sog. Payload (Nutzlast) in Form einer Schadensroutine.



Dateiviren

sind die bekannteste und häufigste Art der Computerviren. Sie infizieren ausführbare Programme ( .COM-, .EXE-, .OVL-, .OBJ-, .SYS-, .BAT-, .DRV-, .DLL-Dateien) und können aktiviert werden.

Bootsektorviren

(Bootviren) verstecken sich im Bootsektor von Festplatten und Disketten sowie im Master Boot Record (MBR) von Festplatten.
Bootsektorviren können sich nach dem Booten von diesem Datenträger in den Hauptspeicher verlagern und permanent Schaden anrichten.

(Link)Viren

sind Code-Stücke, die sich an "normale" Dateien anhängen. Für die Verbreitung nutzen sie Disketten, Netzwerke, E-Mails mit Anhängen oder Downloads aus dem Internet. Die meisten Viren zielen darauf ab, gezielt Schäden anzurichten.

Trojanisches Pferd

ist ein Programm, das neben der eigentlichen (oftmals nützlich erscheinenden) Funktion eine weitere, potentiell schädliche, dem Benutzer unbekannte Funktion enthält. Beispiele hierfür sind Programme, die eingegebene Passworte stehlen oder eine Backdoor enthalten.

Viren Tronaer Backdoors

Trojaner sind keine Viren im eigentlichen Sinne (da sie sich in der Regel nicht selbst reproduzieren), sondern Software mit Virenfunktionalität, die sich in bekannten (harmlosen) Programmen verstecken.

Ein Trojanisches Pferd gelangt meist per E-Mail oder Diskette auf einen Rechner...oder indem man einen Keygen laed...der zwar ein Programm freischalten kann, aber man sollte nicht vergessen, wer ein Tool veraendern kann, ist auch faehig noch anderes mit einzubauen:

I:\Daten alt\Eigene Dateien\Downloads\Nero alles

nero.burning.rom.6.3.1.10.ultra.edition.powerpack.rar
ArchiveType: RAR
Nero Burning Rom 6.3.1.6 Keygenerator.exe
[FUND!] Ist das Trojanische Pferd TR/Click.NoName.A

Vorsicht: Auch in Software die Sie aus dem Internet laden können sich Trojanische Pferde verbergen! Einmal dort gespeichert, kann der Versender über eine Datenleitung Befehle auf dem Empfänger-Rechner ausführen.
Zum Beispiel kann er persönliche Daten abrufen und den Empfänger des Trojanischen Pferdes so ausspionieren.
Wenn Sie eine Webseite aufrufen, die auf einem von "Download.Ject" infizierten Server gehostet wird, kann diese Seite ein trojanisches Pferd auf Ihren PC laden. Es kann den Internet-Zugang überwachen, um sensible Daten wie Benutzernamen und Kennwörter abzufangen, oder über vorgetäuschte Eingabeaufforderungen dazu animieren, vertrauliche Daten (z.B. Bankkarten- oder Kreditkartennummern) einzugeben.



Backdoor

Hintertür, lassen z.B. eine Fernsteuerung des Rechners zu.
Damit kann ein Angreifer von außen über das Netzwerk Daten manipulieren oder ausspionieren.

Eine in einem Programm versteckte Funktion, die es, sofern man Kenntnis von ihrer Existenz hat, erlaubt, Zugriff auf ein fremdes System zu erlangen. Häufig geschieht dies durch Eingabe eines bestimmten Passworts.

(aus:wikipedia) Als Backdoor (deutsch Hintertür, auch Trapdoor: Falltür) bezeichnet man einen vom Autor eingebauten Teil eines Computerprogrammes, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer (oder einem Computerprogramm) zu erlangen.

In jüngerer Zeit findet der Begriff Backdoor auch Anwendung als Bezeichnung für z.B. durch Trojaner nachträglich installierte Programmpakete, die Benutzern über das Internet Zugriff auf Computersysteme gewähren.

