zzbaron
Goto Top

Hätte gern Infos zu Blue Pill Rootkit

Hallo an alle,

aber da etwas von Blue Pill einer russichen Hackerin gelesen...

und wüsste gern, was das genau ist und was es tut/ warum es so Gefährlich ist.
Ausserdem las ich, dass Blue Pill zum download bereit stünde, man es nur selber mdifizieren müsse - wie lange dauert es dann noch,
bis irgendwelche Leute es so umgebaut hat, dass es eine tatsächliche Bedrohung werden könnte? Oder noch schlimmer: Man entwicket es so weiter, dass es auch mit XP funktioniert und viele tausende PC`s damit verseucht werden?
Was meint Ihr dazu?

LG

zzbaron

Content-Key: 107669

Url: https://administrator.de/contentid/107669

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: northern
northern 31.01.2009 um 11:32:26 Uhr
Goto Top
http://bluepillproject.org/

Lass Dich nicht verrückt machen. Viren und Trojaner kannst Du zuhauf aus dem Netz runterladen und nach eigenem Gutdünken modifizieren.
Allerdings: VMBR - Rootkits stehen im Verdacht in Zukunft zu einer realistischen Bedrohung zu werden. Diesen Rootkit-Viren konnen dann nur noch Hardware-basierte Virenscanner erkennen die ins Bios implementiert werden müssen.
Letztenendes muss ja auch irgendein Zweck mit Schadsoftware verfolgt werden. Bei Trojanern ist das ja klar. Die sollen personenbezogene Daten übermitteln, meistens mit dem Ziel Dein Bankkonto zu plündern bzw. Spionage zu betreiben.
Andere Viren sind einfach nur zerstörerisch, zerschiessen Dein System.
Wieder andere Viren fügen den Rechner zu einem Zombie-Netzwerk hinzu ohne daß der Anwender das merkt.

Auf meinen Windows-Rechnern läuft Tea-Timer, Winpatrol, Sygate PF und Avast. So kriege ich (hoffentlich) immer mit wenn ein Programm Daten rein- oder rausschickt und wenn ein Registrierungs-Eintrag plötzlich ohne mein Zutun geändert wird.

Es ist schon ziemlich abgefahren was sich da für Betätigungs-Felder ergeben haben durch die weltweite Vernetzung mit Windows-Rechnern.
Mitglied: 68702
68702 31.01.2009 um 12:05:17 Uhr
Goto Top
Blue Pill beruht auf der Tatsache ,dass Vista nur digital signierte Treiber akzeptiert, da es aber auch Treiber von Drittanbietern gibt, die dazu noch ziemlich buggy programmiert sind und das lässt sich ausnutzen...
Mitglied: northern
northern 31.01.2009 um 12:32:39 Uhr
Goto Top
Dast stimmt nicht ganz: Nur das 64-Bit-Vista nimmt nur digital signierte Treiber. Und auch das kann man deaktivieren.
Blue Pill beruht auf den Virtualisierungsmöglichkeiten von AMD und Intel-Prozessoren und hat mit Treibern irgendwelcher Drittanbieter nichts zu tun.
Mitglied: 68702
68702 31.01.2009 um 12:42:49 Uhr
Goto Top
Dann hab ich da was falsch verstanden.Sorry
Mitglied: Rafiki
Rafiki 31.01.2009 um 12:49:23 Uhr
Goto Top
Wenn der Prozessor eine Virtualisierung (Intel VT) unterstützt, aber kein Programm diese benutzt (VMware ESX Server, Virtual PC usw.) dann könnte ein Virus/Trojaner das gesamte Betriebssystem in eine VM- Virtuelle Maschine packen und der Anwender / Administrator kann den Unterschied (fast) nicht mehr feststellen. Ein Virusscanner kann den Virus nicht im Betriebssystem entdecken da er selber auch in dieser VM läuft.

Kritisch ist nun die Funktion von dem Virus die Hardwareschittstellen (CPU, Festplatte, RAM, Tastatur, Netzwerk usw.) zu überwachen und zu manipulieren. Denkbar wäre es das alle Tastatur eingaben protokolliert werden um am Passworte heran zukommen.

Bei fast allen Computern mit Intel VT - Technik ist diese im Bios abschaltbar und seit einiger Zeit bei vielen guten Herstellern ab Werk bereits abgeschaltet. Wenn ein Admin / Anwender diese Funktion nutzen möchte um z.B. einen VMware ESX Server zu installieren weist das Setup darauf hin und der Benutzer kann die Funktion im BIOS einschalten. Es ist nicht möglich einen ESX Server mit Bluepill zu unterwandern wenn VT eingeschaltet ist und genutzt wird. Gefährlich ist nur es einzuschalten und nicht zu benutzen.

Intel VT gibt es auch von AMD, dort heißt es ..... ähhm.... anders.

Das ganze heißt Bluepill nach dem Film Matrix. Als der Held die Wahl hat zwischen der blauen Pille um wieder in der Fantasiewelt zu leben und der roten Pille mit der er sich entschließt aufzuwachen und in die Realität zurück zu kehren.

Gruß Rafiki
Mitglied: gnarff
gnarff 31.01.2009 um 15:26:01 Uhr
Goto Top
Zitat von @Rafiki:
Intel VT gibt es auch von AMD, dort heißt es .....
ähhm.... anders.

Da heisst es AMD Virtualization (AMD-V™), ansonsten brillant zusammengefasst...

Hier noch ein Dokument der Fakultaet fuer Informatik der TU Muenchen von Hagen Fritsch, welches sich mit der
Analyse und Erkennung von virtualsierungsbasierten Rootkits
befasst und weitere Einblicke in die Funktionsweise dieser Schaedlinge gibt.

saludos
gnarff
Mitglied: zzbaron
zzbaron 31.01.2009 um 19:22:09 Uhr
Goto Top
Hi an alle,

Ihr seid unglaublich: So viele Super-Info`s hätte ich nicht erwartet.
Jetzt ist mir viees Klar und meine Frage mehr als beantwortet.
Wie ich schon mehrmals schrieb: Ich bin Froh darüber in diesem Board zu sein - man bekommt immer gute fachmännische Beratung-
was man bei manchen Boards eher vermisst...
Danke an alle und ein schönes Wochenende...

LG

zzbaron