---

Hej.
Inde på siden
http://regman.freeze.com/survey/waterfalls/index.asp?f=ssavercom&s=waterfalls
hatr jeg downloaded screensaveren "Free Living Waterfalls". Selv om jeg
svarede nej til alt (mener jeg), har jeg i tilgift fået en slags ekstra
værktøjslinje "SearchBar" beliggende lige over processlinjen. Jeg håber, der
er en, der kan fortælle mig, hvordan jeg får denne fjernet uden at behøve at
geninstallere hele Windows XP igen.
---
Steffen

---

Steffen wrote:
>
> Hej.
> Inde på siden
> http://regman.freeze.com/survey/waterfalls/index.asp?f=ssavercom&s=waterfalls
> hatr jeg downloaded screensaveren "Free Living Waterfalls". Selv om jeg
> svarede nej til alt (mener jeg), har jeg i tilgift fået en slags ekstra
> værktøjslinje "SearchBar" beliggende lige over processlinjen. Jeg håber, der
> er en, der kan fortælle mig, hvordan jeg får denne fjernet uden at behøve at
> geninstallere hele Windows XP igen.

Når du har kørt et program fra en upålidelig kilde
er en reinstallation den eneste måde at være sikker
på at få fjernet det helt.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont mumbled his insignificant opinion in:
401D8E91.796C9C2D@daimi.au.dk

> Når du har kørt et program fra en upålidelig kilde
> er en reinstallation den eneste måde at være sikker
> på at få fjernet det helt.

Jeg er ikke uenig, men hvis kilden er en "kendt" synder, så ville jeg
overveje om ikke den kan fjernes.

En tur med ad-aware, spybot og en virusscanning, og så se hvordan det så ser
ud.

---

> Jeg er ikke uenig, men hvis kilden er en "kendt" synder, så ville jeg
> overveje om ikke den kan fjernes.

Hvad skal der til for du "tror" den er kendt?

> En tur med ad-aware, spybot og en virusscanning, og så se hvordan det så ser
> ud.

De ville aldrig finde en modificeret kerne, eller filsystemsdriver
der skjuler programmet.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel mumbled his insignificant opinion in:
slrnc1s04u.o31.chel@weebo.dmz.spindelnet.dk

>> Jeg er ikke uenig, men hvis kilden er en "kendt" synder, så ville jeg
>> overveje om ikke den kan fjernes.
>
> Hvad skal der til for du "tror" den er kendt?

Hvis det nu f.eks. drejede sig om gator/gain (hvad det aktuelt næppe gør),
så er den også let genkendelig af ad-aware og den kan fjerne den helt.
Drejer det nu sig om noget mere eksotisk som der ikke umiddelbar er en kur
imod, ja så er det en anden sag. Der er selvfølgelig ingen garanti for at
man ikke netop er den første i verden som har fået en ny variant. Aligevel
ville jeg ofre de 10 minutter på at se hvad adaware OG spyware + antivirus
fælles kan finde.

>> En tur med ad-aware, spybot og en virusscanning, og så se hvordan
>> det så ser ud.
>
> De ville aldrig finde en modificeret kerne, eller filsystemsdriver
> der skjuler programmet.

Hvis den er kendt af programmet, jo.

---

Sune Storgaard wrote:
>
> Christian E. Lysel mumbled his insignificant opinion in:
> slrnc1s04u.o31.chel@weebo.dmz.spindelnet.dk
> >
> > De ville aldrig finde en modificeret kerne, eller filsystemsdriver
> > der skjuler programmet.
>
> Hvis den er kendt af programmet, jo.

En modificeret kerne eller driver kan skjule sin
egen tilstedeværelse så godt, at den er umulig at
finde. Dit eneste håb er, at programmøren har
valgt at springe over hvor gærdet er lavest, og
dermed åbner mulighed for, at trojanen kan ses,
hvis man ved, hvad man skal kigge efter.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont mumbled his insignificant opinion in:
401E3466.D4E66E2@daimi.au.dk

> En modificeret kerne eller driver kan skjule sin
> egen tilstedeværelse så godt, at den er umulig at
> finde. Dit eneste håb er, at programmøren har
> valgt at springe over hvor gærdet er lavest, og
> dermed åbner mulighed for, at trojanen kan ses,
> hvis man ved, hvad man skal kigge efter.

Man kan gemme ting meget godt, men hvis adaware programmet kender
gemmestederne så er man lige vidt.

Selvfølgelig er der situationer hvor man ikke kan vide sig sikker, og jeg
ville også altid geninstallere efter et virus angreb. Men i et tilfælde med
spyware, ville jeg absolut prøve med adaware og andre først i offline. Der
kan jo ikke ske andet end man må geninstallere aligevel. Backup har man jo
taget..

---

Sune Storgaard wrote:
>
> Man kan gemme ting meget godt, men hvis adaware programmet kender
> gemmestederne så er man lige vidt.

Vrøvl. Hvis trojanen har patchet de systemkald,
som kunne afsløre dens tilsteddeværelse, og har
patchet filsystemet, så den heller ikke kan ses
på disken, så kan den faktisk være 100% usynlig.
Den største udfordring er at skjule det faktum,
at den bruger lidt ram og lidt diskplads.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont mumbled his insignificant opinion in:
401E5202.B1FBDEC4@daimi.au.dk

> Vrøvl. Hvis trojanen har patchet de systemkald,
> som kunne afsløre dens tilsteddeværelse, og har
> patchet filsystemet, så den heller ikke kan ses
> på disken, så kan den faktisk være 100% usynlig.

100% usynlig.. den nyhed bliver symantec osv. næppe glad for at høre,
såfremt den er sand...

> Den største udfordring er at skjule det faktum,
> at den bruger lidt ram og lidt diskplads.

Det lyder ikke helt som 100% mere ?

Hvis ad-aware(etc) kender til den måde programmet gemmer sig på, vil den
også kunne finde den. Man ved programmet er der, så det er et spørgsmål om
at sammenligne data, uanset om det er på sektor,fil eller registrerings
database niveau.

Tror du der findes spyware eller vira som har eksisteret i flere år uden at
blive opdaget ? Hvis det gør finder vi jo af gode grunde aldrig ud af det,
men det er min opfattelse at en *sjældent* er i omløb i mere end en uge før
der er kure mod den. Der går måske lidt længere med spyware, men det skal
nok blive fundet. Specielt når det er så åbenlyst som i det oprindelige
indlægs tilfælde.

Jeg er 99% sikker på Steffen kan få løst sit problem , på en sikker måde ved
at bruge et par forskellige værktøjer som kontrol. Alternativt kan han jo
geninstallere (efter en format) som han havde overvejet, men med den faktor
er det da dumt ikke i det mindste at forsøge.. -med mindre man arbejder på
et atomkraftværk eller har en hat som skinner..

---

"Sune Storgaard" <speg-fjern@mail.dk> writes:

> Kasper Dupont mumbled his insignificant opinion in:
> 401E5202.B1FBDEC4@daimi.au.dk
>
> > Vrøvl. Hvis trojanen har patchet de systemkald,
> > som kunne afsløre dens tilsteddeværelse, og har
> > patchet filsystemet, så den heller ikke kan ses
> > på disken, så kan den faktisk være 100% usynlig.
>
> 100% usynlig.. den nyhed bliver symantec osv. næppe glad for at høre,
> såfremt den er sand...