(aus : F-Secure) Eine Backdoor (Schleusenprogramm) ist ein Fernzugriffstool für Hacker. Normalerweise handelt es sich bei einem Schleusenprogramm um eine eigenständige Datei, die sich selbst auf dem System installiert und aktiviert, um bestimmte Netzwerkanschlüsse auf bestimmte Befehle abzuhören.

Eine typische Backdoor besteht aus zwei Komponenten - Client und Server. Einige Backdoor-Pakete verfügen über Konfigurationswerkzeuge, mit denen Hacker Server-Komponenten nach ihren Bedürfnissen konfigurieren können. Einige wenige Backdoor-Programme verfügen über spezielle Scan-Tools, um betroffene Computer zu finden, auf denen Server-Komponenten installiert sind.

Es gibt auch IRC-Schleusenprogramme. Diese werden über Bots gesteuert, die in bestimmten Kanälen ausgewählter IRC-Kanäle erstellt werden. Dabei handelt es sich im Normalfall um Invite-Only-Kanäle, sodass nur eine Zugriffsmöglichkeit für Hacker besteht, die diese Schleusenprogramme verwenden.
Die Server-Komponente eines typischen Schleusenprogramms wird normalerweise auf dem für den Zugriff vorgesehenen Computer installiert. Hacker nutzen verschiedene Tricks, um Computer mit Server-Komponenten von Schleusenprogrammen zu infizieren: sie versenden sie in Trojaner-Dropper-Paketen, geben den Server-Dateien ansprechende Namen und verschicken sie über E-Mails. Einige Würmer und Viren legen Schleusenprogramme auf infizierten Systemen ab.
Bei der Ausführung eines typischen Schleusenprogramms kopiert es sich in das Windows- oder Windows-Systemverzeichnis und erstellt einen Registrierungsschlüssel, über den die Datei bei jeder Windows-Sitzung gestartet wird. Einige Schleusenprogramme verändern die Dateien WIN.INI und SYSTEM.INI oder kopieren sich in Startverzeichnisse von verschiedenen Benutzern. Von einigen Schleusenprogrammen können nach der Installation gefälschte Fehlermeldungen ausgegeben werden. Moderne Schleusenprogramme senden nach ihrer Aktivierung eine Benachrichtigung an bestimmte E-Mail-, ICQ- oder MSN-Konten. Sie übermitteln die IP-Adresse und andere Daten des infizierten Computers. Nach der Installation eines Schleusenprogramms hört es bestimmte Netzwerkanschlüsse auf Befehle ab, die von einer Client-Komponente gesendet werden.

Die Client-Komponente eines Schleusenprogramms dient zur Steuerung einer Server-Komponente, die auf einem infizierten Computer installiert ist. Client-Komponenten verfügen im Normalfall über eine sinnvoll konzipierte Benutzeroberfläche, um die Kommunikation mit Server-Komponenten zu vereinfachen.

Mit Schleusenprogrammen können Hacker die vollständige Kontrolle über ein infiziertes System erlangen.

Solche Programme bieten u. a.
- Funktionen zum Senden und Empfangen von Dateien
- Durchsuchen der Festplatte(n) und Netzlaufwerke des infizierten Computers
- Abrufen von Systeminformationen
- Empfangen von Screenshots des betroffenen Computers
- Kommunizieren mit einem infizierten System und dessen Benutzer
- Ändern von Datums-/Zeiteinstellungen des Betriebssystems
- sowie zum Spielen von (technischen) Streichen 
  (z. B. Öffnen/Schließen des CD-ROM-Schubfachs) auf dem infizierten System.
- Mit einigen Schleusenprogrammen können Hacker die Vorgänge an 
  einem entfernten Computer sogar optisch und akustisch verfolgen, 
  wenn dieser mit einem Mikrofon und einer Webcam ausgestattet ist.
  Einfache Schleusenprogramme können Dateien nur auf betroffene 
  Computer hochladen, von diesen herunterladen und auf dem Computer ausführen. 

ACHTUNG: Sobald Ihr Computer durch ein Backdoor-Programm/Wurm angegriffen wurde, 
besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. 
Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, 
auf dem eine solche Infektion stattgefunden hat. 
Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben:

* Entwenden oder Ändern von Kennwörtern oder Kennwortdateien
* Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren)
* Installieren von Software zur Aufzeichnung von Tastatureingaben
* Konfigurieren von Firewall-Regeln
* Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
* Löschen und Bearbeiten von Dateien
* Versenden von anstößigem oder diskriminierendem Material von einem E-Mail-Benutzerkonto
* Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien
* Löschen von Protokolldateien, um solche Aktivitäten zu verbergen
Um sicherzustellen, dass Ihr System sicher ist, muss das Betriebssystem neu installiert werden. Dateien aus Sicherungskopien vor der Infizierung müssen wiederhergestellt werden und alle Kennwörter, die sich auf den infizierten Computern befanden oder auf die von diesen zugegriffen werden konnte, müssen geändert werden. Dies ist die einzige Möglichkeit, die Sicherheit Ihrer Systeme zu gewährleisten.

Active-X-Inhalte

Das Ausführen von Active-X Inhalten die auf zweifelhaften Webseiten untergebracht sind, aber Zugriff auf die lokale Festplatte erhalten /das Anklicken so einer speziell praeparierten Webseite bei aktiviertem AktiveX genügt.....

Ein ActiveX-Steuerelement (Steuerelement), engl. als ActiveX Control bezeichnet, ist eine Variante von ActiveX. Ein solcher Software-Baustein kann von einem Web-Browser automatisch geladen und auf dem Computer eines mit dem Netz verbundenen Anwenders ausgeführt werden, wobei er dauerhaft auf der lokalen Festplatte dieses Rechners gespeichert wird (anders als bei den entsprechenden Java-Technologien). Dabei sind ActiveX-Steuerelemente jedoch auf die Betriebssysteme Windows und Windows NT beschränkt (im Gegensatz zu Java-Beans und Java-Applets, die plattformunabhängig sind). Beispiele für Anwendungen von ActiveX-Steuerelementen sind Animationen und Abspielprogramme für Videos im Format MPEG.

ActiveX-Technologie kann aber auch mangelnde Sicherheit bedeuten, da ActiveX-Steuerelemente auf alle Ressourcen des Client-Rechners zugreifen können (anders als bei Java, wo der Zugriff auf eine Virtual Machine beschränkt ist), besteht beim Laden der Programme die Gefahr, dass dort Schaden angerichtet wird, sei es durch Fehler in der Programmierung oder durch eingeschleppte Viren oder Trojanische Pferde. Um dieser Gefahr zu begegnen, hat Microsoft mit AuthentiCode eine Möglichkeit geschaffen, die Herkunft eines ActiveX-Steuerelements sicher zu bestimmen. Dazu wird mittels eines Public-Key-Verfahrens vom Urheber des Steuerelements eine digitale Signatur generiert, und mit einer zweiten Signatur von einer Signaturstelle wird garantiert, dass die erste Signatur echt ist. AuthentiCode informiert nun den Benutzer vor dem Start eines ActiveX-Steuerelements, das über des Web geladen worden ist, ob dieses signiert ist und ob die Signaturen zwischenzeitlich verändert wurde.

Evil (AcitveX-Trojaner)
Der erste Trojaner, welcher in ActiveX programmiert wurde. Diese neue Technolgie dieses neuen Backdoor-Trojaners, könnte eine der fatalsten Bedrohungen im Internet werden. Zum Schutz vor Trojanischen Pferde reicht es nicht mehr, lediglich Programme unbekannter Herkunft nicht zu öffnen und/oder einfach zu löschen. Dieser Trojaner versteckt sich in Form eines Scriptes in einer HTML-Datei. Wird diese Datei durch einen Browser oder HTML-fähigem Mailprogramm aufgerufen und heruntergeladen, verbleibt das ActiveX Programm zwecks Installation des Trojaners auf dem System. Wenn der Virus also durch den Aufruf der infizierten HTML-Datei (Webseite oder E-Mail in HTML-Form) aktiviert wurde.

