Flux Verbreitung nimmt zu
Flux ist der Name einer neuen Seuche, die derzeit im Untergrund des Internets grassiert und zunehmend beängstigende Ausmaße annimmt. Bei Flux handelt es sich um einen Backdoor-Trojaner, der derzeit vielen Herstellern von Malware Schutzsystemen Kopfschmerzen bereitet.
Der Schädling gehört zur Gattung der sogenannten "Reverse Backdoors". Reverse bezieht sich dabei auf die Verbindungslogik. Im Normalfall öffnet der schädliche Teil eines Backdoors (der sogenannte Server) auf dem System eines Opfers einen Port und wartet dort auf eine Verbindung von außerhalb durch ein Kontrollprogramm (dem sogenannten Clienten). Dieses herkömmliche Verfahren hat aber eine gravierende Schwäche:
Sollte sich das Opfer (auch Victim oder kurz Vic genannt) innerhalb eines Netzwerks oder "hinter" einem Router bzw. einer Hardware Firewall befinden, kann der Client keinerlei Verbindung zum Server aufbauen und die Übernahme des PCs schlägt fehl.
Aus diesem Grunde gehen mehr und mehr Backdoortrojaner dazu über, selbst eine Verbindung aufzubauen auf einen Port, der zuvor vom Kontrollprogramm geöffnet wurde. Da ausgehender Traffic vom eigenen PC aus innerhalb von Hardware Firewalls und Routern meist erlaubt ist, kann der Backdoor trotz dieser Schutzmechanismen Kontakt zum Kontrollprogramm aufnehmen.
Das perfide und hinterhältige an Flux ist allerdings weniger die Tatsache, dass er diese umgekehrte Verbindungslogik nutzt, sondern die Art wie sie implementiert wurde. Flux benutzt eine für Trojaner neue Technik des Code Injectings. Unter Code Injecting versteht man im Grunde genommen das Injizieren von fremden Code in einen Prozess. Bisherige Code Injecting Techniken basierten darauf, dass ein neues Modul (eine sogenannte DLL) in den Zielprozess eingeschleust wurde. Diese Methode (auch DLL Injecting genannt) war einfach zu erkennen, da alle geladenen Module einfach ermittelt und überprüft werden können. Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt dafür, dass dieser ausgeführt wird. Neben der Tatsache, dass viele Desktop Firewalls in diesem Falle annehmen, dass ein legitmer Prozess wie z.B. der Internet Explorer aufs Internet zugreifen möchte und den Zugriff folglich erlauben, ist das Hauptproblem, dass der schädliche Flux Code mit keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den meisten Malware Schutzsystemen schlichtweg übersehen wird. Dies macht ein sauberes und dauerhaftes Entfernen von Flux nahezu unmöglich.
Hat da einer von euch schon Erfahrungen mit?
Wenn ich das richtig verstehe, schreibt er seinen Verbindungscode bestimmt (erstmal) in den IE-Prozess, so sind die Firefox-User wieder mal auf der sicheren Seite, oder sehe ich das falsch?
Wenn nicht, erkennt Zone-Alarm den dann? Weil ich sag mal, ist ja eigentlich völlig wumpe, wie er seine Verbindung aufbaut, er baut sie auf und ZA kennt das Programm nicht, dass sich rauswählen will und mosert rum, oder? (Vorrausgesetzt der Flux schreibt seinen Verbindungscode nicht in einen Prozess, der von ZA als "erlaubt" eingestuft wird).
Neue Trojanertechnik - Fluxverbreitung nimmt zu
so wie ich es verstanden habe schreibt der sich in echtzeit in nen laufenden prozess ... fies aber cool 
bei zonealarm seh ich schwarz, wenns updates gibt sicher aber im moment eher nich
bei zonealarm seh ich schwarz, wenns updates gibt sicher aber im moment eher nich
[color=orange]- genie und wahnsinn[/color] untreu [color=orange]devil may cry // Requiem - [/color]|[ - teamluxuries
Ich möchte riskieren wie ein Narr auszusehen ... für Gefühle, für meine Träume ... für das Abenteuer lebendig zu sein.
Ich möchte riskieren wie ein Narr auszusehen ... für Gefühle, für meine Träume ... für das Abenteuer lebendig zu sein.