AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi Avira meldet Trojaner bei Webseitenaufruf über shellexecute
Thema durchsuchen
Ansicht
Themen-Optionen

Avira meldet Trojaner bei Webseitenaufruf über shellexecute

Ein Thema von gelberkaktus · begonnen am 14. Mai 2012 · letzter Beitrag vom 18. Mai 2012
Antwort Antwort
Seite 4 von 4   « Erste     234   
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.581 Beiträge
 
Delphi 11 Alexandria
 
#31

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 07:39
Delphi 7 ist etwa zeitgleich mit XP auf den Markt gekommen. An für sich funktioniert es mit eingeschränkten Rechten, schreibt aber einiges noch in sein Programmverzeichnis, so dass es für einige Aufgaben Adminrechte (oder erweiterte Rechte) benötigt. Ich hab mal versucht den Ordner so zu modifizieren, dass die Anwendung einerseits immer noch geschützt ist, auf der anderen Seite einfaches Nachinstallieren möglich ist.
Ich weiß nicht was du mit nachinstallieren meinst. Im Programmverzeichnis von Delphi haben keine Komponenten oder irgendwas etwas zu suchen.
Hier gibt es eine Anleitung von mir für die Installation von Delphi 7 unter Vista/7:
http://www.delphi-library.de/topic_D...ren_89408.html

Selbst hinzugefügte Komponenten wiederum gehören natürlich in ein anderes (beschreibbares) Verzeichnis. Dann braucht man dafür auch keine Adminrechte.
Dazu gehört natürlich, dass man nicht diese gräuliche dclusr.dpk zur Installation von Komponenten benutzt. Aber wer will das schon?
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!

Geändert von jaenicke (16. Mai 2012 um 15:40 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#32

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 11:59
ich kann sogar Rechner Malware frei machen, wo andere Experten meinen, dass da nur eine Neuinstallation hilft.
Interessante Aussage. Du weißt also von Malware genau wo sie sich einnisten und was sie verändern und kannst das alles Rückgängig machen? Hm, damit könntest du wahrscheinlich sehr viel Geld verdienen. Ein menschlicher Virenscanner und Wunderheiler in einem?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.581 Beiträge
 
Delphi 11 Alexandria
 
#33

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 12:21
Den Satz hatte ich glatt überlesen...

Das heißt wenn ein Trojaner Code nachgeladen hatte, der irgendetwas am System verändert hat, und dieser Code dann wieder gelöscht wurde, kannst du das trotzdem nachvollziehen und rückgängig machen? (Das ist ja eine übliche Vorgehensweise von Viren / Trojanern um die eigenen Spuren zu verwischen.)

Deine Glaskugel möchte ich haben...
Und da du da der einzige weltweit sein dürftest, kannst du deine Dienste ja den entsprechenden Stellen anbieten...

Aber im Ernst:
Wie willst du denn herausfinden was alles an einem kompromittierten Rechner für Hintertüren geöffnet wurden?
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#34

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 14:22
@Bummi, Luckie und jaenicke (bezogen auf Post #25)

Bitte die Sätze nicht anders deuten als sie gemeint sind oder dazu dichten was nicht drin steht. Sie sind so gemeint wie sie da stehen. Nicht mehr, aber auch nicht weniger.

Wenn ich sage, dass ich Rechner zu schützen weiß, dann, weil ich Kunden die früher permanent Probleme mit Viren hatten trotz Virenscanner, plötzlich keine Probleme haben. Und weil auch die Rechner von Computerneulingen seit der Installation noch nie einen Virusproblem hatten.

Interessante Aussage. Du weißt also von Malware genau wo sie sich einnisten und was sie verändern und kannst das alles Rückgängig machen? Hm, damit könntest du wahrscheinlich sehr viel Geld verdienen. Ein menschlicher Virenscanner und Wunderheiler in einem?
Ich hab früher richtige Untersuchungen bezüglich Virenbefall gemacht, die mit jedem Virenlabor mithalten oder sogar besser waren. Ich hatte zig virtuelle Maschinen laufen und habe getestet mit welcher Konfiguration welche Gefahren drohen. Ich habe richtig Feldforschung betrieben. Ich hab jetzt kein Lust meine Unterlagen durchzusuchen, aber es gab da auch Rechner mit einigen hunderten bis tausenden Schädlingen. Der krassester Fall war eine Maschine die im Sekundentakt Schädlinge nach lud (oder kopierte?) und sich so selbst aus dem den Rennen brachte, weil nach einer Zeit die Festplatte voll war. Bei einer andere Maschine liefen gleichzeitig einige hundert Schädlinge parallel und verbrauchten 100% Rechenleistung dadurch.

Das zeigt wie dumm Schädlinge sein können. Der Schädling der sich im Sekundentakt nach lud dachte, dass er sich so schützen kann, weil keiner schneller löschen kann als er sich vervielfältigen kann. Man darf hier also nicht dem Konzept des Schädlings folgen und versuchen schneller zu löschen als er sich kopieren kann, sondern muss ihm die Grundlage entziehen. Man muß zuerst dafür sorgen, dass er sich nicht weiter vervielfältigt, erst dann kann man anfangen ihn zu löschen. D. h. immer das Konzept durchbrechen.

Gelegentlich habe ich mich dran gemacht solche extrem befallene Rechner Just4Fun wieder erfolgreich von Schädlingen zu befreien. Und wenn ich sage, dass man alles befreien kann, oder zumindest stilllegen kann, dann stimmt das schon. Man muß nur Erfahrung haben. Du muß wissen, dass Schädlinge im Grunde genommen dumm sind, es sind einfache Konstrukte die durchaus erfolgreich ein Konzept verfolgen, aber nicht genial sind. Die Leute glauben, dass sie genial sind weil sie es geschafft haben einen Rechner zu befallen. In Wahrheit sind es Grobmotoriker die durchaus mit einem dicken Hammer irgendwo draufhauen können und so viel Schaden anrichten, aber sonst nicht besonders helle sind. Ich behaupte nicht, dass man einen Schädling genial programmieren kann, aber wozu? Wozu Auffand betreiben? Ein Trojaner zielt auf eine spezielle Lücke, da ist es gut, vielleicht unternimmt er auch einiges zum Eigenschutz, aber nicht alles. Ein Trojaner nutzt Sicherheitslücken aus, hat in der Regel aber auch Sicherheitslücken.

Ich hab Systeme wieder frei bekommen, wenn man Interesse hatte. Manchmal ist es Fummelsarbeit, aber manchmal ist es einfacher als man denkt. Wenn ein Schädling sich nicht entfernen läßt, dann kann man dafür sorgen, dass er keinen Schaden anrichtet. Es gibt einige Konzepte wie man ein Schädlingsproblem angehen kann.

Wie dumm Schädlinge sein können, wobei ich nicht den Fehler begehen will sie zu unterschätzen, habe ich bemerkt als ich meinen Dialer-Killer noch unter Windows 9x entwickelt hatte. So größenwahnsinnig es sich anhört, mein Toll war besser als jedes kommerzielle Tool. Wieso ich es nicht kommerziell anbot, keine Ahnung, vielleicht fehlte mir da der Mut. Irgendwann kam DSL und das Problem hat sich erledigt. Denn während die professionellen Systeme tief im System alles überwachten, oder nach Signatur im Programmcode suchten, ist mir die Schwachstelle der Dialer aufgefallen - ihr Name. Sonderbar, man hat sich so viel Mühe gegeben sie gut zu programmieren, aber keiner ist auf die Idee gekommen dem Dialer einen guten Namen zu geben. So unglaublich es klingt, alle Dialer hatten Namen die sich aus einer handvoll Begriffen zusammen setzte oder kopierten sich in bestimmte Ordner. Überwachte man die Prozesse und suchte nach Muster oder überwachte bestimmte Ordner, war die Trefferquote 100%.