Det ved de godt. Prøv at søge på rootkits på google.

>
> > Den største udfordring er at skjule det faktum,
> > at den bruger lidt ram og lidt diskplads.
>
> Det lyder ikke helt som 100% mere ?

Styresystemet kan ikke se programmet. Derfor kan programmer der kører
uderstyresystemet heller ikke se det.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel router.

---

>> patchet filsystemet, så den heller ikke kan ses
>> på disken, så kan den faktisk være 100% usynlig.
>
> 100% usynlig.. den nyhed bliver symantec osv. næppe glad for at høre,
> såfremt den er sand...

Verden er faktisk ond...producenterne fortæller dig ikke alt.

Endvidere kan de ej scanne i NTFS's ADS struktur, her
kan du også gemme en troj, uden at skulle bygge rettelser
til kerner og filsystem drivere.

> Jeg er 99% sikker på Steffen kan få løst sit problem , på en sikker måde ved
> at bruge et par forskellige værktøjer som kontrol. Alternativt kan han jo

De finder kun kendte implementationer på trusler som kan defineres vha.
en signatur.

> geninstallere (efter en format) som han havde overvejet, men med den faktor

Format og reinstallation af OS'et er 100% sikkert, hvis
angriberen ikke har inficeret ens installationsmedier.

> er det da dumt ikke i det mindste at forsøge.. -med mindre man arbejder på
> et atomkraftværk eller har en hat som skinner..

Du er 99% sikker på en trussel du ikke var klar over eksisterede, ikke
eksistere, derefter "klamre" du dig til at producenter der
tjener penge på dig ved bedst.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel mumbled his insignificant opinion in:
slrnc1sogo.ppr.chel@weebo.dmz.spindelnet.dk

<klip>
> Du er 99% sikker på en trussel du ikke var klar over eksisterede, ikke
> eksistere, derefter "klamre" du dig til at producenter der
> tjener penge på dig ved bedst.

Jeg er 100% sikker på at Steffen rent faktisk har fået en searchbar+spyware
installeret, og jeg er 99% sikker på at den kan fjernes igen uden at
formatere, det var det debatten drejede sig om. Det er almindelig kendt at
den screensaver har spyware, og ligeså almindelig kendt at den kan fjernes
igen.

Om der også findes en echelon antenne i hans pc , eller hans trådløse mus
aflæser og sender hans biorytmer til CIA er dog uvist. Tvivler dog stærkt
på at den ville være kommet sammen med hans screensaver som search baren
gjorde.

Men hvis du vil bulkerase din disk og installere pc'en igen fra et krypteret
medie med et ubrudt segl og en hat af sølvpapir på, for at fjerne en primitv
toolbar og noget spyware fra en windows maskine , så gør det.

---

> Jeg er 100% sikker på at Steffen rent faktisk har fået en searchbar+spyware

Kan du ikke, mens du er igang, give os lotto tallene for næste uge?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel mumbled his insignificant opinion in:
slrnc1tgh6.j0f.chel@weebo.dmz.spindelnet.dk

>> Jeg er 100% sikker på at Steffen rent faktisk har fået en
>> searchbar+spyware
>
> Kan du ikke, mens du er igang, give os lotto tallene for næste uge?

Nej, dansk tipstjeneste har overtaget kontrollen med min pc.

---

In article <401ed930$0$30064$edfadb0f@dtext01.news.tele.dk>, Sune Storgaard wrote:
>> Kan du ikke, mens du er igang, give os lotto tallene for næste uge?
> Nej, dansk tipstjeneste har overtaget kontrollen med min pc.

Påvirker det dine synske evner i en negativ retning?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Sune Storgaard wrote:
>
> Kasper Dupont mumbled his insignificant opinion in:
> 401E5202.B1FBDEC4@daimi.au.dk
>
> > Vrøvl. Hvis trojanen har patchet de systemkald,
> > som kunne afsløre dens tilsteddeværelse, og har
> > patchet filsystemet, så den heller ikke kan ses
> > på disken, så kan den faktisk være 100% usynlig.
>
> 100% usynlig.. den nyhed bliver symantec osv. næppe glad for at høre,
> såfremt den er sand...

Det er muligt at gøre trojanen 100% usynlig for
programmer, der kører på den inficerede maskine.
Men hvis man booter fra et andet medie og
undersøger harddisken vil man kunne se den.
(Under forudsætning af at den ikke også har
inficeret BIOS, har dog aldrig hørt om tilfælde
hvor det er sket).

>
> > Den største udfordring er at skjule det faktum,
> > at den bruger lidt ram og lidt diskplads.
>
> Det lyder ikke helt som 100% mere ?

Ville du opdage, hvis der forsvandt 504KB af din
disk kapacitet? Ville et program, der ikke ved,
hvor stor din harddisk er kunne opdage det?

>
> Hvis ad-aware(etc) kender til den måde programmet gemmer sig på, vil den
> også kunne finde den.

Nej, ikke hvis den er skjult godt nok.

> Man ved programmet er der,

Det ved man som udgangspunkt ikke noget om, det
er det man prøver at finde ud af.

> så det er et spørgsmål om
> at sammenligne data, uanset om det er på sektor,fil eller registrerings
> database niveau.

Men trojanen har jo netop ændret funktionerne til
at læse de pågældende data. Så når du prøver at
læse dem, giver trojanen dig data, som de ville
have set ud, hvis trojanen ikke havde været der.
Programmet har ikke en chance for at se, om der
er en trojan eller ej.

>
> Tror du der findes spyware eller vira som har eksisteret i flere år uden at
> blive opdaget ?

Nej.

For det første er der mere end en måde at opdage
den slags problemer på. For det andet tror jeg
det er for stort et arbejde til, at nogen har
gennemført det.

Hvis du observerer systemet udefra kan du f.eks.
se, om systemet sender unormal trafik på nettet.
Så enten skal man også inficere alle de systemer,
som ville foretage overvågningen, eller også
skal man få trafikken til at se uskyldig ud.

Der er to problemer at løse. For det første skal
man opdage at trojanen eksisterer, derefter skal
man afgøre om en given maskine er inficeret.

I den første face ved man af gode grunde ikke,
hvad man skal kigge efter. Derfor er det nemmest
at skjule sig i den face. I den anden face ved
man, hvad man skal kigge efter.

Et uinficeret system, som undersøger nettrafik
eller en potentielt inficeret harddisk vil kunne
genkende infektionen.

Men for software kørende under et inficeret
system vil det være muligt for trojanen at
skjule alle spor. Jeg tror dog alle der har
forsøgt på det har overset et eller andet, som
gøre at den kan opdages. Og skulle det endeligt
lykkes at skjule sig helt, så ville det nok
kræve mange CPU resourcer. Og når maskinen så
begynder at synes for langsom vil man nok indse,
at der er noget galt.

> Hvis det gør finder vi jo af gode grunde aldrig ud af det,
> men det er min opfattelse at en *sjældent* er i omløb i mere end en uge før
> der er kure mod den.

Enten har virus programmøren ikke gjort sit
"arbejde" godt nok, eller også har han ikke
prøvet at lave en usynlig virus.

> Der går måske lidt længere med spyware, men det skal
> nok blive fundet. Specielt når det er så åbenlyst som i det oprindelige
> indlægs tilfælde.

Ja, dens tilstedeværelse var åbenlys. Men den
kan jo have andre komonenter, som ikke er lige
så synlige. Du kan i teorien godt fjerne en
del af problet og stadig have en lille ting
liggende skjult.

>
> Jeg er 99% sikker på Steffen kan få løst sit problem , på en sikker måde ved
> at bruge et par forskellige værktøjer som kontrol. Alternativt kan han jo
> geninstallere (efter en format) som han havde overvejet, men med den faktor
> er det da dumt ikke i det mindste at forsøge.. -med mindre man arbejder på
> et atomkraftværk eller har en hat som skinner..

Er det skadelige program kendt? Er det blevet
analyseret i alle detaljer? Hvis ja, så kan der
være nogen, der ved præcis hvordan det gemmer
sig, og hvordan det fjernes. Hvis de da ikke har
overset noget.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont mumbled his insignificant opinion in:
401EB83E.DB5CA0B5@daimi.au.dk

> Det er muligt at gøre trojanen 100% usynlig for
> programmer, der kører på den inficerede maskine.
> Men hvis man booter fra et andet medie og
> undersøger harddisken vil man kunne se den.
> (Under forudsætning af at den ikke også har
> inficeret BIOS, har dog aldrig hørt om tilfælde
> hvor det er sket).

Det lyder som det føromtalte anti tyveri system.. kan ikke lige huske
navnet.. Det er meget vel muligt at snyde filsystemet, men med lowlevel
acces til det kan det naturligvis findes. At lægge data ned på disken er i
sigselv værdiløst.

>>
>>> Den største udfordring er at skjule det faktum,
>>> at den bruger lidt ram og lidt diskplads.
>> Det lyder ikke helt som 100% mere ?
> Ville du opdage, hvis der forsvandt 504KB af din
> disk kapacitet? Ville et program, der ikke ved,
> hvor stor din harddisk er kunne opdage det?

Nej en ½ MB på disken kan man nemt snige ind, sikkert også 10+ gange så
meget.. men du sprang let og elegant henover det med rammen? Idet programmet
skal køre, må det givetvis både have tildelt en smule ram og cpu, så har vi
pludselig en del mere at gå efter.

>> Hvis ad-aware(etc) kender til den måde programmet gemmer sig på, vil
>> den også kunne finde den.
>
> Nej, ikke hvis den er skjult godt nok.

David Copperfield kunne lære noget af det her, ting kan åbenbart forsvinde
sporløst. Og selvom man ved hvor/hvordan det gemmer sig, ja så kan man
stadigvæk ikke finde det..


>> Man ved programmet er der,
>
> Det ved man som udgangspunkt ikke noget om, det
> er det man prøver at finde ud af.

Det ved man når man pludselig har en bonus searchbar :) Selvfølgelig kan
man ikke som slutbruger examinere sin pc bit for bit, og man må bero sig på
andre dertil indrettede produkter. Hvis programmet gør noget vil det blive
opdaget, enten ved sin tilstedeværelse eller aktiviteter. Der findes som
bekendt en hel industri som ikke laver andet end at analysere mistænkelig
kode.

>> så det er et spørgsmål om
>> at sammenligne data, uanset om det er på sektor,fil eller
>> registrerings database niveau.
>
> Men trojanen har jo netop ændret funktionerne til
> at læse de pågældende data. Så når du prøver at
> læse dem, giver trojanen dig data, som de ville
> have set ud, hvis trojanen ikke havde været der.
> Programmet har ikke en chance for at se, om der
> er en trojan eller ej.

Uden et konkret eksempel bliver det lidt en fiktiv debat[tm], men ved at
holde sig til ovenstående er der en åbenlys mulighed: Ikke alle programmer
læser data på samme måde, springer man et led over og læser "hardcoded" så
bliver man ikke vildledt. Ser man i regdatabasen via regedit kan man måske
godt blive snydt, men åbner man regdatabasefilen(erne) i ren tekst, så
bliver man ikke.. Blot et jordnært *eksempel*

>> Tror du der findes spyware eller vira som har eksisteret i flere år
>> uden at blive opdaget ?
> Nej.
> For det første er der mere end en måde at opdage
> den slags problemer på. For det andet tror jeg
> det er for stort et arbejde til, at nogen har
> gennemført det.

Et umuligt job, man er ganske vist altid et skridt bagud , men det
indhentes. En "supervirus" med sådanne egenskaber er ren fiktion og tanken
har eksisteret længe, men det har endnu ikke set dagens lys..hvorfor mon?

> Hvis du observerer systemet udefra kan du f.eks.
> se, om systemet sender unormal trafik på nettet.
> Så enten skal man også inficere alle de systemer,
> som ville foretage overvågningen, eller også
> skal man få trafikken til at se uskyldig ud.

At inficere de systemer som overvåger utopisk. Skulle man drive gæk med en
hel industri? Skriv lige et program som kan inficere på tværs af platforme
og operativ systemer uden nogen opdager noget.. Man kan for det blotte
øje godt camouflere trafikken lidt, men det er da også blot et spørgsmål om
(meget kort) tid før nogen opdager at det.

Selv en personal firewall vil vække mistanken, man kan uden tvivl godt snyde
de første 20 forskellige, men når nr21 som er lavet anderledes fanger den,
så er ballet over.


> Der er to problemer at løse. For det første skal
> man opdage at trojanen eksisterer, derefter skal
> man afgøre om en given maskine er inficeret.
>
> I den første face ved man af gode grunde ikke,
> hvad man skal kigge efter. Derfor er det nemmest
> at skjule sig i den face. I den anden face ved
> man, hvad man skal kigge efter.
>
> Et uinficeret system, som undersøger nettrafik
> eller en potentielt inficeret harddisk vil kunne
> genkende infektionen.
>
> Men for software kørende under et inficeret
> system vil det være muligt for trojanen at
> skjule alle spor. Jeg tror dog alle der har
> forsøgt på det har overset et eller andet, som
> gøre at den kan opdages. Og skulle det endeligt
> lykkes at skjule sig helt, så ville det nok
> kræve mange CPU resourcer. Og når maskinen så
> begynder at synes for langsom vil man nok indse,
> at der er noget galt.

Så snart nogen opdager der er noget galt, hvilket i praksis tager ganske
kort tid, så skrives der programmer målrettet mod de famøse "stealth"
egenskaber. Jeg vil godt postulere at det ikke er muligt at skrive et
program til en given platform, hvor det ikke er muligt efterfølgende at
analysere dens egenskaber, og på den baggrund skrive endnu et program som
kan påvise det første. PCfinder påstod engang det modsatte og blev sablet
ned lige på stedet og måtte ændre deres udmelding.

>> Hvis det gør finder vi jo af gode grunde aldrig ud af det,
>> men det er min opfattelse at en *sjældent* er i omløb i mere end en
>> uge før der er kure mod den.
>
> Enten har virus programmøren ikke gjort sit
> "arbejde" godt nok, eller også har han ikke
> prøvet at lave en usynlig virus.

