Board-Ansicht
Mix-Ansicht- Eine schöne Wurmbeschreibung - und Windowsanfälligkeit - Turon, 30.01.2004, 23:26
Eine schöne Wurmbeschreibung - und Windowsanfälligkeit
-->Quelle: http://www.heise.de/security/artikel/44038
Man möge sich den Text durchlesen - und wer das kapiert hat, der weiß sofort, warum Windows die ideale Virenverbreitungsplattform ist, und warum die Viren
und Würmer leicht modifiziert werden. Es hat immer was mit Explorer, Registry
und bestimmten Dateien zu tun (auch die rundll.exe etc.)
Man kann also schlicht und einfach vergessen, daß Windows mit seinen Strukutren
jemals viren- wurmresistent wird. Windows ist leicht zu erlernbares und bedienbares System weil es mindestens 3-4 Methoden gibt um zum Ziel zu kommen.
Spielchen mit der Maustaste/Kontektmenü, Taskleiste bzw. Tastaturbelegung kennt ja jeder. Geöffnet werden diese Dateien aber stets durch die selben Anwendungen
die seit Win 3.11 (ok auch 95) im System integriert sind. Ich persönlich würde liebendgern den Windowsexplorer aus dem Rechner verbannen - weil er selbst
irrsinige Fehler verursacht, ohne verseucht zu sein. Und dann wäre die kommunistische Superverwaltung in der Registry. Der feste und unabänderliche
Windowsbestand macht es möglich sich immer wieder neue Routinen für Viren auszudenken - und meistens hat man damit Erfolg, weil man es nicht merkt, wann
Windows einfach nur spinnt, oder bereits verseucht ist.
Soviel dazu. Die einzige Möglichkeit für die Redmonderfetischisten ist es nicht bloß eine Achillesferse dem System zu verpassen, sondern gleich mehrere - d.h.:
dem anwender müßte die Möglichkeit gegeben werden, eine von der Registryclones
als Standard auszuwählen und nicht bloß einen Datenmanager sondern mehrere -
die individuell und vor allem parallel genutzt werden könnten - nur das ist MS
wiederum zu umständlich (OK. dem WindowsNormalo auch).
Der Text verrät es einfach so: die Dateien *.Exe, *.bat, etc wird auf dem Rechner übertragen bzw geöffnet und wird so auf dem System installiert. Nur aufgrund reinen Windowsroutinen. Eine Kostprobe:
-------------------------------------------------------------------------------
"... W32.Novarg.A@mm ist ein Internet-Wurm, der sich in Dateien mit den Endungen.bat,.cmd,.exe, pif,.scr und.zip versendet. Zusätzlich verbreitet er sich über KaZaA. Bei der Infektion des Systems installiert der Wurm ein Backdoor-Programm, das die TCP-Ports 3127 bis 3198 öffnet. Damit hat ein Angreifer die Möglichkeit, den infizierten Rechner fernzusteueren. Außerdem kann dieses Backdoor weitere Dateien aus dem Internet laden.
Am 1. Februar startet der Wurm eine Denial of Sevice (DOS) Attacke gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er sich nicht weiter.
(Anm: wieso denn im Windows immer noch eine systemuhr notwendig ist - ist auch so eine Sache - die wenigsten nutzen das.)
Der Wurm erzeugt die Datei shimgapi.dll im Systemverzeichnis von Windows.
Dieses Programm öffnet die TCP-Ports 3127 bis 3198 und arbeitet als Proxy-Server.
Durch den Registrierungs-Schlüssel
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32"(Default)" = %SysDir%shimgapi.dll[/b]
wird die Datei gestartet, wenn Explorer.exe geöffnet wird.
Anm: Explorer wird so gut wie immer geöffnet sobald bloß ein Ordner
geöffnet ist - und Desktop ist nichts anderes als ein Ordner.
Die Datei taskmon.exe wird im Windows-Systemverzeichnis erzeugt. Existiert diese Datei schon, wird sie durch eine Kopie des Wurms ersetzt.
-------------------------------------------------------------------------------
Durch die Aktivität wird ein Programm unbemerkt gestartet und der User
merkt es noch nicht einmal, oder hat noch nicht einmal die Möglichkeit dieses
Programm zu klassifizieren, und zu autorisieren, bevor das Ding loslegt.
Aus Schwächen macht man dann ein Dringlichkeitsupdate - und alle schwärmen davon, wie flexibel und schnell der Branchenprimus es doch zu Gunsten
des Nutzers erledigt hat. Tja - das ist doch also ganz, ganz einfach.
Gruß an Alle Mitgeplagten!
T.
Thread gesperrtgesamter Thread:
