AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

so langsam werd' ich paranoid

Ein Thema von sx2008 · begonnen am 30. Dez 2013 · letzter Beitrag vom 30. Dez 2013
Antwort Antwort
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#1

so langsam werd' ich paranoid

  Alt 30. Dez 2013, 16:29
Ich habe schon vor einem Jahr einen Systemtreiber entdeckt der sich aber nicht auf der Festplatte finden lässt.
C:\Windows\System32\drivers\rikvm_34E30CCC.sys
Mit dem Tool DriverView von Nirsoft konnte ich aber sehen dass der Treiber im Speicher ist.
Man findet dazu einige Treffer im Netz aber nichts genaues weiss man nicht.

Und heute habe ich zufällig einen neuen Artikel über die NSA gelesen:
http://www.spiegel.de/netzwelt/netzp...-a-941149.html

Und sofort fiel mir wieder dieser vermaledeite Treiber ein.
Also Registry durchsucht - nix gefunden.
Ini-Datei durchsucht - kein Ergebnis.
Dann habe ich eine leere, schreibgeschützte Datei mit dem Namen rikvm_34E30CCC.sys erstellt und neu gebootet.
Irgendwas hat meine Datei gelöscht und der Stealthtreiber ist wieder da.
Ok dann habe ich eben ein Verzeichnis mit dem Namen rikvm_34E30CCC.sys erstellt und Gotcha - jetzt ist der Treiber nicht mehr im Speicher.

Soo und morgen werde ich meine Räume mit Alufolie auskleiden (nur Spass).
Aber ich wette der Absatz von Alutapeten wird in der nächsten Zeit stark ansteigen.
Zitat von Spiegel Online:
RAGEMASTER ist ein Hardware-Implantat um Bildsignale von VGA-Bildschirmen verfügbar zu machen. Es arbeitet auf passiver Basis, die Signale werden über die Reflektion von außen eingebrachten Radarwellen übertragen. Es verbirgt sich in der Ferrit-Abschirmung eines VGA-Monitorkabels, dem kleinen Knubbel kurz hinter dem eigentlichen Stecker.
http://www.spiegel.de/netzwelt/netzp...-a-941030.html
Der Rechner und alles was dazugehört in Alufolie einzupacken ist vielleicht doch nicht so dumm...
fork me on Github
  Mit Zitat antworten Zitat
Benutzerbild von Union
Union

Registriert seit: 18. Mär 2004
Ort: Luxembourg
3.492 Beiträge
 
Delphi 7 Enterprise
 
#2

AW: so langsam werd' ich paranoid

  Alt 30. Dez 2013, 16:40
Cyberlink, Infos dazu hier
Ibi fas ubi proxima merces
sudo /Developer/Library/uninstall-devtools --mode=all
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#3

AW: so langsam werd' ich paranoid

  Alt 30. Dez 2013, 18:13
Mal abgesehen davon, dass du bereits "etwas" merkst, gibts da draußen unzählige Rootkits, die von sich gar nichts bemerken lassen.

Der Wettstreit zwischen AV Hersteller und "Cracker" sieht momentan ja so aus, dass die "Cracker" immer mit neuer Technologie rauskommen und die AV Hersteller (viel später) ein Gegenmittel finden.

Ich gehe momentan sowieso davon aus, dass mein (und auch dein) Rechner infiziert ist. Ich bin sehr sehr paranoid, vorallem deswegen, weil ich weiß, wie all das funktioniert! Ich bin sehr wohl in der Lage, ähnliches zu schreiben, deshalb ist es so fürchterlich beängistend. Meistens treffe ich spontane Vorkehrungen, um - für den Fall, dass ich wirklich belauscht werde - den "Schaden" minimal zu halten!

Ich glaube, dass heutzutage ein bisschen Paranoia - vorallem nach all dem, was in den Medien nun auch zu hören war - zum gesunden Hausverstand mit dazugehört!

Zu deinem speziellen Problem kann ich jedoch nicht viel sagen.
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.585 Beiträge
 
Delphi 11 Alexandria
 
#4

AW: so langsam werd' ich paranoid

  Alt 30. Dez 2013, 18:48
Ich habe schon vor einem Jahr einen Systemtreiber entdeckt der sich aber nicht auf der Festplatte finden lässt.
C:\Windows\System32\drivers\rikvm_34E30CCC.sys
Mit dem Tool DriverView von Nirsoft konnte ich aber sehen dass der Treiber im Speicher ist.
Ein sehr deutliches Zeichen für ein Rootkit. Denn genau das machen die, sich verstecken.

Überprüfen kannst du eine solche Infektion sicher ausschließlich über ein Bootmedium, das auf einem anderen PC erstellt wurde. Wenn dann ein Rootkit gefunden wird, bleibt nur eine Neuinstallation.

Den PC nicht neu zu installieren, wenn so etwas gefunden wird, ist fahrlässig...
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.067 Beiträge
 
Delphi 12 Athens
 
#5

AW: so langsam werd' ich paranoid

  Alt 30. Dez 2013, 18:55
Dann habe ich eine leere, schreibgeschützte Datei mit dem Namen rikvm_34E30CCC.sys erstellt und neu gebootet.
Irgendwas hat meine Datei gelöscht und der Stealthtreiber ist wieder da.
Ok dann habe ich eben ein Verzeichnis mit dem Namen rikvm_34E30CCC.sys erstellt und Gotcha - jetzt ist der Treiber nicht mehr im Speicher.
Wie denn "Schreibgeschützt"?

Nur das nutzlose Attribut gesetzt, oder alle Schreibrechte entfernt?



Vermutlich Eventuell wird die Datei kurz erstellt, geladen und wieder von der Platte entfernt, wobei die deine Datei überschreiben und sie dann natürlich weg ist.
Das gleichnamige Verzeichnis ließ sich nicht überschreiben und war somit noch vorhanden, bzw. die Datei konnte nicht gespeichert und dann auch nicht geladen werden.
Das dürfte aber auch gehen, wenn der Schreibende keine Schreibrechte besitzt.


Ist die Datei eigentlich wirklich nicht vorhanden, oder ist die nur "unsichtbar"?
Im Explorer werden unsichtbare Systemdateien ja standardmäßig ausgeblendet. (wenn man es in den Exploreroptionen nicht deaktiviert)



Hmmmm, die Datei ist wohl schon bekannt, aber keiner weiß wofür die ist.
http://www.tomshardware.co.uk/forum/...a-suit-rootkit

Vielleicht ein Kopierschutz?



Nja, ich hab PowerDVD schon mehrere Jahre nicht mehr installiert, auch wenn ich den vorher viele Jahre brav installiert hatte, und langsam findet man immer mehr Gründe es nicht zu tun.
Aber über die Jahre zeigte sich, daß der VLC mir meisten vollkommen ausreicht und weniger Resourcen nutzlos verschwendet.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Benutzerbild von ATS3788
ATS3788

Registriert seit: 18. Mär 2004
Ort: Kriftel
646 Beiträge
 
Delphi XE Starter
 
#6

AW: so langsam werd' ich paranoid

  Alt 30. Dez 2013, 19:12
Mein Kumpel Eric in den USA
hat ein (Uralt) Logger auf BSA
und Wireshark und scanned seine Traffic.
So weist Du immer wer oder was sich auf Deinen Rechner austobt.
OK anders Du weißt das sich "jemand" auf Deinen Rechner
versucht auszutoben.
Ist mir zu aufwendig. Habe nicht zu verstecken

Einen Guten Rutsch Delphianer
Martin MIchael
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.585 Beiträge
 
Delphi 11 Alexandria
 
#7

AW: so langsam werd' ich paranoid

  Alt 30. Dez 2013, 19:15
Ist mir zu aufwendig. Habe nicht zu verstecken
Darum geht es doch gar nicht. Siehe den ersten Link von Union. Dort hat dann jemand Post von seinem Provider bekommen, weil von der eigenen IP illegale Aktivitäten erkannt wurden. Und genau das ist die Gefahr dabei. Dass der eigene PC z.B. Teil eines Botnetzes wird und darüber Straftaten begangen werden...
Wenn sich dann der Virus restlos löscht, hast du im Zweifelsfall ein Problem zu beweisen, dass du das nicht selbst warst...
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:49 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz