Entwickler-Ecke
Freeware Projekte - Hinweis: Keylogger in einem Freeware-Projekt entdeckt!
Gausi - Di 10.04.07 17:42
Titel: Hinweis: Keylogger in einem Freeware-Projekt entdeckt!
Liebe EE'ler
Gestern (9. April 2007) wurde hier ein angeblicher Musikplayer "swchost.exe" veröffentlicht, mit folgendem Text:
| Ein böser User hat folgendes geschrieben: |
Vorab erstmal: Das hier ist eines meiner ersten Projekte, also schohnt mich etwas falls er noch nicht so gut ist.
Also was kann er?
- Id3-Tags auslesen und ändern
- Natürlich die üblichen Abspielfunktionen
- Musikbibiothek verwalten
- Albumcovers aus dem Internet besorgen
- Und vieles mehr
Der Name des Players ist mal entstanden als ich mit einem Freund gechattet habe, weiß auch nichtmehr wie^^. Seither heißt der so.
Wäre über Feedback sehr erfreut!
-Ein böser User- |
Dieser "Player" stürzte bei einigen mit einer verdächtigen Fehlermeldung ab, blieb aber weiter im Hintergrund aktiv. Wer mit Adminrechten unterwegs war, der dürfte jetzt eine Kopie des Programms im Windowsordner haben und einen Registry-Eintrag unter HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run, der die Kopie beim Systemstart lädt.
Das Ganze hat sich durch weitere Programmierfehler als Keylogger entpuppt, auch wenn gängige Antiviren-Programme nichts zu beanstanden haben.
Leider können wir nicht mehr nachvollziehen, wer dieses Programm heruntergeladen hat. Im Zweifelsfall im Windowsordner nach einer "swchost.exe" suchen und diese löschen. Ebenso sämtliche Registry-Einträge, die mit swchost zu tun haben. Vorsicht: s
wchost, nicht s
vchost!
Wir bitten für diese Dreistigkeit eines Users um Entschuldigung,
das Team der Entwickler-Ecke
Fabian E. - Di 10.04.07 17:57
:lol: :roll: :evil: :x :eyecrazy: okay....
was soll das denn?!
Marco D. - Di 10.04.07 17:58
Was habt ihr mit dem 'bösen User' gemacht?
Martok - Di 10.04.07 18:00
Man gut, dass ich nur Nemp benutze.... :zwinker:
 Marco D. hat folgendes geschrieben: |
| Was habt ihr mit dem 'bösen User' gemacht? |
Gefedert, geteert, gevierteilt und erhängt... vielleicht auch in anderer Reihenfolge ;)
Narses - Di 10.04.07 18:00
Moin!
:shock: :twisted:
Ich würde vorschlagen, das File in die "in-the-wild"-List aufnehmen zu lassen oder zumindest bei
http://www.kaspersky.com (unten am Rand) zu melden, damit sowas erkannt wird. :idea:
cu
Narses
GTA-Place - Di 10.04.07 18:01
@Team: Die *.exe bitte umgehend an AntiVir (virus@avira.de) melden*. Danke.
@Fabian E.: Nicht das erste mal. Ich bin mal auf nen Trojaner hier im DF reingefallen. Resultat war, dass ich bei einigen Account (DF, eMail, ...) nicht mehr einloggen konnte. Hat sich aber erledigt, der Bösewicht war so nett und hat mir das neue PW mitgeteilt.
*Als passwortgeschüzte RAR/ZIP-Datei. PW in der eMail mitteilen.
Fabian E. - Di 10.04.07 18:01
| Gausi hat folgendes geschrieben: |
Das Ganze hat sich durch weitere Programmierfehler als Keylogger entpuppt, auch wenn gängige Antiviren-Programme nichts zu beanstanden haben.
|
ich weiß auch warum...
es passiert gar nichts wenn man seine keyloggerfunktion als thread weiterlaufen lässt....
über Getasynckey kann man den kram dann auslesen... :(
Fabian E. - Di 10.04.07 18:04
| GTA-Place hat folgendes geschrieben: |
@Fabian E.: Nicht das erste mal. Ich bin mal auf nen Trojaner hier im DF reingefallen. Resultat war, dass ich bei einigen Account (DF, eMail, ...) nicht mehr einloggen konnte. Hat sich aber erledigt, der Bösewicht war so nett und hat mir das neue PW mitgeteilt.
|
na das war aba nett von ihm... :evil:
raziel - Di 10.04.07 18:07
| GTA-Place hat folgendes geschrieben: |
| @Team: Die *.exe bitte umgehend an AntiVir (virus@avira.de) melden*. Danke. |
Ist längst (heute mittag 12:31) passiert.
Fabian E. - Di 10.04.07 18:09
schön! :)
Delete - Di 10.04.07 22:02
Gern auch an free-olli att f-prot dott com ;)
stigge - Di 10.04.07 22:24
Kann man den Keylogger überhaupt registrieren wenn er über Getasynckey läuft? Er muss ja eigentlich nur die Dateigröße ändern und nichts geht mehr!
Blackheart666 - Di 10.04.07 22:36
| stigge hat folgendes geschrieben: |
| Kann man den Keylogger überhaupt registrieren wenn er über Getasynckey läuft? Er muss ja eigentlich nur die Dateigröße ändern und nichts geht mehr! |
Wie Jetzt...
Fabian E. - Di 10.04.07 22:49
naja ich denk mal er hat sich gedanken über die erkennungsmerkmale eines virus gemacht...
und dann kam er zu dem schluss, das das wohl über die größe passiert...
also denk ich jetzt mal ;)
würd mich aber auch mal interessieren! :)
also kla ich weiß nicht ob er über getasynckey läuft..aber ich weiß, dass es so möglich ist... :(
stigge - Di 10.04.07 22:50
| Blackheart666 hat folgendes geschrieben: |
| stigge hat folgendes geschrieben: | | Kann man den Keylogger überhaupt registrieren wenn er über Getasynckey läuft? Er muss ja eigentlich nur die Dateigröße ändern und nichts geht mehr! |
Wie Jetzt... |
Wie werden den Viren erkannt? Soviel ich weiß an speziellen Funktionen. Aber er schreibt ja nur auf wenn eine Taste gedrückt wird. Und man kann ja nicht jedes Programm, das eine Tastatureingabe abfängt als Virus deklarieren
| Fabian E. hat folgendes geschrieben: |
naja ich denk mal er hat sich gedanken über die erkennungsmerkmale eines virus gemacht...
und dann kam er zu dem schluss, das das wohl über die größe passiert...
also denk ich jetzt mal ;)
würd mich aber auch mal interessieren! :)
also kla ich weiß nicht ob er über getasynckey läuft..aber ich weiß, dass es so möglich ist... :( |
Hätte gedacht das es schon sicher ist das es darüber lief :wink:
Fabian E. - Di 10.04.07 22:57
neeee :mrgreen:
ich hab nur halt selbst mal sowas damit gemacht..
daher weiß ich das...
das ganze läuft im prinzip dann super nur hast du halt immer ne 100% CPU auslastung ;)
weil er halt ständgi überrüft ob eine tast gedrückt ist!
wie ist das eigentlich bei spielen? ehemn die da hooks?
weil bei meinen hooks geht immer mein antivir los... :(
Blackheart666 - Di 10.04.07 23:10
Ich glaube hier sind die Profis unterwegs Stigge & Fabian E... :wink: (Aufpass)
Fabian E. - Di 10.04.07 23:21
kla :mrgreen:
ne keine ahnung....
mich hats damals eigentlich nur interessiert ob ich sowas hinbekomme...
leider ging es... trotz antivir & co...
naja solang ich es nicht hier hoch stelle :mrgreen:
alias5000 - Di 10.04.07 23:41
...sondern bei der Konkurrenz :mrgreen:
Ne Scherz, ein Globaler Hook hätte es genauso sein können, das geht auch ohne dass AntiVir und Co. zuschlagen. Würden die grundsätzlich bei Tastatur- und Maushooks zuschlagen, könnte man sie auch gleich komplett abschaffen (außer bei den paar gutgläubigen, die keine Vienprogramme haben, die würde es vllcht stören ;) )
Gruß
alias5000
Fabian E. - Di 10.04.07 23:56
ah okay...
das wusste ich nicht! :)
dann lag das wohl eher an meinem (nicht)können bei hooks! ;)
GTA-Place - Mi 11.04.07 08:39
AntiVirenProgramme analysieren unter anderem das Verhalten von Programmen [Heuristik]. Und auch digitale Signaturen, wie Checksum oder Auszüge aus dem Hexcode. Wenn er nur die Größe ändert, ist nicht gleich der Hexcode anders. Er müsste den Bereich finden, der im AntiVirenProgramm gespeichert ist, das kann aber auch ein Bereich sein, an den er nicht hinkommt [Beispiel: Erstellung der Form in einer Unit von Borland, ...].
Gausi - Mi 11.04.07 08:40
Afaik schlagen Virenscans bei Keyhooks an. Zumindest hat mein neuinstalliertes Antivir (ja, ich war bisher ohne Virenscanner unterwegs) nur zwei mal gepiept. Einmal bei der Keyhook-Tutorial-dll von Assarbad, und dann für LuckieSpy. Mein bisheriges Sicherheitskonzept "Router - Personal Firewall - Brain2.0" bietet also nen recht vernünftigen Schutz vor Schweinkram.
Über das Konzept dieses Werkes hier wird nichts verraten - wir wollen ja keine Verbesserungshinweise geben. Aber ganz ausgereift war das nicht :lol:.
ene - Mi 11.04.07 08:53
| Gausi hat folgendes geschrieben: |
Mein bisheriges Sicherheitskonzept "Router - Personal Firewall - Brain2.0" bietet also nen recht vernünftigen Schutz vor Schweinkram.
Über das Konzept dieses Werkes hier wird nichts verraten - wir wollen ja keine Verbesserungshinweise geben. Aber ganz ausgereift war das nicht :lol:. |
Meinst du Brain2.0 ;) Und eine PFW naja...ich schweige mich aus.
stigge - Mi 11.04.07 10:42
Könnt ihr nicht verraten wie er/sie hieß? Dann könnte ich nach dem Sourcecode fragen, ihn verbessern und dann zum Testen für euch hochladen :zwinker:
Antivir erkennt ihn übrigens immer noch nicht, dafür aber "Ikarus" :gruebel:
alzaimar - Mi 11.04.07 10:56
Vielleicht könnte man das als Anlass nehmen, hier nur Programme inkl. Sourcecode veröffentlichen zu können.
Oder anders herum (weil wir Alle erwachsen sind): Wer sich irgendwelche EXEn ohne den Quellcode saugt, darf sich nicht wundern.
Prinzipiell versuche ich darauf zu verzichten, reine EXEn einfach so zu laden und auszuführen. Es gibt natürlich Kandidaten (=User), von denen man weiss, das ihre gepostete EXE sauber ist, aber wenn ich jemanden nicht kenne, dann werde ich schon stutzig.
Es war übrigens sehr praktisch, als noch die Anzahl der bisherigen Posts im Beitrag zu sehen war (und nicht erst in der User-Info). Ein User mit 3 Beiträgen, der eine EXE ohne Quelltext postet, kann sein Zeugs jedenfalls behalten...
Natürlich könnte ich ja auf den User klicken, aber das ist sooo umständlich :bawling:
andras - Mi 11.04.07 10:58
| stigge hat folgendes geschrieben: |
| Könnt ihr nicht verraten wie er/sie hieß? |
also ich hoff der user ist eleminiert worden und existiert nicht mehr in diesem forum!!
GTA-Place - Mi 11.04.07 11:11
| alzaimar hat folgendes geschrieben: |
| Vielleicht könnte man das als Anlass nehmen, hier nur Programme inkl. Sourcecode veröffentlichen zu können. |
Blödsinn. Nicht jeder mag OpenSource.
Klabautermann - Mi 11.04.07 11:42
Hi,
| stigge hat folgendes geschrieben: |
| Könnt ihr nicht verraten wie er/sie hieß? |
wir haben den usernamen bewusst nicht genannt, damit hier keine Hexenjagt gestartet wird. Das währe auch sinnlos, da der böse user es nicht mitbekommen würde, da wir ihn selbstverständlich gebannt haben.
Ein Pflicht zu Open-Source wird es es sicher nicht geben. Aber wer seine Software mit Quelltext veröffendlicehn möchte darf das gerne tun ;).
Gruß
Klabautermann
FiceGoesDelphi - Mi 11.04.07 14:46
Wurde auch ein Strafantrag gestellt?
M.M. nach ganz hart durchgreifen!
noidic - Mi 11.04.07 14:49
Strafantrag wegen was denn? Ist irgendwo nachweisbar ein Schaden entstanden?
Gausi - Mi 11.04.07 14:56
Wenn du versuchst, ne Bank zu überfallen, und dir vorher ne Omma(*) mit ner Handtasche eins überbrät und das dadurch verhindert, weil du dich zu dusselig anstelllst, dann gibts auch ne Anzeige (also für dich, nicht für die Omma, obwohl die Omma dich verhauen hat, und du keinen Schaden angerichtet hast). ;-)
So würde ich das hier auch sehen: Auch der Versuch ist strafbar.
_______________
Das soll nicht heißen, dass ich den USer, der das Topic als erster gemeldet hat, als Omma bezeichne. Aber ich habe grade eine Folge von "Shaun the Sheep" gesehen, wo einer derart rabiate alte Frau vorkommt :lol:
FiceGoesDelphi - Mi 11.04.07 14:58
| noidic hat folgendes geschrieben: |
| Strafantrag wegen was denn? Ist irgendwo nachweisbar ein Schaden entstanden? |
Es gibt zu jeder straftat den zusatz "Versuchte(r)" ;)
und die Identität rauszukriegen wird nen kinderspiel sein! Wer anscheinend nicht mal nen funktionierenden keylogger hinkriegt (oder was auch immer da falsch oder schlecht war, dass ihr sagt er wäre ein anfänger) wird sich wohl nicht verstecken können ;)
noidic - Mi 11.04.07 15:54
tja, versuchter was denn?
Bei dem versuchten Banküberfall wär ich mir auch nicht so sicher. Die Anklage dürfte zumindest auf sehr wackligen Beinen stehen, je nachdem wie klar die Absicht des Täters zu erkennen war. Allenfalls ein warscheinlich vorliegender Verstoß gegen das Waffengesetz dürfte hier sicher verfolgbar sein.
raziel - Mi 11.04.07 15:58
Habe soeben etliche Antiviren-Hersteller kontaktiert, u.a. F-Secure, Kaspersky, Avast, McAfee, F-Prot, u.v.m.
Gruß,
raziel
FiceGoesDelphi - Mi 11.04.07 16:08
| noidic hat folgendes geschrieben: |
tja, versuchter was denn?
|
Eigene Vermutungen:
-Versuchte Verletzung der Privatsphäre
-evtl fällt das auch noch unter "Vorbereitung einer Straftat"
Beitrag zu diesem Thema:
http://archiv.chip.de/news/c1_archiv_news_stories_17508093.html
Wobei jetzt habe ich gefunden:
http://www.rrzn.uni-hannover.de/hacking_viren-strafe.html
Unter 2. und III. ist es etwas kompliziert!
Eigentlich ist ein versuch NICHT Strafbar AUßER es sind personenbezogene Daten!
In wie weit ein Keylogger jetzt interpretiert wird, ist nicht herauszulesen! Desweiteren kenne ich mich in dieser Materie auch nicht sonderlich gut aus.
ZeitGeist87 - Mi 11.04.07 16:12
hoffentlich kennst du dich mit jura besser als mit delphi aus... :P
noidic - Mi 11.04.07 16:19
Die Frage wäre, ob der Keylogger nu nur logt oder die Daten auch in die Weltgeschichte schickt. In letzterem Fall könnte es eventuell ein Eingriff in die Privatsphäre sein, dann müsste allerdings der Geschädigte einen Strafantrag stellen, wenn mich meine strafrechtlichen Kenntnisse jetzt nicht täuschen :)
Wenn er nur logt und die Daten nicht weiter verarbeitet sehe ich keine Straftat, auch keine versuchte.
Karlson - Mi 11.04.07 16:39
Da der Virus bei mir gelaufen ist würd mich das auch interessieren. Ist schon bekannt wie und ob der Virus sich mit dem Internet verbindet?
raziel - Mi 11.04.07 17:13
Ja, ich konnte Hinweise darauf finden, dass er die gesammelten Daten ins Internet sendet, wohin konnte ich leider nicht rausfinden, da das Programm bei mir nicht zum Funktionieren zu bewegen war :mrgreen:
Fabian E. - Mi 11.04.07 17:56
| raziel hat folgendes geschrieben: |
| Ja, ich konnte Hinweise darauf finden, dass er die gesammelten Daten ins Internet sendet, wohin konnte ich leider nicht rausfinden, da das Programm bei mir nicht zum Funktionieren zu bewegen war :mrgreen: |
bist du dir da ganz sicher? :mrgreen:
also deine passwörter sind jedenfalls gut bei mir angekommen!:mrgreen:
stigge - Mi 11.04.07 18:21
Also ich finde einen Strafantrag ABSOLUT übertrieben! Er hats versucht aber er hatte wohl so gut wie keinen Erfolg. Außerdem hat ihn wohl ein ziemlicher Noob geschrieben und ich weiß nicht ob man da jetzt so hart durchgreifen muss da auch wies scheint kein Schaden entstanden ist. Ich würde das Thema einfach als nicht schöner Zwischenfall abhacken.
Karlson - Mi 11.04.07 19:45
| stigge hat folgendes geschrieben: |
| Also ich finde einen Strafantrag ABSOLUT übertrieben! Er hats versucht aber er hatte wohl so gut wie keinen Erfolg. Außerdem hat ihn wohl ein ziemlicher Noob geschrieben und ich weiß nicht ob man da jetzt so hart durchgreifen muss da auch wies scheint kein Schaden entstanden ist. Ich würde das Thema einfach als nicht schöner Zwischenfall abhacken. |
Kannst dich wohl gut mit ihm identifizieren, ne?
stigge - Mi 11.04.07 20:31
| Karlson hat folgendes geschrieben: |
| stigge hat folgendes geschrieben: | | Also ich finde einen Strafantrag ABSOLUT übertrieben! Er hats versucht aber er hatte wohl so gut wie keinen Erfolg. Außerdem hat ihn wohl ein ziemlicher Noob geschrieben und ich weiß nicht ob man da jetzt so hart durchgreifen muss da auch wies scheint kein Schaden entstanden ist. Ich würde das Thema einfach als nicht schöner Zwischenfall abhacken. |
Kannst dich wohl gut mit ihm identifizieren, ne? |
Ich hab mal selber einen geschrieben und war kurz davor ihn zu veröffentlichen. Allerdings war es schon spät. Deshalb wollte ich ihn erst am nächsten Tag reinstellen. Als ich dann nochmal im Bett drüber nachgedacht habe ist mir erst klar geworden was ich da fast für eine Sch*iße gemacht hätte. Da ich zu dem Veröffentlichungszeitpunkt auch online war und daher weiß das es ziemlich spät wahr vermute ich da einen Zusammenhang mit meiner Sache. Ich könnte jetzt gut auch in seiner Position sein.
Der Keylogger wurde ja schon an sehr viele Virenscannerhersteller gesandt und deshalb denke ich man sollte lieber gnädig sein und ihn nochmal davonkommen lassen. Jeder macht mal Fehler, ich hätte fast aus Leichtsinnigkeit dasselbe Problem gehabt.
Das ist meine Ansicht der Dinge.
Stigge
Karlson - Mi 11.04.07 20:39
Langsam wirds ein bisschen auffällig Stigge...
Allerdings müssen auch wir uns die Fragen stellen in wieweit unsere Hilfen zum Schreiben des Virus beigetragen haben. Aber wie schon gesagt, der "Virus" war wohl ein zusammenkopiertes Möchtegern-Hacker-Werk. Würde man das Anzeigen würde das Verfahren wohl eh eingestellt. Insofern - was solls. Kommt vor, ist nicht das erste Mal, wird auch nicht das letzte Mal sein.
sandra123 - Mi 11.04.07 20:43
| stigge hat folgendes geschrieben: |
| Karlson hat folgendes geschrieben: | | stigge hat folgendes geschrieben: | | Also ich finde einen Strafantrag ABSOLUT übertrieben! Er hats versucht aber er hatte wohl so gut wie keinen Erfolg. Außerdem hat ihn wohl ein ziemlicher Noob geschrieben und ich weiß nicht ob man da jetzt so hart durchgreifen muss da auch wies scheint kein Schaden entstanden ist. Ich würde das Thema einfach als nicht schöner Zwischenfall abhacken. |
Kannst dich wohl gut mit ihm identifizieren, ne? |
Ich hab mal selber einen geschrieben und war kurz davor ihn zu veröffentlichen. Allerdings war es schon spät. Deshalb wollte ich ihn erst am nächsten Tag reinstellen. Als ich dann nochmal im Bett drüber nachgedacht habe ist mir erst klar geworden was ich da fast für eine Sch*iße gemacht hätte. Da ich zu dem Veröffentlichungszeitpunkt auch online war und daher weiß das es ziemlich spät wahr vermute ich da einen Zusammenhang mit meiner Sache. Ich könnte jetzt gut auch in seiner Position sein. Der Keylogger wurde ja schon an sehr viele Virenscannerhersteller gesandt und deshalb denke ich man sollte lieber gnädig sein und ihn nochmal davonkommen lassen. Jeder macht mal Fehler, ich hätte fast aus Leichtsinnigkeit dasselbe Problem gehabt.
Das ist meine Ansicht der Dinge.
Stigge |
Ich stimme Stigge voll und ganz zu. Ich kenne die Person, die den Keylogger gepostet hat sehr gut und ich kann mir auch nicht erklären, warum er es getan hat. Ihm selber tut es auch unendlich leid. Die geloggten Sachen werden übrigens an einen FTP-Server bei funpic.de gesendet. Es sind allerdings nur 3 Logs angekommen. In einem stand nur Test, im zweiten nur Pfeiltasten und im dritten stand ungefähr "Uhh, ein Keylogger!!!!!". Er hat die Logs gelöscht und den Account bei funpic.de gekündigt, also ihr seid auf jeden Fall sicher. Wie gesagt, es tut im Leid und er möchte es auch ungeschehen machen.
Bitte vergebt ihm! Er ist gerademal 16 wie ich! Und Schaden ist auch keiner entstanden!
Sandra
P.S.: Damit ihr mir etwas mehr glauben schenkt: Sein Username war pat****123 und er hat die Datei vor 2 Tagen um circa 21:00 Uhr gepostet und er hat sich ungefähr 2 Tage zuvor angemeldet.
Bitte vergebt ihm! Normalerweise macht er auch nicht so einen Schrott!
ZeitGeist87 - Mi 11.04.07 20:45
seltsamer zusammenhang..pat****123 und sandra123..ich verweise und auf die 123...
leute..hört auf..ihr redet euch nur noch um kopf und kragen!!!
Ist ein gut gemeinter Rat!
GTA-Place - Mi 11.04.07 20:46
Ich hätte damals einen Strafantrag gestellt, wenn die Polizei mich nicht wieder nach Hause geschickt hätte. Sorry, aber da gilt kein "Tut mir leid".
Karlson - Mi 11.04.07 20:48
Warum haben die dich heimgeschickt? @GTA-Place
ZeitGeist87 - Mi 11.04.07 20:48
ach "sandra"
woher konntest du wissen wer es war und wann, wenn du dich doch erst heute angemeldet hast?
Christian S. - Mi 11.04.07 20:52
Ich mache hier mal zu. Dieser Thread sollte der Information dienen. Eine Diskussion, was unternommen werden sollte und ob dem Nutzer verziehen werde sollte, gehört hier nicht hin. Das ist Sache des Teams und des betreffenden Nutzers.
Tino ist rechtlich für dieses Forum verantwortlich, also hat er nicht nur das Recht sondern auch die Pflicht in solchen Dingen zu entscheiden. Die Rechtslage für Foreninhaber ist weiterhin unüberschaubar, und da ist man besser zu vorsichtig als zu nachsichtig.
Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2026 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!