xa-board.com - Forenarchiv: Archivbeitrag des Forums Forum der Chaotischen Gedankenwelten
Verfügbare Informationen zu "Flux Verbreitung nimmt zu "
  • Beiteiligte Poster: Daywalker
  • Forum: Forum der Chaotischen Gedankenwelten
  • Forenurl: Zum Forum
  • Forenbeschreibung: unserem Forum der chaotischen Gedankenwelten
  • Antworten: 1
  • Gestartet: Freitag 05.11.2004
Alle Beiträge und Antworten
Daywalker - 05.11.2004 - 12:23

Flux ist der Name einer neuen Seuche, die derzeit im Untergrund des
Internets grassiert und zunehmend beängstigende Ausmaße annimmt. Bei Flux
handelt es sich um einen Backdoor-Trojaner, der derzeit vielen Herstellern
von Malware Schutzsystemen Kopfschmerzen bereitet.

Der Schädling gehört zur Gattung der sogenannten "Reverse Backdoors".
Reverse bezieht sich dabei auf die Verbindungslogik. Im Normalfall öffnet
der schädliche Teil eines Backdoors (der sogenannte Server) auf dem System
eines Opfers einen Port und wartet dort auf eine Verbindung von außerhalb
durch ein Kontrollprogramm (dem sogenannten Clienten). Dieses herkömmliche
Verfahren hat aber eine gravierende Schwäche:

Sollte sich das Opfer (auch Victim oder kurz Vic genannt) innerhalb eines
Netzwerks oder "hinter" einem Router bzw. einer Hardware Firewall
befinden, kann der Client keinerlei Verbindung zum Server aufbauen und die
Übernahme des PCs schlägt fehl.

Aus diesem Grunde gehen mehr und mehr Backdoortrojaner dazu über, selbst
eine Verbindung aufzubauen auf einen Port, der zuvor vom Kontrollprogramm
geöffnet wurde. Da ausgehender Traffic vom eigenen PC aus innerhalb von
Hardware Firewalls und Routern meist erlaubt ist, kann der Backdoor trotz
dieser Schutzmechanismen Kontakt zum Kontrollprogramm aufnehmen.

Das perfide und hinterhältige an Flux ist allerdings weniger die Tatsache,
dass er diese umgekehrte Verbindungslogik nutzt, sondern die Art wie sie
implementiert wurde. Flux benutzt eine für Trojaner neue Technik des Code
Injectings. Unter Code Injecting versteht man im Grunde genommen das
Injizieren von fremden Code in einen Prozess. Bisherige Code Injecting
Techniken basierten darauf, dass ein neues Modul (eine sogenannte DLL) in
den Zielprozess eingeschleust wurde. Diese Methode (auch DLL Injecting
genannt) war einfach zu erkennen, da alle geladenen Module einfach
ermittelt und überprüft werden können. Flux dagegen schreibt seinen
Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt
dafür, dass dieser ausgeführt wird. Neben der Tatsache, dass viele Desktop
Firewalls in diesem Falle annehmen, dass ein legitmer Prozess wie z.B. der
Internet Explorer aufs Internet zugreifen möchte und den Zugriff folglich
erlauben, ist das Hauptproblem, dass der schädliche Flux Code mit
keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den
meisten Malware Schutzsystemen schlichtweg übersehen wird. Dies macht ein
sauberes und dauerhaftes Entfernen von Flux nahezu unmöglich.

Da wir bereits vor geraumer Zeit Trojaner mit dieser Infektionstechnik
gerechnet haben, haben wir bereits Gegenmaßnahmen in Form eines
erweiterten Prozessspeicherscans für a² Version 2.0 entwickelt. Da die
Verbreitung von Flux aber massiv zunimmt, haben wir uns dazu entschlossen,
den erweiterten Prozessspeicherscan bereits in Version 1.5 freizuschalten.

Dies bedeutet für Sie, dass a² als eines der ersten Schutzprogramme
derweil in der Lage ist, effektiv vor Flux zu schützen und einen aktiven
Flux zu deaktivieren. Zudem haben wir ein spezielles Erkennungsprogramm
entwickelt, dass wir allen Nutzern anderer Anti-Malware Software als a²
kostenfrei für einen schnellen Test auf eine Flux Infektion zur Verfügung
stellen. Das Programm erkennt und deaktiviert Flux in infizierten
Prozessen und ermöglicht so in Verbindung mit einem aktuellen Anti-Malware
Programm, wie z.B. a², eine komplette Entfernung von Flux.

Sie können den Flux Scanner auf der a² Downloadseite kostenlos herunterladen:

http://www.emsisoft.de/de/software/download

a² Free und a² Personal Version 1.5 veröffentlicht

Ab sofort ist die Version 1.5 von beiden a² Editionen verfügbar. Sie
können die neue Version über die Online-Update Funktion in a² direkt
installieren ohne eine Neu-Installation.

Neues/Änderungen:

- Neues Logo und verbesserte Programmoberfläche. Neues Startcenter mit
mehr Zusatzinformationen wie: Anzeige des Versions Modus (Free oder
Personal), Anzeige der Versionsnummer, Datum der letzten
Online-Update-Suche, Ablaufdatum der Lizenz.

- Neue Funktion: Auto-Update. Der a² Personal Wächter sucht nun jede
Stunde nach verfügbaren Updates. Das manuelle Updaten ist somit nicht mehr
notwendig, wenn der Guard läuft und Auto-Updates in den Guard-Optionen
aktiviert ist. Hinweis: Nur in a² Personal verfügbar!

- Einige interne Änderungen am Updater.

Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Bookmark bei: Mr. Wong Bookmark bei: Icio Bookmark bei: Folkd Bookmark bei: Yigg Bookmark bei: Linkarena Bookmark bei: Simpy Bookmark bei: Del.ico.us Bookmark bei: Reddit Bookmark bei: Digg Bookmark bei: Furl Bookmark bei: Yahoo Bookmark bei: Spurl Bookmark bei: Google Bookmark bei: Blinklist Bookmark bei: Blogmarks Bookmark bei: Diigo Bookmark bei: Technorati Bookmark bei: Newsvine Bookmark bei: Blinkbits Bookmark bei: Ma.Gnolia Bookmark bei: Smarking Bookmark bei: Netvouz
Ähnliche Beiträge
Online Game - von Mixa am Donnerstag 16.12.2004
Homepage - von Mixa am Mittwoch 08.12.2004
Kleiderordnung - von Mixa am Samstag 25.12.2004
Samstag Keller? - von Traudi am Freitag 10.12.2004
Weihnachten ;) - von Hannes am Freitag 24.12.2004
Silvester - von Traudi am Dienstag 14.12.2004
Suff-Meeting - Kellerjungs vs. Sud-Crew - von Traudi am Samstag 07.05.2005
Mal was ernstes und wichtiges - von Dan am Dienstag 21.12.2004
neue Homepage - von Mixa am Mittwoch 12.01.2005
Mitglieder - von Mixa am Donnerstag 09.12.2004
Startseite
Forum anmelden
eye Nagivation

Home 1
Themenübersicht 30401
Beitragsübersicht 31841

Impressum