Tro mig, det har været prøvet mange gange, og ligepræcis så mange gange er
"tricket" blevet opdaget.

>> Der går måske lidt længere med spyware, men det skal
>> nok blive fundet. Specielt når det er så åbenlyst som i det
>> oprindelige indlægs tilfælde.
>
> Ja, dens tilstedeværelse var åbenlys. Men den
> kan jo have andre komonenter, som ikke er lige
> så synlige. Du kan i teorien godt fjerne en
> del af problet og stadig have en lille ting
> liggende skjult.

Se det er en reel risiko at man bliver narret på den konto. Kan se at
Steffen (trådstarteren) fandt 2 keys og slettede dem manuelt, det er en
fremgangsmåde som er meget usikker. Krydschecker man derimod med 2-3
anerkendte og up2date programmer, så er det risiko minimeret.

>> Jeg er 99% sikker på Steffen kan få løst sit problem , på en sikker
>> måde ved at bruge et par forskellige værktøjer som kontrol.
>> Alternativt kan han jo geninstallere (efter en format) som han havde
>> overvejet, men med den faktor er det da dumt ikke i det mindste at
>> forsøge.. -med mindre man arbejder på et atomkraftværk eller har en
>> hat som skinner..

> Er det skadelige program kendt? Er det blevet
> analyseret i alle detaljer? Hvis ja, så kan der
> være nogen, der ved præcis hvordan det gemmer
> sig, og hvordan det fjernes. Hvis de da ikke har
> overset noget.

Ja den almen kendt af forskellige programmer. Skulle være mærkeligt hvis
alle havde overset den samme detajle, muligt men i den her sammenhæng
usandsynligt. Debatten har jo nærmest udviklet sig som om der skulle tages
højde for en invasion af en fremmede galakse via hemmelige koder, og ikke en
"triviel" searchbar.

Jeg prioriterer skam min datasikkerhed højt, den sidste virus jeg havde hed
lamer exterminator og kørte på en Amiga 500. Men jeg har ikke nogen hat af
sølvpapir, og er heller ikke garderet mod meteorit nedslag

---

> Det lyder som det føromtalte anti tyveri system.. kan ikke lige huske
> navnet.. Det er meget vel muligt at snyde filsystemet, men med lowlevel
> acces til det kan det naturligvis findes. At lægge data ned på disken er i
> sigselv værdiløst.

Vil du kører lowlevel tilgangen fra operativ systemmet der er
komprimiteret?


Hvis du vil kører med lowlevel adgang skal dette ske fra et
ikke komprimiteret system, men selv her kan det være
svært at se.

> Nej en ½ MB på disken kan man nemt snige ind, sikkert også 10+ gange så
> meget.. men du sprang let og elegant henover det med rammen? Idet programmet
> skal køre, må det givetvis både have tildelt en smule ram og cpu, så har vi
> pludselig en del mere at gå efter.

Hvordan ser du hvor meget RAM der er ledigt, hvis du har et komprimiteret
operativ system?

> Det ved man når man pludselig har en bonus searchbar :) Selvfølgelig kan
> man ikke som slutbruger examinere sin pc bit for bit, og man må bero sig på
> andre dertil indrettede produkter. Hvis programmet gør noget vil det blive
> opdaget, enten ved sin tilstedeværelse eller aktiviteter. Der findes som
> bekendt en hel industri som ikke laver andet end at analysere mistænkelig
> kode.

Produkterne tager på ingen måde højde for denne slags angreb, og
kan på ingen måde idag hjælpe dig.

Jeg snakker selvfølgelig om et rootkit ikke om en søgebar.

> Uden et konkret eksempel bliver det lidt en fiktiv debat[tm], men ved at
> holde sig til ovenstående er der en åbenlys mulighed: Ikke alle programmer
> læser data på samme måde, springer man et led over og læser "hardcoded" så
> bliver man ikke vildledt. Ser man i regdatabasen via regedit kan man måske
> godt blive snydt, men åbner man regdatabasefilen(erne) i ren tekst, så
> bliver man ikke.. Blot et jordnært *eksempel*

Operativ systemmet er komprimiteret, ergo kan den give dig en ren tekst
fil som vildleder dig...

> Et umuligt job, man er ganske vist altid et skridt bagud , men det
> indhentes. En "supervirus" med sådanne egenskaber er ren fiktion og tanken
> har eksisteret længe, men det har endnu ikke set dagens lys..hvorfor mon?

Hvorfor skal du have den samme ting at vide flere gange?

http://www.rootkit.com/

Prøv evt. at kikke på denne implementation,

http://www.megasecurity.org/Tools/Nt_rootkit_all.html

Denne finder ad-aware og andre værktøjer ikke, for
filerne er ikke på operativsystemmet.
En personlig firewall finder den heller ikke, for
den bruger ikke TCP/IP stakken.

> At inficere de systemer som overvåger utopisk. Skulle man drive gæk med en
> hel industri? Skriv lige et program som kan inficere på tværs af platforme
> og operativ systemer uden nogen opdager noget.. Man kan for det blotte
> øje godt camouflere trafikken lidt, men det er da også blot et spørgsmål om
> (meget kort) tid før nogen opdager at det.

Kik på de links vi har givet dig gentagende gange.

> Så snart nogen opdager der er noget galt, hvilket i praksis tager ganske
> kort tid, så skrives der programmer målrettet mod de famøse "stealth"
> egenskaber. Jeg vil godt postulere at det ikke er muligt at skrive et
> program til en given platform, hvor det ikke er muligt efterfølgende at
> analysere dens egenskaber, og på den baggrund skrive endnu et program som

Dette kræver du booter på et sikkert medie med et ikke inficieret
operativ system...

> kan påvise det første. PCfinder påstod engang det modsatte og blev sablet
> ned lige på stedet og måtte ændre deres udmelding.

PCfinder påstod det kunne overleve en reinstallation. I virkeligheden
mente de at en reinstallation ikke ændre ved den registeret hardware
profil produktet gemmer centralt.

Jeg påstår et rootkit ikke kan overleve en reinstallation. ghost kab
være et eksempel på et værktøj til at reinstallere med.

Du påstår en scanner som bruger operativ systemmet til at scanner
kan se et root-kit der bruger operativ systemmet til at skjule sig.


>> Enten har virus programmøren ikke gjort sit
>> "arbejde" godt nok, eller også har han ikke
>> prøvet at lave en usynlig virus.
>
> Tro mig, det har været prøvet mange gange, og ligepræcis så mange gange er
> "tricket" blevet opdaget.

De virus du ser i dag, er meget simple.

> Se det er en reel risiko at man bliver narret på den konto. Kan se at
> Steffen (trådstarteren) fandt 2 keys og slettede dem manuelt, det er en
> fremgangsmåde som er meget usikker. Krydschecker man derimod med 2-3
> anerkendte og up2date programmer, så er det risiko minimeret.
>
>> Er det skadelige program kendt? Er det blevet
>> analyseret i alle detaljer? Hvis ja, så kan der
>> være nogen, der ved præcis hvordan det gemmer
>> sig, og hvordan det fjernes. Hvis de da ikke har
>> overset noget.

For at kunne hvordan det gemmer sig, kræver det
at programmet der leder "patcher" kernen...jeg
kan se problemmerne for mig...brugere med
blå skærm.

> Ja den almen kendt af forskellige programmer. Skulle være mærkeligt hvis
> alle havde overset den samme detajle, muligt men i den her sammenhæng
> usandsynligt. Debatten har jo nærmest udviklet sig som om der skulle tages
> højde for en invasion af en fremmede galakse via hemmelige koder, og ikke en
> "triviel" searchbar.

Der findes website med kildetekst til hvordan man skjuler sig...vi har
skrevet det gentagende gange til dig...men det kan være du ikke kan se det.

> Jeg prioriterer skam min datasikkerhed højt, den sidste virus jeg havde hed
> lamer exterminator og kørte på en Amiga 500. Men jeg har ikke nogen hat af
> sølvpapir, og er heller ikke garderet mod meteorit nedslag

I de dage kunne man skrivebeskytte sine disketter...i dag fortrækker
jeg at ghoste en maskine hvis der er mistanke om en troj eller virus.


Det sidste jeg har oplevet var noget adware på en test maskine...denne
downloadede ved hver opstart en opdatering...
Hvis jeg hackede deres ftp server og smed en troj i et rootkit,
ville alle deres "brugere" blivet inficeret.

En almindelig scanner ville kunne finde den oprindelige adware, men
ikke trojen.

En ghost, ville slette alt og reinstallere. Det tager herhjemme 1 min,
med et default image og 5 med et størrer image.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" wrote:
>
> >
> >> Er det skadelige program kendt? Er det blevet
> >> analyseret i alle detaljer? Hvis ja, så kan der
> >> være nogen, der ved præcis hvordan det gemmer
> >> sig, og hvordan det fjernes. Hvis de da ikke har
> >> overset noget.
>
> For at kunne hvordan det gemmer sig, kræver det
> at programmet der leder "patcher" kernen...jeg
> kan se problemmerne for mig...brugere med
> blå skærm.

Jeg sagde, at der *kan* være nogen, der ved
hvordan det findes og fjernes. Hvis den har gemt
sig godt nok kan den end ikke findes ved at
programmet, der leder selv patcher kernen. Men
jeg tvivler dog på at nogen har lavet en trojan,
der kan simulere den rigtige opførsel når et
andet program prøver at modificere den kørende
kerne for at lede efter trojanen.

Det vil være så kompliceret, at jeg tror ikke
det er lykkedes for nogen at skrive sådan en
trojan rigtigt. På den anden side, så ville jeg
heller ikke være vild efter at bruge programmet,
som skal undersøge mit system begynder at ændre
på kernekoden for at se om noget har gemt sig.

Der har programmøren af trojanen en fordel
fremfor programmøren, der ønsker at skrive et
program til at afsløre en trojan. Når du skriver
et skadeligt program er du typisk lidt mere
villig til at risikere at crashe systemet, og
kan derfor tillade dig at tage lidt størrer
chancer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Sune Storgaard wrote:
>
> Kasper Dupont mumbled his insignificant opinion in:
> 401EB83E.DB5CA0B5@daimi.au.dk
>
> > Det er muligt at gøre trojanen 100% usynlig for
> > programmer, der kører på den inficerede maskine.
> > Men hvis man booter fra et andet medie og
> > undersøger harddisken vil man kunne se den.
> > (Under forudsætning af at den ikke også har
> > inficeret BIOS, har dog aldrig hørt om tilfælde
> > hvor det er sket).
>
> Det lyder som det føromtalte anti tyveri system.. kan ikke lige huske
> navnet.. Det er meget vel muligt at snyde filsystemet, men med lowlevel
> acces til det kan det naturligvis findes. At lægge data ned på disken er i
> sigselv værdiløst.

Overhovedet ikke. Hvad mener du med lowlevel access?
Det er trojanen, der har kontrol over systemet. Det
er trojanen, der bestemmer hvad du ser, når du prøver
at tilgå disken. Scanneren tror den tilgår disken,
men i virkeligheden ser den noget andet.

>
> >>
> >>> Den største udfordring er at skjule det faktum,
> >>> at den bruger lidt ram og lidt diskplads.
> >> Det lyder ikke helt som 100% mere ?
> > Ville du opdage, hvis der forsvandt 504KB af din
> > disk kapacitet? Ville et program, der ikke ved,
> > hvor stor din harddisk er kunne opdage det?
>
> Nej en ½ MB på disken kan man nemt snige ind, sikkert også 10+ gange så
> meget.. men du sprang let og elegant henover det med rammen? Idet programmet
> skal køre, må det givetvis både have tildelt en smule ram og cpu, så har vi
> pludselig en del mere at gå efter.

Du har vel hørt om virtuel RAM. Så med trojanen
bliver der bare brugt en smule mere harddisk. Og
da trojanen har patchet kernen, så kan den også
ændre på alle de aflæsninger du foretager af, hvor
meget fysisk og virtuel RAM der er fri og i brug.
Og hvad angår CPU forbruget, så er der næppe nogen
brugere, der opdager, at deres maskine er blevet
1-10% langsommere. De ville måske opdage hvis der
var inkonsistens i numrene på deres taskliste. Men
der må trojanen så bare sørge for, at skjule sig
selv, og gange alle andres forbrug med 1.01 eller
hvad der nu er passende for at få summen op på
100%

>
> >> Hvis ad-aware(etc) kender til den måde programmet gemmer sig på, vil
> >> den også kunne finde den.
> >
> > Nej, ikke hvis den er skjult godt nok.
>
> David Copperfield kunne lære noget af det her, ting kan åbenbart forsvinde
> sporløst. Og selvom man ved hvor/hvordan det gemmer sig, ja så kan man
> stadigvæk ikke finde det..

Du skal huske, at programmet er underlagt trojanen.
Du kan vide nok så meget om, hvordan trojanen
gemmer sig. Men hvis trojanen fylder dit program
med løgn hver gang du prøver på at læse et sted,
der kunne afsløre den, så er resultatet, at du ser
et konsistent system uden trojanen.

>
> >> Man ved programmet er der,
> >
> > Det ved man som udgangspunkt ikke noget om, det
> > er det man prøver at finde ud af.
>
> Det ved man når man pludselig har en bonus searchbar :) Selvfølgelig kan
> man ikke som slutbruger examinere sin pc bit for bit, og man må bero sig på
> andre dertil indrettede produkter. Hvis programmet gør noget vil det blive
> opdaget, enten ved sin tilstedeværelse eller aktiviteter. Der findes som
> bekendt en hel industri som ikke laver andet end at analysere mistænkelig
> kode.

Ja, men hvis du begynder at bekæmpe symptomerne
frem for årsagen, så ender du måske med et system,
hvor alle symptomer er væk, men der stadig ligger
en trojan. Antag at det her skadelige program
installerede to forskellige skadelige komponenter
på systemet. Først installeres en komponent, der
skjuler sig selv efter alle kunstens regler.
Dernæst installeres en komponent, der er let at
opdage. Så et program rettet mod komponent nummer
to kan let finde og slette den, men komponent
nummer et bliver aldrig opdaget. End ikke
komponent nummer to, som kan være skrevet af
samme programmør kan opdage komonent nummer et.
Jeg siger ikke at dette er sket i det konkrete
tilfælde, jeg siger blot at muligheden er til
stede.

>
> >> så det er et spørgsmål om
> >> at sammenligne data, uanset om det er på sektor,fil eller
> >> registrerings database niveau.
> >
> > Men trojanen har jo netop ændret funktionerne til
> > at læse de pågældende data. Så når du prøver at
> > læse dem, giver trojanen dig data, som de ville
> > have set ud, hvis trojanen ikke havde været der.
> > Programmet har ikke en chance for at se, om der
> > er en trojan eller ej.
>
> Uden et konkret eksempel bliver det lidt en fiktiv debat[tm], men ved at
> holde sig til ovenstående er der en åbenlys mulighed: Ikke alle programmer
> læser data på samme måde, springer man et led over og læser "hardcoded" så
> bliver man ikke vildledt. Ser man i regdatabasen via regedit kan man måske
> godt blive snydt, men åbner man regdatabasefilen(erne) i ren tekst, så
> bliver man ikke.. Blot et jordnært *eksempel*

Nu mener jeg registreringsdatabasen er et dårligt
eksempel. Hvis en trojan ønsker at skjule sig, så
er det nok nemmest at lade være med at bruge
registreringsdatabasen. Har den brug for at gemme
oplysninger, så gør det udenom registreringsdatabase
og filsystem.

>
> >> Tror du der findes spyware eller vira som har eksisteret i flere år
> >> uden at blive opdaget ?
> > Nej.
> > For det første er der mere end en måde at opdage
> > den slags problemer på. For det andet tror jeg
> > det er for stort et arbejde til, at nogen har
> > gennemført det.
>
> Et umuligt job, man er ganske vist altid et skridt bagud , men det
> indhentes. En "supervirus" med sådanne egenskaber er ren fiktion og tanken
> har eksisteret længe, men det har endnu ikke set dagens lys..hvorfor mon?

Jeg har aldrig sagt, at den ikke kan opdages. Jeg
har sagt, at den ikke kan opdages af programmer,
der kører på det inficerede system.

>
> > Hvis du observerer systemet udefra kan du f.eks.
> > se, om systemet sender unormal trafik på nettet.
> > Så enten skal man også inficere alle de systemer,
> > som ville foretage overvågningen, eller også
> > skal man få trafikken til at se uskyldig ud.
>
> At inficere de systemer som overvåger utopisk. Skulle man drive gæk med en
> hel industri? Skriv lige et program som kan inficere på tværs af platforme
> og operativ systemer uden nogen opdager noget.. Man kan for det blotte
> øje godt camouflere trafikken lidt, men det er da også blot et spørgsmål om
> (meget kort) tid før nogen opdager at det.

Jeg har jo lige sagt, at det er usandsynligt, at
nogen har gjort det. Jeg har end ikke sagt, at
det er muligt. Det eneste jeg har sagt er, at din
idé om, at den kan opdages af programmer, der kører
på det inficerede system, ikke holder. Men andre
uinficerede systemer har en chance.

Spørgsmålet er, hvor lang tid kan en orm sprede
sig, før den bliver opdaget. De orme vi ser for
tiden har en adfær, som gør dem lette at opdage.
Typisk bliver de opdaget i løbet af ganske få
minutter.

Men det skyldes jo enten en strøm af pakker til
alle maskiner på internetet med usædvanlige
destinations port numre. Eller en strøm af emails
med atachments. Eller en strøm af unormale
entries i logfiler på alle ikke sårbare webservere.

Forestil dig nu, at man kender et sikkerhedshul og
kan afgøre om en maskine er sårbar inden man sætter
et angreb ind. Hvis man kun forsøger at angribe
sårbare maskiner, så kan man jo overtage kontrollen
over maskinerne og skjule sig uden at nogen ser
noget usædvanligt i sine logfiler.

>
> Selv en personal firewall vil vække mistanken, man kan uden tvivl godt snyde
> de første 20 forskellige, men når nr21 som er lavet anderledes fanger den,
> så er ballet over.

Findes der en sårbarhed, som kan udnyttes uden at
nogen firewall opdager det? Det er nok usandsynligt.
Jeg har heller aldrig påstået, at det kunne lade
sig gøre.

Men lad os nu rent hypotetisk forestille os, at
der findes et system med en fejlbehæftet TCP
implementation som i et eller andet grænsetilfælde
tillader et remote kernel exploit.

Hvis ormen nu overvåger alle maskinens TCP
connections, så er det ikke utænkeligt, at den kan
genkende OS på sin peer. Hvis dette OS vides at
være sårbart, så sættes angrebet ind.

Denne hypotetiske orm, som udnytter et hypotetisk
hul resulterer ikke i en eneste TCP forbindelse,
som ikke ville være oprettet alligevel. Den bliver
dermed meget sværere at opdage.

>
> Så snart nogen opdager der er noget galt, hvilket i praksis tager ganske
> kort tid,

De orme vi har set hidtil har typisk afsløret sig
selv ret hurtigt. Men skadelige programmer behøver
ikke være orme, der findes mange andre former for
skadelige programmer, som ikke ville være så nemme
at opdage.

> så skrives der programmer målrettet mod de famøse "stealth"
> egenskaber.

Hvis ellers trojanen/ormen/whatever er skrevet
ordenligt, så kan det ikke lade sig gøre.

> Jeg vil godt postulere at det ikke er muligt at skrive et
> program til en given platform, hvor det ikke er muligt efterfølgende at
> analysere dens egenskaber, og på den baggrund skrive endnu et program som
> kan påvise det første.

Du kan foretage analysen på et uinficeret system.
Men på et inficeret system har du ikke en chance
overfor god kode.

> PCfinder påstod engang det modsatte og blev sablet
> ned lige på stedet og måtte ændre deres udmelding.

Vil du lige finde det frem. Jeg husker mange
udtalelser, men ikke denne.

Det blev påstået, at programmet ikke kunne slettes.
Det er sikkert også rigtigt, hvis du kørte
"afinstallerings" programmet på et system inficeret
med PCfinder. Men hvis du booter fra et uinficeret
medie har du jo et uinficeret system, hvor du kan
analysere koden (hvis du gidder) og fjerne den.

Det er på samme måde med trojanen. Hvis du kører
et program på et inficeret system, så kan trojanen
være umulig at opdage eller fjerne. Men hvis du
booter fra et uinficeret medie, så kan man se, at
der er noget galt.

Og hvis trojanen kommunikerer over nettet, så kan
denne trafik være skjult for programmer på den
inficerede maskine. Men andre maskiner på netværket
vil kunne observere trafikken.

> >
> > Enten har virus programmøren ikke gjort sit
> > "arbejde" godt nok, eller også har han ikke
> > prøvet at lave en usynlig virus.
>
> Tro mig, det har været prøvet mange gange, og ligepræcis så mange gange er
> "tricket" blevet opdaget.

Så det har været prøvet, men er ikke blevet gjort
godt nok. Men hvem har nogensinde prøvet at skrive
et program, som virkede i første forsøg? Det gælder
også for personer, der prøver at skrive en usynlig
trojan.

Kender du eksempler på trojaner, som er blevet
forbedret efter den første udgave blev opdaget?

Hvis ja: Hvor mange gange er den samme trojan
blevet forbedret? Og hvad så derefter? Hvorfor kom
der ikke flere eksemplarer? Gav programmøren op?
Eller lykkedes det til sidst?

Hvis nej: Hvorfor blev trojanen ikke forbedret?
Kom programmøren på bedre tanker og holdt op med
at skrive trojaner? Eller gav programmøren op,
fordi det ikke lykkedes i første forsøg?

> > Er det skadelige program kendt? Er det blevet
> > analyseret i alle detaljer? Hvis ja, så kan der
> > være nogen, der ved præcis hvordan det gemmer
> > sig, og hvordan det fjernes. Hvis de da ikke har
> > overset noget.
>
> Ja den almen kendt af forskellige programmer.

OK, i så fald er vi en af de situationer, hvor
vi ved, hvad vi leder efter.

> Skulle være mærkeligt hvis
> alle havde overset den samme detajle, muligt men i den her sammenhæng
> usandsynligt.

Hvis ingen af dem skriver, at man skal boote fra
en uinficeret disk for at undersøge systemet og
fjerne trojanen, så er det givetvis ikke nødvendigt
for at fjerne den konkrete trojan.

Men hvordan er trojanen kommet ind? Kunne der ikke
være kommet meget andet skidt ind på samme måde?

> Debatten har jo nærmest udviklet sig som om der skulle tages
> højde for en invasion af en fremmede galakse via hemmelige koder,

Det behøver du ikke bekymre dig om. Den nærmeste
galakse ligger så mange lysår herfra, at de endnu
ikke har fået sendt en kopi af Windows derop.

>
> Jeg prioriterer skam min datasikkerhed højt, den sidste virus jeg havde hed
> lamer exterminator og kørte på en Amiga 500.

Den har jeg læst om, men jeg har så vidt jeg ved
aldrig været inficeret af den. Men hvor meget af
det man læste var sandt, og hvor meget var myter?
Det siges at den pågældende virus kunne inficere
skrivebeskyttede disketter. Hvis skrivebeskyttelse
er implementeret i hardware, og i øvrigt er
implementeret rigtigt, så er det umuligt. Jeg har
sidenhen læst om tilfælde, hvor en deffekt kontakt
i et floppydrev gjorde, at skrivebeskyttelse ikke
virkede. Jeg har også læst at skrivebeskyttelse
var implementeret i floppy driveren og ikke i
hardware. Det var godt nok i forbindelse med PC'er
jeg læste det, men jeg har da også læst at drevene
var ens, og forskellene udelukkende lå i controlerne.
Er her nogen som ved, hvor meget af dette, der er
sandt?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont skrev:

> Forestil dig nu, at man kender et sikkerhedshul og kan afgøre om en mas-
> kine er sårbar inden man sætter et angreb ind. Hvis man kun forsøger at
> angribe sårbare maskiner, så kan man jo overtage kontrollen over maskiner-
> ne og skjule sig uden at nogen ser noget usædvanligt i sine logfiler.

Jep.

Her er en udmærket beskrivelse af hvordan det eventuelt kunne foregå:

http://www.viacorp.com/auditing.html

"= they're heeeere...

Friday, our Japanese participants discover that a computer on their company
network has been cracked into, one very secure Linux box running only SSH
and Apache 1.3.4. Now this would definitely send a chill up your spine if
you knew just how fanatic our friends are when it comes to network security.
Furthermore, they only detected the intrusion three days after the fact,
which is unbelievable when you consider the insane monitoring levels they've
been keeping since they agreed to participate in the scan. They would have
noticed any funny stuff, and in fact, they did, lots of it, but none of
which came close enough to a security breach to raise any alarms.

Readers should also note how although a key binary in the cracked machine
had been modified, tripwire and an assortment of other booby traps failed to
detect this had happened. Even a close-up manual inspection (comparing file
contents with a trusted backup, playing with it's name) could not detect any
odd behavior. This trick, and others equally spooky were achieved by clever
manipulation of the OS's kernel code (dynamicly, through a module).

Other characteristics of the attack which make it so eerily sophisticated:

1) The attacker (convincingly) masquerades as a local employee.

The attacker knows the employee's username and password and is even connec-
ting through the employee's Japanese ISP on the employee's account! (the
phone company identified this was an untraceable overseas caller)

This information could not have been sniffed, since network services are
only provided over encrypted SSH sessions.

Further investigation shows that this employee's personal NT box, connected
over a dynamic dailup connection, had been cracked into 4 days earlier.

His ssh client (TTSSH extension to TeraTerm) had been trojaned to transmit
XOR garbled account information (hostname/username/password) over pseudo-DNS
udp packets to a refurnished i486 Redhat v4.2 box used as a single-purpose
cheap Samba fileserver in a small Australian ISP.

The little box was every cracker's dream, a discrete, utopian crack haven,
installed by a former Linux-savvy administrator, the last of it's kind in a
homogeneous Unix-illiterate Microsoft environment. The ISP practicly ignored
the box, which was running (up 270 days straight) so reliably none of them
had even bothered to log in since mid 1997! So as long as the crackers kept
Samba running, they would the box completely to themselves.

How the NT box was cracked into in the first place is still a mystery. The
logs weren't helpful (surprise! surprise!) and the only way we were even
able to confirm this had happened was by putting a sniff on the NT's traffic
(following a hunch) and catching those sneaky packets redhanded, transmit-
ting our SSH identification down under.

We never liked NT before, being generally suspicious of propriety blackbox
OS, from a company with a long history of poor quality bloatware. But reali-
zing just how helpless we were against an attacker that obviously knew the
ins and outs of this can-of-worms OS, the company recognized that NT was a
serious security hazard and changed it's security policies to keep it as far
away from it's systems as possible, and this included restricting employees
from using it from at home to log into the company network (even with SSH).

2) The attacker is using a custom built software penetration agent.

This is only an hypothesis, but is strongly supported by the fact that the
entire attack only lasted an incredible 8 seconds! During which the attacker
manages to log on (over an employee's SSH account, no less), gain root
privileges, backdoor the system, remove any (standard) traces of it's acti-
vity and log off.

And they probably would have gotten away with it too, if it wasn't for those
meddling kids!

Who thoughtfully installed a crude old tty surveillance-camera hack that
trapped IO calls to and from isatty(3) file descriptors, in realtime, saving
them on file along with a timestamp for neato it's-almost-as-if-you-were-
there playback qualities.

And Wow! If there ever was a crack to appreciate for it's elegance, sim-
plicity, and efficiency, this was it.

First off this thing is smoking fast! Which puts the likelihood of any
manual intervention at square zero. It's also mean and lean. Forget fumbling
with an FTP client, leave that to the slow soft pink-bellied human cracker-
weenies, real agents pump files directly through the shell (uuencode(1)'d at
one end, uudecode(1)'d at the other). Extending privileges with an army of
amateurish recipe-book Bugtraq exploits? I think not! Introducing the super-
exploit, an all-in-one security penetration wonder which quickly identifies
and exploits any local security vulnerabilities for that wholesome, crispy,
UID zero flavor (we were vulnerable to a recent KDE buffer overflow). After
promptly confirming it's shiny new root privileges, the agent transfers it's
last archive (a cross between a self-installing feature-rich backdoor, and a
clean-up-the-mess, we-were-never-here log doctor), executes it and logs off.

After watching the attack on playback (at 1/8 of it's original speed) seve-
ral times over, standard security-compromise ritual kicked in. We took the
affected machine offline, remounted the disks read-only, fired up our trusty
filesystem debugger, and slaved away to salvage whatever we could. Luckily,
we found the attacker's transfered archives still intact, along with large
fragments of the undoctored logs, allowing us to fill any still-missing
details on the blitz attack. At the end of the day, when we finished playing
with the cracked machine on loopback, we changed the compromised account's
password, restored binary integrity, rebooted the system and put it back on
the network, this time running a network dump of all it's incoming-outgoing
traffic, just to be on the safe side.

Whoever they were, they certainly knew what they were doing, and for the
most part seemed very good at it. But being determined, clever, and so-
phisticated just doesn't cut it when you do battle with wizardly foes
(that's us) yielding the great powers of the Universe to their command: Dumb
luck and clinical paranoia.

So who done it ???

Could it be ...

(A government conspiracy I tell ya'!)

Any one of the many press-savvy three letter agencies scrambling for a big-
ger slice of the US-government funding pie? They've got motive, but are they
really sneaky, clue-full and competent enough to take the blame?

How about the SIGINT spooks? The NSA (Information superiority for Ameri-
cans!), or the GHCQ (Her Royal Majesty's Intelligence)? Someone working for
the Chinese? The KGB? The Russian mob? The giant from Redmond? Elvis and
Bigfoot?!

Who knows ...

They tried something spooky 2 nights later, when around 4 AM (Japanese time)
our network dump captures several pseudo-DNS udp packets originating from a
familiar Linux box in a small Australian ISP. We assume they were attempting
to communicate with the software they left behind during their brisk first
visit. Several minutes pass, and the attempt is followed by a "TCP ping" (a
stealthy alternative to an ICMP ping), several more pseudo-DNS udp packets,
and silence.

To the best of my knowledge, we haven't heard from them since. How dis-
crete."

---

Kasper Dupont skrev:

>Når du har kørt et program fra en upålidelig kilde
>er en reinstallation den eneste måde at være sikker
>på at få fjernet det helt.

Kunne man ikke have sat et gendannelsespunkt lige før man grisede
sit system til?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamius@lundhansen.dk> writes:

> Kasper Dupont skrev:
>
> >Når du har kørt et program fra en upålidelig kilde
> >er en reinstallation den eneste måde at være sikker
> >på at få fjernet det helt.
>
> Kunne man ikke have sat et gendannelsespunkt lige før man grisede
> sit system til?

Ikke hvis det onde program var smart nok til at inficere gendannelses punkterne.
Det kan godt lade sig gøre.

Martin

--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel router.

---

"Steffen" <stapdk@yahoo.dk> wrote in message news:<401d8c43$0$1591$edfadb0f@dread14.news.tele.dk>...
> Hej.
> Inde på siden
> http://regman.freeze.com/survey/waterfalls/index.asp?f=ssavercom&s=waterfalls
> hatr jeg downloaded screensaveren "Free Living Waterfalls". Selv om jeg
> svarede nej til alt (mener jeg), har jeg i tilgift fået en slags ekstra
> værktøjslinje "SearchBar" beliggende lige over processlinjen. Jeg håber, der
> er en, der kan fortælle mig, hvordan jeg får denne fjernet uden at behøve at
> geninstallere hele Windows XP igen.
> ---
> Steffen
Prøv om cwshredder kan fjerne den:
http://www.spywareinfo.com/~merijn/cwschronicles.html
Nederst på siden!
Leo

---

En løsning kunne muligvis være at gå ind i registrerings editoren og søge
efter "SearchBar" og fjerne denne.

Viktor

"Leo.E" <le01@post9.tele.dk> skrev i en meddelelse
news:52381370.0402012240.38245163@posting.google.com...
> "Steffen" <stapdk@yahoo.dk> wrote in message
news:<401d8c43$0$1591$edfadb0f@dread14.news.tele.dk>...
> > Hej.
> > Inde på siden
> >
http://regman.freeze.com/survey/waterfalls/index.asp?f=ssavercom&s=waterfall
s
> > hatr jeg downloaded screensaveren "Free Living Waterfalls". Selv om jeg
> > svarede nej til alt (mener jeg), har jeg i tilgift fået en slags ekstra
> > værktøjslinje "SearchBar" beliggende lige over processlinjen. Jeg håber,
der
> > er en, der kan fortælle mig, hvordan jeg får denne fjernet uden at
behøve at
> > geninstallere hele Windows XP igen.
> > ---
> > Steffen
> Prøv om cwshredder kan fjerne den:
> http://www.spywareinfo.com/~merijn/cwschronicles.html
> Nederst på siden!
> Leo

---

Jeg brugte et program, der hedder SpyHunter. Programmet fandt to steder i
registreringsdatabasen, som den dog ikke ville slette, fordi jeg ikke er
registreret bruger. Så åbnede jeg den selv med RegEdit og slettede de 2
nøgler, så nu er det i orden.
---
Steffen

---

Steffen mumbled his insignificant opinion in:
401ec251$0$1562$edfadb0f@dread14.news.tele.dk

> Jeg brugte et program, der hedder SpyHunter. Programmet fandt to
> steder i registreringsdatabasen, som den dog ikke ville slette, fordi
> jeg ikke er registreret bruger. Så åbnede jeg den selv med RegEdit og
> slettede de 2 nøgler, så nu er det i orden.

Nej det er ej, du er også ramt af tophemmelige usynlige programmer der
istedet for 0 og 1 ernærer sig ved ½ og 2/3, således de er usynlige for alle
gængse programmer... det er ihvertfald min konklusion på en sideløbende
tråd.

---

In article <401ed8aa$0$30088$edfadb0f@dtext01.news.tele.dk>, Sune Storgaard wrote:
> istedet for 0 og 1 ernærer sig ved ½ og 2/3, således de er usynlige for alle
> gængse programmer... det er ihvertfald min konklusion på en sideløbende
> tråd.

http://www.heysoft.de/nt/ntfs-ads.htm

http://www.rootkit.com/

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Steffen" <stapdk@yahoo.dk> skrev i en meddelelse
news:401d8c43$0$1591$edfadb0f@dread14.news.tele.dk...
> Hej.
> Inde på siden
>
http://regman.freeze.com/survey/waterfalls/index.asp?f=ssavercom&s=waterfall
s
> hatr jeg downloaded screensaveren "Free Living Waterfalls". Selv om jeg
> svarede nej til alt (mener jeg), har jeg i tilgift fået en slags ekstra
> værktøjslinje "SearchBar" beliggende lige over processlinjen. Jeg håber,
der
> er en, der kan fortælle mig, hvordan jeg får denne fjernet uden at behøve
at
> geninstallere hele Windows XP igen.
> ---

Kender den godt...
Fjernede den med Adaware uden problemer. Sørg dog for adaware er
opdateret...

Venligst

---

Fint! Tak!