Und wer jetzt meint, dass das Programm nicht zuverlässig arbeiten konnte, weil es ja irgendwer auf die Idee hätte kommen können den Prozess zu verstecken, klar, wäre möglich gewesen, hat aber keiner gemacht. Zumindest bei mir oder meinen Freunden nicht. Woher ich das weiß? Über die Telefonrechnung. Das ist das was ich mit Schwachstellen meine, manchmal ist die Schwachstelle simpler als man denkt. Das mein Toll funktionierte weiß ich, weil ich jeden Abschuss mit dem Sound aus Spiel mir das Lied vom Tode quittierte Bisschen Spaß muss sein.

Das heißt wenn ein Trojaner Code nachgeladen hatte, der irgendetwas am System verändert hat, und dieser Code dann wieder gelöscht wurde, kannst du das trotzdem nachvollziehen und rückgängig machen?
Wo habe ich das behauptet? Was weg ist, ist weg. Was zerstört ist ist zerstört. Zerstörtes kann auch ich nicht wiederherstellen. Was ich geschrieben habe ist, dass ein Schädling genauso wie ein Kopierschutz nur von Menschen geschrieben wurde und überlistet werden kann.

Aber im Ernst:
Ok, es geht hier doch nicht drum welchen Schaden ein Schädling anrichtet, sondern wie drauf reagiert wird. Wenn dein Rechner befallen ist und deine Software meint, dass sie nichts machen kann, wie reagierst du? Ruhig, versuchst das Problem zu analysieren, oder panisch, schnell alles platt machen?

Ich habe mich nicht besser gemacht als ich bin, aber Schädlinge sind wie ein Kopierschutz von Menschen gemacht und haben immer eine Schwachstelle. Man muß die nur finden.

Wie willst du denn herausfinden was alles an einem kompromittierten Rechner für Hintertüren geöffnet wurden?
Das ist es ja, nicht dem Konzept folgen, denn da ist der Schädling gut und schützt sich. Vielmehr das Konzept durchbrechen.

Geändert von Popov (16. Mai 2012 um 14:24 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.581 Beiträge
 
Delphi 11 Alexandria
 
#35

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 14:34
Ok, es geht hier doch nicht drum welchen Schaden ein Schädling anrichtet, sondern wie drauf reagiert wird. Wenn dein Rechner befallen ist und deine Software meint, dass sie nichts machen kann, wie reagierst du? Ruhig, versuchst das Problem zu analysieren, oder panisch, schnell alles platt machen?

Ich habe mich nicht besser gemacht als ich bin, aber Schädlinge sind wie ein Kopierschutz von Menschen gemacht und haben immer eine Schwachstelle. Man muß die nur finden.
Es nutzt dir doch absolut überhaupt nichts, wenn du den Virus an sich entfernt hast (das können viele und ist in der Regel auch kein so großes Problem), wenn du nicht weißt, ob sicherheitsrelevante Einstellungen verändert wurden. Und das kann im Grunde niemand wirklich wissen, es sei denn man hat wirklich den Assemblercode komplett verstanden und weiß, dass auch nichts nachgeladen wird. Und ob man wirklich allen relevanten Code gesehen hat und nicht schon welcher entfernt wurde, weiß man trotzdem nicht.

Als Folge hast du dann vielleicht kurz danach dann einen noch besseren Virus drauf, der noch mehr Schaden anrichtet. Und das nur, weil nicht erkannt wurde was der erste Virus verändert hat.

Privat mag man sich solche Glücksspiele leisten wollen, wenn man nicht viel Wert auf seine Daten legt, aber im Unternehmensumfeld wäre ein solch fahrlässiges Verhalten untragbar und hätte ggf. sogar ein juristisches Nachspiel.
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#36

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 14:55
Es nutzt dir doch absolut überhaupt nichts, wenn du den Virus an sich entfernt hast (das können viele und ist in der Regel auch kein so großes Problem), wenn du nicht weißt, ob sicherheitsrelevante Einstellungen verändert wurden.
Sebastian, ich glaube du willst mich nur so verstehen wie du mich verstehen willst. Ich hab gesagt, es gibt für jeden Schädling ein Konzept. Physikalisch entfernen ist nur eine Möglichkeit, gelegentlich aber auch die falsche. Wenn ich Entfernen schreibe, dann verstehe ich darunter nicht unbedingt löschen, sondern, wenn es nicht geht, aus dem Spiel nehmen. Man kann einen Schädling auch da belassen wo er ist, vor allem wenn es von tausend Seiten beschützt wird, in diesem Fall muß man ihn glauben lassen, dass er immer noch da ist, in Wirklichkeit sortiert er Socken.

Du brauchst mir nicht zu glauben, habe ich dir versucht meine Dienste zu verkaufen? Du kennst mich doch nicht, du weißt doch nicht was ich kann, du kannst es dir nur nicht vorstellen, dass es gehen könnte. Wenn das deine Vorstellung übersteigt oder deiner Lebenseinstellung, dann meinetwegen.
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#37

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 15:10
Ich weiß nicht was du mit nachinstallieren meinst. Im Programmverzeichnis von Delphi haben keine Komponenten oder irgendwas etwas zu suchen.
Hier gibt es eine Anleitung von mir für die Installation von Delphi 7 unter Vista/7:
http://branch.delphi-library.de/topi...ren_89408.html
Das ist keine Antwort auf meine Bitte.

a) der Link funktioniert so nicht. Ändre es bitte von "http://branch." in "http://www.".
b) ich arbeite seit eh und jeh mit einem Arbeisverzeichniss. Ich wußte nicht, dass noch einer seine Projekte in das Borladverzeichnis ablegt.
c) dein Tipp funktioniert wohl nur bei Vista und Windows 7, nicht aber bei Windows XP. Ich hab jetzt nicht die Muße es zu testen, aber ich glaube delphi32.$$$ wird jedes Mal temporär im Bin Ordner angelegt wenn man eine Komponente installiert. Was vielleicht unter Vista & Co funktioniert, geht aber nicht unter XP.

Zitat:
Selbst hinzugefügte Komponenten wiederum gehören natürlich in ein anderes (beschreibbares) Verzeichnis.
Habe ich nicht behauptet. Für Komponenten habe auch ich einen eigenen Ordner. Irgendwie beantwortest du Fragen die ich nie gestellt habe. Aber trotzdem danke.

Zitat:
Dann braucht man dafür auch keine Adminrechte.
Ich weiß es nicht, ich mache es ja auch so selten. Aber bei mir will Delphi in bei Komponenteninstallation Sachen kompilieren usw. und es ghet nicht ohne Adminrechte. Also wenn mir einer zeigen wie das geht, dann bin ich glücklich.
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.581 Beiträge
 
Delphi 11 Alexandria
 
#38

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 15:42
c) dein Tipp funktioniert wohl nur bei Vista und Windows 7, nicht aber bei Windows XP. Ich hab jetzt nicht die Muße es zu testen, aber ich glaube delphi32.$$$ wird jedes Mal temporär im Bin Ordner angelegt wenn man eine Komponente installiert. Was vielleicht unter Vista & Co funktioniert, geht aber nicht unter XP.
Stimmt, da hast du Recht.
Sorry, XP ist schon ne Weile her bei mir.
Jetzt verstehe ich auch erst was du meinst.

Dann muss man für die Datei wohl wirklich Schreibrechte vergeben (bzw. nen Hard Link oder so drauf setzen), den Virtual Store gab es da ja noch nicht...
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
EWeiss
(Gast)

n/a Beiträge
 
#39

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 16. Mai 2012, 18:23
Mehr ist nicht zu sagen

gruss
  Mit Zitat antworten Zitat
Peter666

Registriert seit: 11. Aug 2007
357 Beiträge
 
#40

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute

  Alt 18. Mai 2012, 11:41
Die Diskussion ist ja ein wenig auseinandergedriftet. Übrigens hat die heuristik bei allen Virenscannern das gleiche Problem, je größer die Datei, desto weniger Fehlalarme gibt es. Pack einfach ein 200kb großes Bild auf dein Formular und gut ist.

Peter
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 4 von 4   « Erste     234   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:29 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz