Archive for Consulting
Analysiere gerade einen Trojaner, den sich ein Kunde von mir letzte Woche eingefangen hat und finde den so süß, den möcht ich Euch zeigen (das ist hier im Blog ganz sicher, sind nur Bildschirmfotos, keine Schadsoftware). Sein Name ist “Smart Fortress 2012″.
Wenn der PC infiziert wurde, kommt nach etwa 10 Minuten eine Nachricht im System Tray, daß eine Spyware gefunden wurde (das allein wäre auf dem Laborrechner schon verdächtig, weil der hier hat gar keinen Virenscanner, könnte also Spyware nicht identifizieren). Der Trojaner wird übrigens auf VMWare Virtual Machines nicht aktiv (viele Trojaner und Viren laufen auf virtuellen Systemen nicht, weil sie befürchten, dort seziert zu werden) und er legt auch nur los, wenn er eine Internetverbindung findet und über diese Kontakt zu seinem Bezahlserver (siehe weiter unten) aufnehmen kann:
Klickt man drauf, öffnet sich Smart Fortress 2012 (den gibts übrigens schon seit Februar diesen Jahres) und beginnt, den PC (angeblich) nach Trojanern und Viren durchzuscannen. Dabei gibt es sogar Plattenaktivität, der scheint also tatsächlich Dateien zu öffnen:
In diesem Moment ist Hilfe von außen übrigens nicht mehr möglich, der Trojaner blockiert die Netzwerkverbindungen des Rechners. Er findet dann auch brav 38 Infektionen (auf einem PC, der soeben frisch installiert wurde und außer Windows XP nichts weiter enthält!) und bietet an, diese alle zu entfernen:
Klickt der Anwender auf den Remove Knopf, wird eine Verbindung zum Bezahlserver (drum prüft er das vorher) hergestellt und man kann sich für 89 USD eine “Lifetime License” kaufen (ich habe nicht überprüft, ob das funktioniert, weiß aber aus vertrauenswürdigen Quellen, daß diese Bezahlvorgänge tatsächlich funktionieren sollen):
Alternativ besucht man die Kollegen von S!Ri.URZ, die haben die benötigte Seriennummer bereits im Februar dekompiliert, sie ist hardcoded im Programm: AA39754E-715219CE. Nach Eingabe dieser Seriennummer beginnt Smart Fortress 2012 dann tatsächlich, hübsch animiert, mit den Aufräumarbeiten:
Auch dazu viel Plattenaktivität und am Ende kommt ein großer grüner Haken und alles ist wieder gut. Der Trojaner ist zwar immer noch auf dem Rechner, legt aber durch die Seriennummer (erstmal) nicht wieder los. Immerhin kann man ihn jetzt entfernen und man kommt wieder von außen an den Rechner ran, z.B. mit unserer Fernsteuerungskonsole.
Warum finde ich den Trojaner hübsch? Gut, Ihr wißt, ich kann mich für schräge Sachen begeistern. Hauptgrund ist aber, daß er ziemlich liebevoll programmiert ist, auch brav Plattenaktivitäten auslöst, obwohl er garnix tut und keine Schreibfehler oder grammatikalische Fehler aufweist. Das Programm wäre sicher seine 89 USD wert, wenn, ja, wenn es denn überhaupt etwas tun würde….
Bevor Ihr jetzt mit dem Finger auf meinen Kunden zeigt: Die Signaturen der Virenscanner waren aktuell, zum Zeitpunkt des “Einfangens” kannte ihn aber noch keiner der etablierten Virenscanner, weil Smart Fortress, wie alle anderen Trojaner aus der Fake Alert Gattung ständig sein Profil ändert und anhand der EXE Datei sehr schlecht erkennbar ist. Das ist übrigens der Grund, warum ich ihn hier in der Giftküche habe – wir versuchen, Verhaltensmuster zu erkennen und die Aktionen zu blocken, die diese Trojaner normalerweise durchführen. Das ist alles andere, als trival, weil sich Software im Unternehmensumfeld, insbesondere Setupprogramme, häufig unnötigerweise ähnlich oder genauso verhält, wie Trojaner.
Angeblich kommt sowas auf dem Mac ja nicht vor – daß ein Programm nicht mehr reagiert und man es auch nicht mehr beenden kann. In den seltenen Ausnahmefällen, wo sich ein Programm am Mac, in meinem Fall war es iTunes, mal gänzlich aufhängt, geht man dann ganz einfach auf das Apfel Menü ganz links in der Leiste und wählt “Sofort beenden” aus.
Theoretisch jedenfalls. Wenn sich das gerade aktive Programm aber so gründlich aufgeängt hat, daß nicht mal mehr das Apfel Menü aufgehen mag (wie das zusammenhängt, ist mir noch nicht so klar, das würde ja bedeuten, daß das aktive Program die gesamte Menüleiste kontrolliert, inklusive des Systemmenüs), dann gibt es eine der magischen Tastenkombinatonen
alt – cmd – esc
dann öffnet sich ein Fenster, in welchem man die meisten abgestürzten Programme beenden kann:
Wenn dann doch mal passiert, was ja eigentlich auf dem Mac nicht passiert…
Mein Chat Button wird über einige JavaScript Statements eingebunden, die das Chatfenster in der definierten Art und Größe öffnen. Bindet man diesen Code über das Text Widget in die Seitenleiste von WordPress ein, funktioniert das einwandfrei, sobald man aber den Knopf auf eine Seite wie (http://pohle.de/chat) einbinden möchte, wird nur ein Teil des Codes angezeigt, aber kein Knopf, weil WordPress den Code “optimiert”.
Abhilfe schafft das Plugin Raw HTML, welches es erlaubt, daß auf WordPress Seiten und Artikeln HTML Code eingefügt werden kann und nicht von WordPress “nachbearbeitet” wird
Dann kann der Code eingefügt und in der rechten Spalte (im Optionsfeld von Raw HTML) das Nachbearbeiten des HTML Code abgeschaltet werden:
Nun funktioniert mein Chat Button:
Anmerkung: Bei WordPress MU ist es ein anderer Grund, warum das nicht funktioniert, das habe ich hier beschrieben.
Wir haben bei den Wartungsarbeiten dieses und letztes Wochenende die Kapazitäten unserer Mailgateways erweitert und dabei noch eine hübsche neue Funktion für unsere Individualkunden mit eigener E-Mail Domäne eingebaut (für Kunden mit unseren Provideradressen @mailkonten.de und @mailkonten.com ist das leider nicht möglich):
Sie können nun ebenfalls wählen, ob SPAM, der an Ihre Adresse gesendet wird, weiterhin im Ordner “Junk E-mail” in Ihrem Postfach einsortiert wird, wie bisher:
oder ob unser Server bei SPAM einfach die Annahme verweigern soll. Dann haben Sie nie wieder ein Problem mit SPAM und müssen diese überflüssigen Nachrichten weder durchsehen und löschen. Na gut, das gilt natürlich nur für den SPAM, den unsere Server auf Anhieb erkennen, wie Sie wissen, ist das aber fast alles, was an SPAM reinkommt.
Unsere Firmenkunden, die unsere Mailserver als SPAM- und Virenschutz-Gateways für ihre eigene Mail Infrastruktur benutzen, gab es das Feature schon lange, SPAM garnicht erst zuzustellen. Das wird von der überwiegenden Mehrheit der Kunden auch so gebucht, denn dann belasten sie ihre eigene Infrastruktur garnicht erst mit SPAM.
Ist das denn sicher? Geht auch nichts verloren?
Da können Sie völlig beruhigt sein: Auf den Gateways läuft der gleiche leistungsstarke SPAM Filter, wie auf unseren Mailservern mail.psag.net und die Gateways analysieren eingehende E-Mails in Echtzeit, noch während diese übermittelt werden. Wird ein Mail als SPAM eingestuft, wird die Annahme verweigert und der sendende Mailserver erhält eine Fehlermeldung, daß die Übertragung seines Mails nicht abgeschlossen werden konnte.
Ein SPAM Versender investiert nun keine weitere Energie und dieses Mail. Jemand, der Ihnen berechtigterweise ein Mail sendet, wird, sofern seine Mailinfrastruktur korrekt konfiguriert ist, eine Unzustellbarkeitsnachricht erhalten. Er kann Sie dann auf andere Weise ansprechen, daß er Ihnen ein Mail senden wollte, aber nicht konnte. Es geht also nichts verloren.
Sie schicken dem Absender dann einfach ein Mail, er landet in Ihrer Whitelist und kann Ihnen ab sofort Mails senden.
Wenn Sie das auch möchten, eröffnen Sie einfach ein Ticket im Supportportal oder senden Sie eine Nachricht an Ihren Supportkontakt. Wir richten das Ruck-Zuck ein. Mit zwei Einschränkungen:
-
Für Kunden, die unsere Providerdomänen @mailkonten.de und @mailkonten.com benutzen, können wir das nicht aktivieren, hier werden SPAM Mails weiterhin in den Ordner Junk e-mail zugestellt.
-
Wenn Sie mehrere Mailadressen unter ihrer Domäne gebucht haben, müssen wir alle Adressen auf einmal umstellen.
Hat das auch Nachteile? Ja: Ein Mail über die Gateways braucht durchschnittlich 30 Sekunden länger, bis es in Ihrem Postfach landet…
Bisher wurden Grafiken in E-Mails, die von den Servern des Absenders geladen wurden, in unserem Webmailer nicht sofort angezeigt. Es erschien erst ein gelber Balken, der mitteilte, daß die Grafiken nicht geladen wurden. Ein Klick auf den gelben Balken hat die Grafiken dann schließlich angezeigt:
Dieses Verhalten hatte seinen Sinn darin, daß Versender von SPAM Mails mit solchen Grafiken feststellen möchten, ob eine Mailadresse gültig ist (die Technik nennt sich Webbug). Drum hatten wir auf unserem Mailserver vor vielen Jahren die Einstellung gewählt, daß solche nachgeladenen Grafiken erst angezeigt werden, wenn der Benutzer das wünscht.
Inzwischen gehört es aber zum guten Ton, daß auch Versender von Newslettern nicht alle Bilder im Mail mitschicken, sondern die Bilder von ihrem eigenen Server nachladen, wenn der Benutzer das Mail anzeigt. Wir begrüßen das, spart es doch Bandbreite und Speicherplatz auf den Mailservern.
Allerdings ist das Anklicken der gelben Leiste auf Dauer lästig. Das ist der erste Grund, warum wir uns entschieden haben, diese gelbe Leiste abzuschalten. Die weiteren Gründe sind:
- Ein großer Teil unserer Benutzer liest Mails inzwischen auf dem Smartphone oder dem iPad, wo diese Einstellung ja sowieso nicht greift. Genausowenig auf dem Blackberry.
- Die meisten Benutzer mit Outlook Connector haben die Einstellung, die es so auch im Outlook gibt, abgeschaltet und zeigen die nachzuladenden Grafiken direkt an.
- Unser SPAM Filter ist so gut, daß eigentlich alle SPAMs im Junk-E-Mail Folder landen oder garnicht erst angenommen werden.
Wir können diese Einstellung nicht benutzerspezifisch setzen, sondern nur Serverweit, drum haben wir sie auf unserem Server mail.psag.net heute für alle Benutzer deaktiviert. Nachzuladende Grafiken werden nun auch im Webmailer (und nur um den geht’s hier) sofort angezeigt, ohne gelben Balken:
Es gibt einen Weg zurück für einzelne Benutzer: Wenn Sie im Webmailer lieber den gelben Balken haben möchten, bevor Grafiken in den Mails angezeigt werden, geben Sie uns bitte Bescheid, wir verlegen dann Ihr Benutzerkonto auf einen andern Frontendserver, dort ist das Setting noch aktiv. Einzige Einschränkung: Wenn Sie eine eigene Domäne haben und öffentliche Ordner benutzen, dann müssen alle Benutzer Ihrer Domäne umziehen.