Beispiel: Downloader.FK ist ein Trojaner, der auf bestimmten Seiten geladen wird, wenn ActiveX akzeptiert wird: (dabei sieht es aus, als sei es ein völlig normales ActiveX.....)

Downloader.FK
* Spyware/Clearsearch
* Adware/Addestroyer
* Adware/VitualBouncer
* Spyware/TVMedia
* Adware/Portalscan
* Adware/Sidesearch

Beispiel:

C:\MAIN.MHT!ttp://d.dialer2004.co//zedtr/main.ch::/load.exe

installiert sich bei Öffnen dieser Seite (bei aktiviertem ActiveX im IE) als:
C:\WINDOWS\Downloaded Program Files\load.exe (5120 bytes)

Erstellt: C:\WINDOWS\toolbar.exe

Erstellt Einträge in der Registry:

HKEY_CLASSES_ROOT\.eml
HKEY_CLASSES_ROOT\.nws

Erstellt im Browser die dll :
THUMBVW.DLL

Network services:
* Looks for an Internet connection.
* öffnet URL: *http://213.159.117.133/dkprogs/toolbar.txt*

Einbruch in den PC/ NetBIOS

aktivierte einfache Freigabe von Laufwerken und Druckern im LAN

NetBIOS ermöglicht die einfache Freigabe von Laufwerken und Druckern im LAN (Local Area Network - ein Netzwerk das sich innerhalb eines kleinen Gebietes erstreckt )

Dabei geht es im Wesentlichen um die Option "NetBIOS über TCP/IP aktivieren", die Sie in den Eigenschaften Netzwerkverbindungen finden. Die Option befindet sich auf dem Teil des Dialoges den Sie mit dem 'Erweitert' Button erreichen. Schalten Sie diese Option ab.

NetBIOS über TCP/IP aktivieren

Rootkits in BIOS

Quelle: weiter http://www.silicon.de
Auf der Security-Konferenz des Schulungs- und Seminaranbieters Black Hat sorgt ein Bericht für Aufsehen, der Rootkits neuerdings auch im BIOS selbst vermutet. Die üblichen Security-Vorgänge werden dadurch umgangen, heißt es.

Mail-Viren / Mail-Links

Mit gefälschten Februar-Rechnungen der Telekom wird Trojaner verbreitet Seit ein paar Tagen finden viele Internetnutzer in ihren Internetbriefkästen eine gefälschte Telekom-Februarrechnung. Der aufgelistete Betrag ist jeweils unterschiedlich. Im Gegensatz zu früheren Varianten, bei denen sich der Schädling im Anhang befand, wird hier ein eventueller Schädling durch einen Link aktiviert, den man anklicken soll, um nach einem Login weitere Informationen zur Telefonrechnung zu erfahren.

Trojaner kidnappt Dateien, verschlüsselt sie und erpresst User Der Trojaner mit dem Namen "Cryzip" erpresst User. Er verschlüsselt fremde Dateien und verlangt für die Öffnung der .zip Dateien ein Passwort. Dieses Passwort kann sich der Nutzer für 300 Dollar erkaufen. Gezahlt wird mit der Online-Währung E-Gold. Nach der Zahlung erhält der User eine Anleitung, wie er wieder an seine Daten kommt. Laut Sicherheitsexperten verbreitet sich der Trojaner über Spam-Mails und umgeht gleichzeitig Antiviren-Scanner



