Thema: DE-Cleaner

[SiLæncer]

Sicherheitsprogramm des Anti-Botnet-Beratungszentrums, um Botnet-Infektionen vom eigenen Computer zu entfernen; benötigt bei der Ausführung eine aktive Internetverbindung.

kostenlos

https://www.botfrei.de/decleaner.html

[berti]

hmm, irgendwie hab ich hier ein sehr ungutes gefühl, kann aber auch an mein sicherheitsbedürfniss liegen

auf jeden fall sollte man sich die benutzerbedingungen mal ganz genau durchlesen und selbst entscheiden was für einen gut ist.

hier mal ein kleiner report, was mir in einen schnelltest aufiel:

1.) die aussage: "Auch der DE-CLEANER selbst erhebt oder speichert keine personenbezogenen Daten, auch keine IP-Adressen" stimmt so nicht ganz, es sind im übermittelten paket die mac-adressen der netzadapter und der angeschlossenen geräte zu erkennen.

2.) des weiteren: " Inhalte von nicht ausführbaren Dateien (z.B. Dateien mit Endungen .txt, .doc. .xls, .mp3, .avi) werden in keinem Fall erfasst. " stimmt, der inhalt nicht, aber der dateiname und hash.

3.) und " Betriebssystemart inkl. Service-Pack", da fehlt, das auch die registrierungs-UID mit übertragen wird.

4.) und was mir auch nicht gefällt ist der folgende passus: "DE-CLEANER überträgt die gesammelten Dateinamen von ausführbaren Dateien und die dazugehörigen Prüfsummen an die Symantec Reputations-Datenbank in den Vereinigten Staaten von Amerika zwecks Abgleich mit den dort vorgehaltenen Informationen" und "Die zu statistischen Zwecken gesammelten Informationen werden an Symantec-Server in den Vereinigten Staaten von Amerika übertragen". Das auf diese server auch sehr viele andere dienste zugriff haben, sollte eigentlich bekannt sein.

5.) Das übermittelte paket bzw die zum teil wärend des scannens übermittelten daten sind nur sehr minimal verschlüsselt, was bei einer kritischen verbindung auch nicht so ganz "astrein" ist.

6.) das tool schreibt ein paar merkwürdige guids in die registry, bei mir waren die nicht so einfach zu löschen, weil da sehr eigenartige benutzerrechte verwendet wurden. ( kann aber auch an meinen system liegen)


so, das wäre mal meine meine meinung zu diesen tool, mal sehen ob jemand bessere erfahrungen gemacht hat.

[Jürgen]

Ich halte mich da allein schon deshalb fein raus, weil ich schon mehr als einmal recht viel Zeit damit verbracht habe, die letzten Spuren von Software dieses Herstellers händisch zu lokalisieren und zu entfernen.
Und deshalb ein Uninstall-Tool eines anderen Herstellers einzusetzen, widerstrebt mir ebenfalls, weil das leicht zu einem Teufelskreis werden kann.

Wirklich wünschenswert wäre, ein Tool für solche Zwecke zu haben, das den Start des Windows-Betriebssystems währenddessen komplett unnötig macht.
Aber daran mag ich leider in absehbarer Zeit nicht nicht glauben...


Jürgen

[berti]

hmm, passt jetzt zwar nicht mehr in diesen thread, aber es ist schon schwierig,moderne rootkits ohne das betreffende arbeitende betriebssystem zu finden. da hilft eigentlich nur, ein gegen veränderungen gesichertes programm veränderungen am betriebssystem oder auffälliges verhalten  protokolieren zu lassen und dann anhand der logfiles weitere massnahmen unternehmen. Nicht alle rootkits sind ständig aktiv und ein scan via signaturen passt auch nicht immer. schon von daher seh ich diese online-scanner etwas kritisch an.

aber bei  bekannten rootkits (oder auch schwierige trojaner/viren) hilft oft auch schon das booten mit ner rettungscd /dvd. bei mir haben sich da kasper oder avira sehr bewährt, beide haben eine halbwegs vernünftige rootkiterkennung. beide arbeiten übrigens unter linux und für das arbeiten mit hilfe von shell und zusätzlichen tools ist auch gesorgt.

[Jürgen]

Doch, passt schon noch, finde ich.

Natürlich ist es prinzipiell einfacher, eine Übernahme eines Rechners an seinem Verhalten zu erkennen, als in allen erdenklichen Untiefen eines Systems nach den Wurzeln des Übels zu suchen.
Aber das kann bedeuten, den Rechner zunächst weiterhin tun zu lassen, was er definitiv nicht soll.
Nur dann eben protokolliert.
Widerstrebt mir schlichtweg.
Und für einen aktuellen Bot-Client Hilfe ausgerechnet über das Netz zu suchen, bedeutet in meinen Augen, einen Zweikampf zuzulassen, dessen Ergenis nicht vorhersehbar ist.

Das ist auch der Hauptgrund, weshalb ich ein ausschliesslich verkabeltes Heimnetz betreibe, Stecker raus, Schluss mit lustig. Nicht dass ein Übeltäter noch weitere Wege per WLAN o.ä. findet...

Für verhaltensorientierte Analysen könnte ich mir vorstellen, dass man eigentlich einen zweiten Rechner brauchen könnte, in der Mitte eingeschaltet, mit hardwaremässig getrennten Netzwerken Richtung WAN und LAN, der von einer LiveCD liefe, äusserst rigide konfiguriert und mit passenden Tools bestückt.
Quasi als man-in-the-middle-attack auf Bot&Co.
Der müsste sich natürlich nach aussen überzeugend als der zu untersuchende Rechner ausgeben, nach innen wie der auch sonst verwendete DSL-Router.
Gezieltes Durchlassen in bestimmten Ausnahmefällen, ansonsten völlig dicht, insbesondere ohne jede Schnittstelle für Fernwartung und ähnliches.
Zum Herunterladen eventueller Patches oder Werkzeuge müsste dann eine Art Umschalter installiert sein, der den LAN-Weg vorher sicher unterbricht und am besten solange für die WAN-Seite eine andere IP verwendet.


Bis es sowas vielleicht zu meiner Zufriedenheit gibt, stelle ich lieber weiterhin regelmässig Image-Kopien in mehreren Generationen her, die ich ohne das betroffene Betriebssystem zurückspielen kann.

[SiLæncer]

Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit dem eco-Verband über die "Computer Bild" ("Die Deutsche Anti-Bot-CD") verteilte und zum kostenlosen Download angebotene DE-Cleaner neigt offenbar zu häufigen Fehlalarmen. Der auf Symantecs Norton Power Eraser beruhende Scanner bewertet zahlreiche harmlose Programme zunächst fälschlicherweise als verdächtig oder sogar als bösartig.

Eine Ursache des Problems ist, dass der erste Scan auf einer Schnellprüfung beruht, bei der Symantecs Tool zunächst heuristisch, also ohne Virensignaturen, Dateien untersucht und anschließend den "Norton Community"-Reputationsserver nach einer Einschätzung zu einer Datei befragt. Gibt es nur wenige Bewertungen dazu und lieferte schon die Heuristik eine schlechte Einstufung, gilt ein Programm als verdächtig oder bösartig.

Der eco-Verband bestätigte gegenüber heise Security die Fehlalarme: "Das Problem mit False Positives, die der DE-Cleaner meldet, ist uns bekannt und wir arbeiten intensiv an einer Lösung. Symantec bietet bis dahin Herstellern, deren Produkte oder Dateien vom DE-Cleaner falsch eingestuft werden, die Möglichkeit, das Produkt auf eine Whitelist setzen zu lassen. Dazu sollte für jede ausführbare Datei das Formular unter https://submit.symantec.com/false_positive/insight/ ausgefüllt werden", so Katrin Mallene, Pressesprecherin des Verbands der deutschen Internetwirtschaft eco.

