Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Hätte gern Infos zu Blue Pill Rootkit

Mitglied: zzbaron

zzbaron (Level 2) - Jetzt verbinden

31.01.2009, aktualisiert 09:44 Uhr, 5957 Aufrufe, 7 Kommentare

Hallo an alle,

aber da etwas von Blue Pill einer russichen Hackerin gelesen...

und wüsste gern, was das genau ist und was es tut/ warum es so Gefährlich ist.
Ausserdem las ich, dass Blue Pill zum download bereit stünde, man es nur selber mdifizieren müsse - wie lange dauert es dann noch,
bis irgendwelche Leute es so umgebaut hat, dass es eine tatsächliche Bedrohung werden könnte? Oder noch schlimmer: Man entwicket es so weiter, dass es auch mit XP funktioniert und viele tausende PC`s damit verseucht werden?
Was meint Ihr dazu?

LG

zzbaron
Mitglied: northern
31.01.2009 um 11:32 Uhr
http://bluepillproject.org/

Lass Dich nicht verrückt machen. Viren und Trojaner kannst Du zuhauf aus dem Netz runterladen und nach eigenem Gutdünken modifizieren.
Allerdings: VMBR - Rootkits stehen im Verdacht in Zukunft zu einer realistischen Bedrohung zu werden. Diesen Rootkit-Viren konnen dann nur noch Hardware-basierte Virenscanner erkennen die ins Bios implementiert werden müssen.
Letztenendes muss ja auch irgendein Zweck mit Schadsoftware verfolgt werden. Bei Trojanern ist das ja klar. Die sollen personenbezogene Daten übermitteln, meistens mit dem Ziel Dein Bankkonto zu plündern bzw. Spionage zu betreiben.
Andere Viren sind einfach nur zerstörerisch, zerschiessen Dein System.
Wieder andere Viren fügen den Rechner zu einem Zombie-Netzwerk hinzu ohne daß der Anwender das merkt.

Auf meinen Windows-Rechnern läuft Tea-Timer, Winpatrol, Sygate PF und Avast. So kriege ich (hoffentlich) immer mit wenn ein Programm Daten rein- oder rausschickt und wenn ein Registrierungs-Eintrag plötzlich ohne mein Zutun geändert wird.

Es ist schon ziemlich abgefahren was sich da für Betätigungs-Felder ergeben haben durch die weltweite Vernetzung mit Windows-Rechnern.
Bitte warten ..
Mitglied: 68702
31.01.2009 um 12:05 Uhr
Blue Pill beruht auf der Tatsache ,dass Vista nur digital signierte Treiber akzeptiert, da es aber auch Treiber von Drittanbietern gibt, die dazu noch ziemlich buggy programmiert sind und das lässt sich ausnutzen...
Bitte warten ..
Mitglied: northern
31.01.2009 um 12:32 Uhr
Dast stimmt nicht ganz: Nur das 64-Bit-Vista nimmt nur digital signierte Treiber. Und auch das kann man deaktivieren.
Blue Pill beruht auf den Virtualisierungsmöglichkeiten von AMD und Intel-Prozessoren und hat mit Treibern irgendwelcher Drittanbieter nichts zu tun.
Bitte warten ..
Mitglied: 68702
31.01.2009 um 12:42 Uhr
Dann hab ich da was falsch verstanden.Sorry
Bitte warten ..
Mitglied: Rafiki
31.01.2009 um 12:49 Uhr
Wenn der Prozessor eine Virtualisierung (Intel VT) unterstützt, aber kein Programm diese benutzt (VMware ESX Server, Virtual PC usw.) dann könnte ein Virus/Trojaner das gesamte Betriebssystem in eine VM- Virtuelle Maschine packen und der Anwender / Administrator kann den Unterschied (fast) nicht mehr feststellen. Ein Virusscanner kann den Virus nicht im Betriebssystem entdecken da er selber auch in dieser VM läuft.

Kritisch ist nun die Funktion von dem Virus die Hardwareschittstellen (CPU, Festplatte, RAM, Tastatur, Netzwerk usw.) zu überwachen und zu manipulieren. Denkbar wäre es das alle Tastatur eingaben protokolliert werden um am Passworte heran zukommen.

Bei fast allen Computern mit Intel VT - Technik ist diese im Bios abschaltbar und seit einiger Zeit bei vielen guten Herstellern ab Werk bereits abgeschaltet. Wenn ein Admin / Anwender diese Funktion nutzen möchte um z.B. einen VMware ESX Server zu installieren weist das Setup darauf hin und der Benutzer kann die Funktion im BIOS einschalten. Es ist nicht möglich einen ESX Server mit Bluepill zu unterwandern wenn VT eingeschaltet ist und genutzt wird. Gefährlich ist nur es einzuschalten und nicht zu benutzen.

Intel VT gibt es auch von AMD, dort heißt es ..... ähhm.... anders.

Das ganze heißt Bluepill nach dem Film Matrix. Als der Held die Wahl hat zwischen der blauen Pille um wieder in der Fantasiewelt zu leben und der roten Pille mit der er sich entschließt aufzuwachen und in die Realität zurück zu kehren.

Gruß Rafiki
Bitte warten ..
Mitglied: gnarff
31.01.2009 um 15:26 Uhr
Zitat von Rafiki:
Intel VT gibt es auch von AMD, dort heißt es .....
ähhm.... anders.

Da heisst es AMD Virtualization (AMD-V™), ansonsten brillant zusammengefasst...

Hier noch ein Dokument der Fakultaet fuer Informatik der TU Muenchen von Hagen Fritsch, welches sich mit der
Analyse und Erkennung von virtualsierungsbasierten Rootkits
befasst und weitere Einblicke in die Funktionsweise dieser Schaedlinge gibt.

saludos
gnarff
Bitte warten ..
Mitglied: zzbaron
31.01.2009 um 19:22 Uhr
Hi an alle,

Ihr seid unglaublich: So viele Super-Info`s hätte ich nicht erwartet.
Jetzt ist mir viees Klar und meine Frage mehr als beantwortet.
Wie ich schon mehrmals schrieb: Ich bin Froh darüber in diesem Board zu sein - man bekommt immer gute fachmännische Beratung-
was man bei manchen Boards eher vermisst...
Danke an alle und ein schönes Wochenende...

LG

zzbaron
Bitte warten ..
Ähnliche Inhalte
Humor (lol)

Windows hat Sorgen, die hätte ich auch gerne

Frage von DerWoWussteHumor (lol)4 Kommentare

-ohne Worte- ;-)

Netzwerke

Intranet Infos

Frage von Benet98Netzwerke3 Kommentare

Guten Tag, ich habe eine neue Aufgabe: Ich soll für meiner Firma Informationen (mit über 500 Mitarbeiter) über das ...

Datenschutz

Infos zur DSGVO

Information von kgbornDatenschutz1 Kommentar

Das Thema dürfte die meisten Admins bereits einige Zeit beschäftigen. Für Leute, die sich in eher kleinen Einheiten mit ...

Webbrowser

BUV Infos - wo schaue ich mich um ?

Frage von FallenWebbrowser4 Kommentare

Hallo ihr lieben Möchte mich schlau machen und mal nachfragen, ob jemand eine BUV hat und mir seine Erfahrungen ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 12 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 12 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 12 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
solved Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...