Beispiel:
Das ist ein Backdoor, der die Kontrolle über einen PC übernommen hat:
IRC Trojan
Im Ordner C:\WINDOWS\system32\Com\oboe32 haben sich 2 Dateien gebildet
Dateinamen:
rundmc.exe
shell32.exe
ServUStartUpLog.log
ServUCert.reg
ServUDaemon.ini
-----------------------------------
ServUDaemon.ini
[GLOBAL]
Version=4.0.0.2
RegistrationKey=*****DEL
LocalSetupPassword=4821405540185A
LocalSetupPortNo=6667
MaxNrUsers=2
SpeedLimit=51200
DeletePartialUploads=1
AntiHammer=1
BlockFTPBounceAttack=1
OpenFilesUploadMode=Shared
ProcessID=1760
[DOMAINS]
Domain1=0.0.0.0||3891|remoto1|1|0
[Domain1]
ReplyNoAnon=!!WARNING!! No anonymous access allowed.
ReplyNoCredit=Sorry, insufficient credit for download.
ReplySYST=Suca
ReplyTooMany=Too many users
ReplyDown=Server down.
ReplyOffline=Server Offline.
MaxNrUsers=1
User1=mdsd|1|0
[USER=mdsd|1]
Password=eb336B77B89E564480062E7F0C56BB9416
HomeDir=c:\windows\system32\com\oboe32\data
LoginMesFile=ammuccamu
TimeOut=600
MaxNrUsers=2
Maintenance=System
Access1=c:\windows\system32\Com\oboe32\data|RWLP

weiter HijackThis
O1 - Hosts: 127
O4 - HKLM\..\Run: [Microsoft Windows Registry Updater] wreg.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Registry Updater] wreg.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Registry Updater] wreg.exe
O4 - HKCU\..\Run: [Microsoft Windows Registry Updater] wreg.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Registry Updater] wreg.exe
O23 - Service: Winlogon - Unknown 
C:\WINDOWS\System32\com\oboe32\rundmc.exe
O23 - Service: Shell32 - Unknown 
C:\WINDOWS\System32\com\oboe32\shell32.exe
Dienste:
SERVICE_NAME: Shell32
(null)
TYPE : 10 WIN32_OWN_PROCESS
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : 
"C:\WINDOWS\System32\com\oboe32\shell32.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Shell32
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Winlogon
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : 
"C:\WINDOWS\System32\com\oboe32\rundmc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Winlogon
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

PROXY-Hacker

Proxy-Server, die benutzt werden, um die eigene IP-Adresse zu verstecken,
sind eine weitere Gefahrenquelle. Wurde eine Attacke auf einen benutzten Proxy-Server erfolgreich ausgeführt, wird der Anwender immer auf die in der HOSTS Datei manipulierten Webseite umgeleitet, wenn er den Domain-Namen seiner Bank aufruft. Das er umgeleitet wird, kann er nicht erkennen, weil es keine Warnzeichen gibt, außer die, dass sich eine IP-Adresse verändert hat.

Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Beispiel/gehackter Proxy (Troj/Agent-AU)

HKCU\Software\Microsoft\Windows\CurrentVersion\
Internet Settings,ProxyOverride = *local*
C:\Windows\System\ad01... C:\Windows\System\AD01WBE.EXE:*:Enabled:cmsscs
C:\windows\system\aux32.exe c:\windows\system\aux32.exe:*:Enabled:aux32.exe
C:\windows\system\csmss.exe c:\windows\system\csmss.exe:*:Enabled:csmss
C:\windows\system\csmss32.exe c:\windows\system\csmss32.exe:*:Enabled:csmss32
C:\WINDOWS\SYSTEM\DOIT... C:\WINDOWS\SYSTEM\DOIT.EXE:*:Enabled:cmsscs
C:\WINDOWS\SYSTEM\UP.EXE C:\WINDOWS\SYSTEM\UP.EXE:*:Enabled:smsscs
C:\WINDOWS\tgbcde\module3... C:\WINDOWS\tgbcde\module32.exe:*:Enabled:module32

HKLM\..\Run: [spoolsvr32] c:\windows\system\csmss32.exe 
HKEY_USERS\S-1-5-21-833800102-1989038691-135915348-1005\

Software\Microsoft\Windows\CurrentVersion
Name:tgbcde - type:REG_BINARY 

FTP, Proxy und Schleusenprogramm

Bei Trojaner LdPinch (Beispiel) handelt es sich um einen kennwortstehlenden Trojaner mit Schleusenfunktion und Proxy-Fähigkeiten, der am 15. Dezember 2004 entdeckt wurde. Er wurde in Deutschland massiv als Spam versendet, und zwar in einer Nachricht, die den Anhang "telekom-rechnung.chm" enthielt. Dieser Anhang enthält zwei Dateien: eine kleine HTML-Datei, die versucht, die andere Datei, "open.exe", auszuführen. Dabei wird eine Sicherheitslücke im Internet Explorer genutzt. Die Datei "open.exe" enthält den eigentlichen Trojaner.

Wenn der Trojaner aktiv ist, startet er einen FTP-Server auf TCP-Port 2121. Der Server benötigt einen Benutzer und ein Kennwort. Wenn ein gültiger Benutzername mit einem ebenso gültigen Kennwort angegeben wird, gewährt der Server Zugriff auf alle Laufwerke des infizierten Computers.

Der Trojaner startet auch einen Proxy-Server auf TCP-Port 2355.
Dieser Proxy kann von Spammern genutzt werden. Der interne Name des Trojaners, 'Spam Pinch 2 DE', weist darauf hin, dass er ursprünglich aus diesem Grund erstellt wurde.

Eine weitere wichtige Funktion dieses Trojaners ist das Starten eines Schleusenprogramms auf TCP-Port 2050. Wenn ein Remotebenutzer mit diesem Port verbunden ist, arbeitet er mit einer Befehlskonsole auf einem infizierten Computer.

Der Trojaner informiert seinen Verfasser über infizierte Computer, in dem er auf eine webnomey.net-Website mit einen speziell konstruierten URL zugreift, der die IP-Adresse, den Proxy-Port, den FTP-Port und den Shell-Port für das Schleusenprogramm eines Computers enthält.

Darüber hinaus setzt sich der Trojaner selbst auf die Liste zugelassener Anwendungen für die Windows Firewall. Durch diese Modifikation gewährt Windows dem Trojaner Zugriff auf das Internet und informiert auch keinen Benutzer darüber, dass die Anwendung eines Drittanbieters einen Zugriff auf das Internet anfordert.

Der Trojaner informiert seinen Verfasser über infizierte Computer, in dem er auf eine webnomey.net-Website mit einen speziell konstruierten URL zugreift, der die IP-Adresse, den Proxy-Port, den FTP-Port und den Shell-Port für das Schleusenprogramm eines Computers enthält.

Der Trojaner ruft Einstellungen von verschiedenen
Anwendungen ab und spioniert Web-, FTP- und E-Mail-Server-Adressen,
Anmeldedaten und Kennwörter aus.

Keylogging

Der Begriff Keylogging steht für das Aufzeichnen von Tastaturanschlägen. Ein speicherresidentes Programm hört den Interrupt der Tastatur ab und schreib alle Eingaben derer zur späteren Einsicht in eine Datei. Von besonderem Interesse sind natürlich die Login-Sequenzen, die dem Angreifer Benutzernamen und Kennwörter verraten. Ausgeklügelte Aufzeichnungstools lassen remote Einsicht in die Log-Datei nehmen, oder können jene automatisch bei bestehender Netzanbindung dem Eindringling zukommen lassen.

Keylogging: Gegenmassnahmen Die Entdeckung von aufzeichnendem Programmcode ist sehr schwiereg, da die Infiltration des Systems sehr subtil abläuft. Man sollte jedoch bedenken, dass ein Keylogger bestmöglich beim Systemstart ausgeführt werden soll. Folglich muss der Aufruf dessn in irgendeiner Start-Zeile eingenistet haben: Von der Registry über die autoexec.bat bis hin zu win.ini kann so ziemlich alles als Versteck dienen.