Das Whitelisting soll sicherstellen, dass die betroffene Software immer als gutartig eingestuft wird. Wichtig sei, dass das Formular für jede ausführbare Datei einmalig vollständig ausgefüllt wird, insbesondere einschließlich der SHA1-Prüfsumme. Allerdings gilt das Whitelisting aufgrund der Verknüpfung mit dem Hash nur für eine spezifische Produktversion. Sobald sich etwa an der datei ändere, müsse das Formular erneut für diese Version ausgefüllt werden. Alternativ schlägt Mallene vor: "Eine einfachere alternative Lösung wäre, die Software mit einer digitalen Signatur zu versehen. Auch das würde die fälschliche Erkennung vermeiden."

Beide Schritte sind jedoch mit Aufwand und Kosten verbunden. Nach Angaben des Herstellers der CAD-Software für Leiterplatten Target 3001, der von dem Problem betroffen ist, würde dies aufgrund der verschiedenen Versionen und Sprachunterstützungen das Anlegen von mehr als 20 Einträgen in der Whitelist erfordern. Aufgrund der häufigen Updates sei dies manuell nicht machbar. Skripten lässt sich der Vorgang auch nicht, da ein Captcha das automatische Eintragen verhindere. Ein Code-Signing-Zertifikat zum Signieren der Programme kostet etwa bei Verisign 500 Euro. Microsoft bietet allerdings für kurze Zeit ein Programm an, bei dem man bereits für 100 Euro ein Zertifikat kaufen kann.

So oder so führen die vorgeschlagenen Schritte aber quasi zu einer Beweislastumkehr: Hersteller werden auf diese Weise gezwungen, ihre Unschuld zu beweisen. Derzeit können sie nur hoffen, dass Anwender die Meldungen des DE-Cleaner richtig einschätzen können. Also: Im Zweifel den ersten Aussagen des Tools keinen Glauben schenken und den zusätzlichen Scan (Remote Scan) durchführen.

Quelle : www.heise.de

[SiLæncer]

Die Internetanwender in Deutschland fürchten sich vor Botnet-Infektionen. Die Sicherheitssoftware DE-Cleaner des Anti-Botnet-Beratungszentrums wurde bereits über 330.000-mal abgerufen. Jetzt soll eine neue Software folgen.

Seit dem Start im September 2010 wurde beim Anti-Botnet-Beratungszentrum die Sicherheitssoftware DE-Cleaner über 330.000-mal heruntergeladen, die Schadsoftware vom Rechner entfernt, gaben die Betreiber des Helpdesks am 6. Dezember 2010 in Köln bekannt. Circa 660.000 Besucher nutzten zwischen dem 15. September und 30. November 2010 das Angebot botfrei.de.

"Schon in den ersten zwei Monaten konnte das Anti-Botnet-Beratungszentrum Hunderttausende Internetnutzer über die Gefahren aufklären, die von Botnetzen ausgehen", sagte Harald A. Summa, Chef des Verbands der deutschen Internetwirtschaft Eco. Botnetze dienen dem Spamversand, dem Identitätsdiebstahl oder zu Spionageangriffen.

Betrieben wird der Helpdesk vom Eco, dem Bundesamt für Sicherheit in der Informationstechnik, BSI, den Sicherheitssoftwareherstellern Symantec und Avira sowie den E-Mail-Providern Web.de und Gmx, die das Angebot auch hosten. Zusätzlich steht ab dem 7. Dezember 2010 ein weiteres Tool zur Verfügung, das von dem russischen Antivirenexperten Kaspersky bereitgestellt wird. Wenn sich der Bot nicht entfernen lässt, sollte das Betriebssystem Windows neu installiert werden, raten die Betreiber.

Neue Partner des Anti-Botnet-Beratungszentrums sind der britische Telekommunikationskonzern Vodafone, der TV-Kabelnetzbetreiber Unitymedia und die VZnet-Netzwerke. VZnet-Chef Clemens Riedl will auch Kräfte aus der Abteilung Anwenderbetreuung zur Unterstützung des Anti-Botnet-Beratungszentrums bereitstellen. Das Anti-Botnet-Angebot wurde zudem neu in die Sprachen Englisch und Türkisch übersetzt.

Quelle : www.golem.de