bestaat niet te verwijderen spyware - Privacy en beveiliging

zaterdag 16 april 2005 22:12

Acties:

Ergo

Topicstarter

Gelukkig is de meeste spyware - hetzij met wat gedoe soms - te verwijderen. Wat me daarin opvalt is dat de meeste spyware naast de rommel zelf, tegenwoordig vaak een proces installeert dat niks anders doen dan monitoren of de spyware niet verwijderd wordt. Met andere woorden: je moet eerst dit proces bijeendigen, wil je de spyware daadwerkelijk weg kunnen krijgen.

Nu vroeg ik me af: is er al spyware gesignaleerd die twee processen toevoegt, die beide wederzijds kijken of het andere proces nog draait EN beide controleren of de spyware niet verwijderd wordt? Of een virus van deze strekking? Spyware en virussen zijn toch al bijna hetzelfde.

Dit zou immers zeer eng zijn, dan kan nog hooguit in de Veilige Modus deze rommel verwijderd worden. Alhoewel je je kunt afvragen hoeveel verwijdersoftware nog goed werkt in die modus....

Dus gewoon een discussie-topic, geen feitelijk probleem waar ik tegenaan gelopen ben (gelukkig).

zaterdag 16 april 2005 22:16

Acties:

JeRa

Ik weet zeker dat ik minstens eenmaal tegen spyware ben opgelopen (op iemand anders zijn computer, gelukkig) die twee (of meer, bedenk ik me nu) processen had lopen die niet los van elkaar te stoppen waren, daar was de veilige modus idd bij vereist.

Wat ik me juist afvraag is wanneer er spyware komt die werkt als een rootkit, en zichzelf dus d.m.v. kernelaanpassingen onzichtbaar voor de gebruiker en scansoftware kan maken, ook in de veilige modus.

[ Voor 4% gewijzigd door JeRa op 16-04-2005 22:18 ]

zaterdag 16 april 2005 22:20

Acties:

TromboneFreakus

Ergo

Topicstarter

JeRa schreef op zaterdag 16 april 2005 @ 22:16:
Wat ik me juist afvraag is wanneer er spyware komt die werkt als een rootkit, en zichzelf dus d.m.v. kernelaanpassingen onzichtbaar voor de gebruiker en scansoftware kan maken, ook in de veilige modus.

Misschien is het er al....

zaterdag 16 april 2005 22:22

Acties:

JeRa

TromboneFreakus schreef op zaterdag 16 april 2005 @ 22:20:
[...]

Misschien is het er al....

Dan heeft ie iig geen contact met de buitenwereld

*lijn monitort met andere software, ander besturingssysteem*

zaterdag 16 april 2005 22:25

Acties:

Greenstick

Groen als gras

TromboneFreakus schreef op zaterdag 16 april 2005 @ 22:20:
[...]

Misschien is het er al....

Waarschijnlijk niet, want naar mijn weten is de Windows kernel niet aan te passen (in ieder geval niet op die manier). En zelfs als het zou kunnen vraag ik me af of je überhaupt "onzichtbare" (dus ook voor het systeem) processen kunt maken, aangezien je in de memory manager toch dat proces geheugen moet kunnen toewijzen. Dus dan is er altijd een PID in de MM te vinden dat naar dat proces verwijst.

Althans dat lijkt me wel zo logisch

[ Voor 4% gewijzigd door Greenstick op 16-04-2005 22:27 ]

- 01000111 01101111 01010100 -
We love to think about the way things were,
but the time has come and I'm glad it's over

zaterdag 16 april 2005 22:26

Acties:

Ortep

Soylent Green is People!

Er staat mij bij van een soort van voorloper van een virus op een VMS systeem (15-20 jaar geleden). Het werd behandeld op een systeembeheerders cursus. Die processen waren Knabbel en Babbel. Je kan maar een proces tegelijk killen. En de ander hield dat in de gaten. Sloopte je de een, dan maakte de ander hem opnieuw aan. Als ze dat toen al konden bedenken dan kunnen ze het u ook natuurlijk

Only two things are infinite, the universe and human stupidity, Einstein
Alleen de doden kennen het einde van de oorlog, Plato

zaterdag 16 april 2005 22:31

Acties:

Nvidiot

notepad!

Er zijn zeker wel windows rootkits beschikbaar. Als ze die gaan aanpassen voor spyware gaat het nog gezellig worden... Veel plezier met het detecteren daarvan, laat staan verwijderen zonder format

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

zaterdag 16 april 2005 22:39

Acties:

Da Fox

Mss telt 'onvindbare' spy- en ad-ware ook?
Ik heb al geruime tijd last van een 'onvindbare infectie', die constant verbinding wil maken met Internet, en dan specifieke pagina's, naar ik vermoed om daar de hits te verhogen zodat ze meer geld krijgen.
Ik merk hier verder niets van (zodra er verbinding met het internet is gemaakt), dus geen Popups, browser redirects, pagina's die opeens openen of andere enge dingen, enkel en alleen het stiekem verbinding maken met bepaalde sites, zonder dat ik dat kan zien.
Ik kom er echter maar niet achter welke spyware het is, welke bestanden het zijn of hoe ik er vanaf kom. Ik heb al herhaalde keren met verschillende AntiSpy en Adware programma's gescanned, maar dat mocht niet baten. (denk onder andere aan Adaware, SpyBot, Norton 2005 etc). Ook Hijackthis laat niets zien (dat ik er verdacht uitvind zien).
Ook zie ik geen verdachte processen in mijn TaskManager staan. Toch ben ik er laatst achter gekomen dat dit proces enkel draait (of beter: verbinding probeert te maken, daar ik het niet kan zien) als Explorer.exe draait, alsof die geinfecteerd is.

Het is dus nietzozeer niet verwijderbaar, maar eerder onvindbaar. Helaas heeft dat hetzelfde gevolg: ik kom maar niet van die rommel af

(Ik heb een keer een lijstje gemaakt van sites die worden bezocht, zoals:
www.achern-tourist.de
www.benz-tools.de
www.hotel-simplon-lyon.com
www.carrollandcompany.info
www.ewn-partners.com
www.mediaproxy.com
www.ierioggi.com
www.buchhandlung-papillon.de
www.clocksinclacton.net
www.mediacc.com
www.hermeytheclown.com
www.hotel-banville-paris.com
www.bevcomm.net
www.richwmedia.com
www.babyotterswinschool.com
www.hotel-soleiletjardin-sanary.com
www.capesthorne.com
www.midwesternfamily.com
www.expossite.com
www.innovation-democratique.org
www.altenburger.de
www.maikozone.com
www.deltanabla.com
etc
Om daar op internet naar te zoeken, maar ik kon geen referenties vinden. Wellicht dat iemand anders deze sites herkent)

"Man fears the darkness, and so he scrapes away at the edges of it with fire." - Rei Ayanami

zaterdag 16 april 2005 22:48

Acties:

TromboneFreakus

Ergo

Topicstarter

Ortep schreef op zaterdag 16 april 2005 @ 22:26:
Er staat mij bij van een soort van voorloper van een virus op een VMS systeem (15-20 jaar geleden). Het werd behandeld op een systeembeheerders cursus. Die processen waren Knabbel en Babbel. Je kan maar een proces tegelijk killen. En de ander hield dat in de gaten. Sloopte je de een, dan maakte de ander hem opnieuw aan. Als ze dat toen al konden bedenken dan kunnen ze het u ook natuurlijk

Klinkt interessant.

Of Windows zou een optie moeten inbouwen op moment x meerdere processen te kunnen beeindigen. Maar dat vereist dan weer meerdere threads van Windows die die actie op dat ene moment uitvoeren lijkt me zo, of dat technisch wel kan...

zaterdag 16 april 2005 22:51

Acties:

RSpliet

*blink*

TromboneFreakus schreef op zaterdag 16 april 2005 @ 22:48:
[...]

Klinkt interessant.

Of Windows zou een optie moeten inbouwen op moment x meerdere processen te kunnen beeindigen. Maar dat vereist dan weer meerdere threads van Windows die die actie op dat ene moment uitvoeren lijkt me zo, of dat technisch wel kan...

Uiteindelijk bepaalt het OS wie de processor krijgt (en hoe lang), als je op een moment zegt dat beide processen tegelijk gekilled worden, dan kan de kernel er echt wel voor zorgen dat ze beiden de processor niet meer krijgen, en dus elkaar niet kunnen redden... moet dit wel worden geimplementeerd.

Schaadt het niet, dan baat het niet

zaterdag 16 april 2005 22:53

Acties:

DataGhost

iPL dev

het kan wel hoor... ik ben het ook al eens tegengekomen
(over rootkits: die kunnen je taskmanager ook aanpassen (en dat doen ze ook) zodat ze dat proces niet laten zien mja)
iig zonder veilige modus is het perfect op te lossen... een wat tragere machine had ik flink aan het werk gezet (virusscan + spyware scan tegelijk) terwijl ik beide processn op idle priority had staan kon ik ze tegelijk killen en dan hadden ze niet genoeg tijd elkaar weer te starten (edit: dit lijkt dus op bovenstaande post

)

wat je ook kan doen is de bestanden zoeken, allebei renamen en dan allebei killen, dan kunnen ze elkaar niet vinden en dus ook niet opnieuw starten ( je kan pas verwijderen als ie uit staat)

[ Voor 4% gewijzigd door DataGhost op 16-04-2005 22:53 ]

zaterdag 16 april 2005 22:56

Acties:

Alex)

Stuur dat idee op naar 't longhorn-development-team, dan wordt het misschien ontwikkeld. Het lijkt mij niet zo'n moeilijke functie om in te bouwen.
We kunnen natuurlijk ook zelf iets in elkaar zetten, meermaals het commando 'taskkill /im procesnaam.exe /f' starten, dan lukt 't misschien ook.

We are shaping the future

zaterdag 16 april 2005 22:58

Acties:

Greenstick

Groen als gras

Alex schreef op zaterdag 16 april 2005 @ 22:56:
Stuur dat idee op naar 't longhorn-development-team, dan wordt het misschien ontwikkeld. Het lijkt mij niet zo'n moeilijke functie om in te bouwen.
We kunnen natuurlijk ook zelf iets in elkaar zetten, meermaals het commando 'taskkill /im procesnaam.exe /f' starten, dan lukt 't misschien ook.

Wou jij soms op 3,0 GHz op je toetsenbord gaan rammen ofzo?

Als je denkt de laatste te killen is de eerste al weer opgestart

Hoewel het iets anders is... kent iemand het principe van de dining philosophers? Dat is ook geïmplementeerd in de kernel, dus kun je dat ook wel voor spyware processen te laten gelden.

[ Voor 22% gewijzigd door Greenstick op 16-04-2005 23:01 ]

- 01000111 01101111 01010100 -
We love to think about the way things were,
but the time has come and I'm glad it's over

zaterdag 16 april 2005 23:01

Acties:

RSpliet

*blink*

Greenstick schreef op zaterdag 16 april 2005 @ 22:58:
[...]

Wou jij soms op 3,0 GHz op je toetsenbord gaan rammen ofzo? Als je denkt de laatste te killen is de eerste al weer opgestart

code:

1
2
3

while(1) {
    system("taskkill /im procesnaam.exe /f");
}

Maar makkelijker zou kernel-level task-locking zijn, om er zeker van te zijn dat bepaalde taken de processor niet te zien krijgen (zoals eerder gezegt)

[ Voor 24% gewijzigd door RSpliet op 16-04-2005 23:02 ]

Schaadt het niet, dan baat het niet

zaterdag 16 april 2005 23:12

Acties:

TromboneFreakus

Ergo

Topicstarter

Seven of Nine schreef op zaterdag 16 april 2005 @ 23:01:
[...]
code:
1
2
3
while(1) {
    system("taskkill /im procesnaam.exe /f");
}
Maar makkelijker zou kernel-level task-locking zijn, om er zeker van te zijn dat bepaalde taken de processor niet te zien krijgen (zoals eerder gezegt)

Echt goed geschreven processen zijn net zo snel als deze code, dus blijven ze netto in het geheugen hangen....

wat je ook kan doen is de bestanden zoeken, allebei renamen en dan allebei killen, dan kunnen ze elkaar niet vinden en dus ook niet opnieuw starten ( je kan pas verwijderen als ie uit staat)

Hoe wil je nu een actief proces gaan hernoemen, dat wordt gegarandeerd 'access denied'.

Hoewel het iets anders is... kent iemand het principe van de dining philosophers? Dat is ook geïmplementeerd in de kernel, dus kun je dat ook wel voor spyware processen te laten gelden.

Ben wel benieuwd wat dit inhoudt....

zaterdag 16 april 2005 23:16

Acties:

Nvidiot

notepad!

NTFS file permissies execute weghalen (ja, dat kan ook als ie nog draait), process killen en tadaa

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

zaterdag 16 april 2005 23:46

Acties:

TromboneFreakus

Ergo

Topicstarter

Nvidiot schreef op zaterdag 16 april 2005 @ 23:16:
NTFS file permissies execute weghalen (ja, dat kan ook als ie nog draait), process killen en tadaa

Mijn complimenten, dit lijkt idd de oplossing.:7

Alhoewel, als proces 1 de file permissies van proces 2 in de gaten houdt en vice versa....

[ Voor 16% gewijzigd door TromboneFreakus op 16-04-2005 23:52 ]

zaterdag 16 april 2005 23:49

Acties:

Alex)

Als je een andere user eigenaar maakt van het bestand, en zelfs de leesrechten ontneemt, kan het proces niets doen.

We are shaping the future

zaterdag 16 april 2005 23:55

Acties:

Bozozo

Your ad here?

zeg, hou eens op met al die sneaky suggesties, je weet nooit wie er meelezen

TabCinema : NiftySplit

zondag 17 april 2005 00:01

Acties:

Alex)

Als je de NTFS-rechten wijzigt, en een andere user toewijst, en instelt dat de eigenaar niet mag worden veranderd, ben je klaar. Geen programma dat het kan wijzigen.

We are shaping the future

zondag 17 april 2005 00:06

Acties:

Faust

TromboneFreakus schreef op zaterdag 16 april 2005 @ 23:12:
[...]
[...]
Ben wel benieuwd wat dit inhoudt....

Voor mensen die niet vaan Google houden:
http://java.sun.com/docs/...ial/threads/deadlock.html

zondag 17 april 2005 00:11

Acties:

Stuff

*ploink*

Ik wacht eigenlijk nog op een virus/spyware/adware/whatever programma dat een driver vervangd om zo zichzelf te nestellen.
Denk bijvoorbeeld aan een keyboard driver, de meeste standaard driver aanwezig in windows zo'n beetje. Waarom zou een kwaadwillend persoon niet in staat zijn om een driver te schrijven die hetzelfde doet als de standaard keyboard driver van windows, maar meer. Zo zou deze driver bij het initialiseren een controlle kunnen uitvoeren om te zien of de spyware nog aanwezig is en zo niet het wederom weer kunnen activeren.

Of weer terug vallen op DOS virus technieken. Je plakt de code van het virus/spyware achter een bepaald bestand, veranderd alleen iets bij het Program Entry Point zodat de laatst toegevoegde code als eerste word uitgevoerd en vervolgens het programma. Zodoende het je ook een check om te zien of de spyware nog actief is.

En zo zijn er nog wel wat leuke manieren te bedenken.

http://www.vado.org -- Videogames are a conduit for the soul. They expand our lives, channel our imagination, test our skillz. Games exist as a channel for the boundless energy of people all over the world. -MegaTokyo

zondag 17 april 2005 01:31

Acties:

Verwijderd

Ten eerste, niets is onverwijderbaar.
Boot een ander OS en 'klaar'.

Nu vroeg ik me af: is er al spyware gesignaleerd die twee processen toevoegt, die beide wederzijds kijken of het andere proces nog draait EN beide controleren of de spyware niet verwijderd wordt?

Tuurlijk.

Of een virus van deze strekking?

Sure.

Spyware en virussen zijn toch al bijna hetzelfde.

Wat uitzonderingen daargelaten - Bube en Implinker de meest bekende - is dat toch niet correct.

Wat ik me juist afvraag is wanneer er spyware komt die werkt als een rootkit, en zichzelf dus d.m.v. kernelaanpassingen onzichtbaar voor de gebruiker en scansoftware kan maken, ook in de veilige modus.

Hebben we het over SpyWare of over AdWare? SpyWare rootkits geeft het al tijden, AdWare heeft wel eens gedeeltelijke rootkit functionality ingebouwd maar geen 'volledige'.

Nvidiot schreef op zaterdag 16 april 2005 @ 22:31:
Er zijn zeker wel windows rootkits beschikbaar. Als ze die gaan aanpassen voor spyware gaat het nog gezellig worden... Veel plezier met het detecteren daarvan, laat staan verwijderen zonder format

Zolang je maar meer low-level zit..

Of een ander OS boot, zoals al gezegd.

(over rootkits: die kunnen je taskmanager ook aanpassen (en dat doen ze ook) zodat ze dat proces niet laten zien mja)

Veel 'simpele' malware kan dat al(jaren), daar is geen rootkit functionality voor nodig, dat gaat veel en veel verder.

Of weer terug vallen op DOS virus technieken.

Alsof er geen virussen voor Win zijn?

Je plakt de code van het virus/spyware achter een bepaald bestand, veranderd alleen iets bij het Program Entry Point zodat de laatst toegevoegde code als eerste word uitgevoerd en vervolgens het programma.

Noem het gewoon een file infector?

Lees dit maar eens.
De genoemde AdWare.Isearch variant gebruikt trouwens systemdrivers om zichzelf te beschermen.

zondag 17 april 2005 01:43

Acties:

Verwijderd

Faust schreef op zondag 17 april 2005 @ 00:06:
[...]

Voor mensen die niet vaan Google houden:
http://java.sun.com/docs/...ial/threads/deadlock.html

Hij bedoelde denk ik meer wat het inhoudt dat dit 'probleem' is geïmplementeerd in de kernel. Ik kan het probleem zo namaken en uitvoeren op een Windows computer, dus het wordt niet voorkomen door de kernel oid. Waarschijnlijk dat de scheduler er rekening mee houdt processen die lang op elkaar wachten minder cycles krijgen en uiteindelijk kunnen worden afgesloten door de gebruiker..

[ Voor 6% gewijzigd door Verwijderd op 17-04-2005 01:44 ]