Rootkit

Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystems auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden.

Der Name Rootkit entstand aus der Tatsache, dass die ersten Sammlungen von Unix-Tools zu oben genannten Zwecken aus modifizierten Versionen der Programme ps, netstat, passwd usw. bestanden, die dann jede Spur des Angreifers, die sie normalerweise zeigen würden, verbargen, und es dem Angreifer so ermöglichten, mit den Rechten des Systemadministrators root zu agieren, ohne dass der wirkliche Administrator dies bemerken konnte.

Rootkits, die modifizierte Programme einsetzen, um sich selbst zu verbergen, sind jedoch relativ einfach durch den Vergleich der Prüfsummen der Programmdateien aufzuspüren. Die LKM-Rootkits hingegen verbergen sich, indem sie spezielle Programmteile in den Betriebssystem-Kernel als nachladbare Kernel-Module installieren (LKM steht für engl. loadable kernel module), und einige Funktionen des Betriebssystems ersetzen.

Der Begriff ist heute nicht mehr allein auf Unix-basierte Betriebssysteme beschränkt, da es inzwischen Tools gibt, die ähnliche Funktionalität auch für Nicht-Unix-Systeme bieten, obwohl diese natürlich keinen root-Account haben.

Rootkitrevealer
weiter Rootkitscanner | weiter Rootkit-Analyse

F-Secure BlackLight Rootkit Elimination
weiter Anleitung Blacklight

Cookies/Webbugs - gilt für alle Browser

Cookies werden von der fremden Webseite auf lokalen PCs gesetzt und können von dieser Webseite (sowie mit Tricks auch von anderen ) wieder gelesen werden. Aber es gibt etwas Tückischeres - die Webbugs, und die können senden!! Nach- stehend ein kurzer Sachauszug und Info-Links zu Webbugs. So richtig hat sich noch kein Security-Tool dieser Bedrohung der Privatsphäre angenommen.

Web Bugs sind winzige GIFs mit einer Größe von normalerweise 1x1 Pixel, die auch in anderen Grafiken versteckt werden können. Nur wer sich den Source Code einer Website ansieht, kann die Web Bugs als IMG-Tags erkennen. Wegen dieser Eigenschaft werden sie auch eingesetzt, weil so die Benutzer nicht bemerken, dass sie beobachtet werden.

Ein Web Bug sendet die IP-Adresse, die URL der besuchten Webseite, die URL des Web Bug GIFs, den Zeitpunkt, an dem der Web Bug angeschaut wurde, den Browsertyp sowie die Informationen eines zuvor gesetzten Cookies an einen Server. Von Interesse sind Web Bugs, weil sie zusätzliche Informationen zu denjenigen übermitteln, die mit einem Cookie erfasst werden. Innerhalb eines Werbenetzes, also von Werbungen auf unterschiedlichen Websites einer Online- Agentur, können zusammen mit Cookies genauere statistische Informationen über Benutzer erfasst werden.

PS: Webbugs funktionieren auch in HTML-Emails. Damit kann der Absender indirekt feststellen, ob seine Mails gelesen wurden. Es reicht das Lesen der Mail..

Virus - über MSN-Messenger
Userbericht.....(vor dem Formatieren):
...wtff why are you in this crazy site?... und danach sieht man die emailadr.. von dem es kommt...
ich habs ausversehen drauf geklickt und dann fragte es mich ob ich es akteptiere, 
und dan hats automatisch gedownloadet und jaa , es öffene alle fenster von meiner 
Kontaktliste. und sendete das.
Und das hört einfach nicht mehr auf, es wiederholt immer und immer wieder...... 

-Windows Systemsoftware-
Windows Systemsoftware
-Sicherheitssoftware-
Sicherheitssoftware
-Virendiagnostik Tools-
Tools Utilities Virendiagnostik
-Online-Virus-Scanner-
Online-Virus-Scanner
-Desktop Firewall Windows-
Desktop Firewall
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits