Hallo Santa!

Ich hätte deinen Text gelesen, kann es aber nicht, da deine Formatierung es mir unmöglich macht.

Grüße
Thomas

Hi Santa,

Respekt. So einen Blödsinn habe ich bisher nicht mal im Forum vom heise Newsticker gelesen.

Gruß,
Martin

Hallo Leute,

nachdem mir am Freitag morgen mein 19-Zoll Monitor abgefackelt ist, habe ich eigentlich
gar keine Lust mehr dieses Script über Micisaft zu schreiben, aber.....ich versuche es mal.

Nun gut.
Wer hat Visual Studio 98, oder Frontpage 98/2000, Office 2000, Win2000Pro, IE5.x auf
seinem Rechner installiert ?? Sehr schön..., oder Pech gehabt ?

Fangen wir bei.....egal was an und picken uns MDM.EXE, das immer in
das System - Verzeichnis von Windows bzw. System32 - Verzeichnis von NT installiert
wird.
Ein Eintrag in der Registry erfolgt unter HKEY_USER_LOCAL_MACHINE/Software/Microsoft/
CurrentVersion/RUN mit Namen ---- Machine Debug Manager ! Gefolgt von dem Pfad !
Im Windows Verzeichnis gibt es dann noch sinnigerweise eine .ini Datei (mdm.ini)
mit einem recht pfiffigen Eintag: Dynamic Debugging. Übersetzung vorweg ins Deutsche:

Dynamisches Auspionieren eines Users.

Der Haupttäter ist MDM nicht, wohl aber ein "Beschleuniger" in Sachen Lesen und Schreiben,
und ein Erster schneller Initiator.

Also, Mdm.exe gibt über Fensterbotschaften den "Befehl" an Frontpage vX.x in die Registry zu
gehen und dort installierte Programm zu "finden", auszulesen und zwar Username und Lizenz,
bzw, Seriennummer ! So geschehen schreibt MDM (falls nicht vorhanden macht das Frontpage
selber) zwei Schlüssel als .tmp Datei in das Windows Verzeichnis. Beispiel:

F200BBE1-DCC3-12F3-CC43-0049245E1AW9.tmp
F100BBB3-DGH5-13F6-GA43-0049245H1AX9.tmp

Die Größe der Dateien ist gleich NULL. Es wird immer immer Zweiertakt ins Windows Verzeichnis
geschrieben.

Jetzt ist da aber kein Programm, daß sofort diesen Schlüssel überträgt, nein...nichts.
Es wird kein Server oder was auch immer angesteuert.... es passiert erst mal gar nichts !
Dieses beiden Dateien stehen da solange bis Du im IE eine neue URL eingibst, oder einen
Link anklickst, dann aber passiert folgendes:

Die beiden Schlüssel werden eingetütet und "reiten" auf der IE Engine als fragmentierte
Packete, vielleicht sogar mit reverse Bit, ins Netz !
Nachdem die Schlüssel raus sind, werden sie auch gleich wieder gelöscht !!!
Tja, wenn‚s funktioniert..., bei mir funktionierte das auch nicht, und so hatte ich nach
einer Weile ne ganze Menge Registry - Schlüssel in meinem Windows Verzeichnis
stehen. Ich wußte nur nicht woher, warum....hmm keine Ahnung ?!

Das was jetzt folgt ist leider Spekulation, da bisher kein Provider bereit war mit mir
zusammenzuarbeiten...zuviel Arbeit und Nerv, und Andere waren einfach in ihrer Fantasie
dermaßen beschränkt....kann ich mir einfach nicht vorstellen, was nicht sein darf,
kann nicht sein....und Tschüss !

Die fragmentierten Packete werden im Router(Provider) entschlüsselt unter dem Motto:
Na ihr Kleinen, ihr gehört aber woanders hin, wollen doch sehen WOHIN ??
Zwei Schlüssel von der Länge her gleich NULL, mit Ziel IP versehen, werden dann
von dem Router an die "Richtige" Adresse verschickt !!, und drin steht Usernamen
inklusive Seriennr. bzw, Lizenz !

Schaut Euch die Schlüssel mal richtig an...genau... so ziemlich am Ende kommt
0049....das ist in jedem der Schlüssel, die ich abgefangen habe enthalten. 0049 =
Deutschland !
Ich habe das alles per Zufall mitbekommen, da ich kein Intel Prozessor habe. Auf Intel
Prozessoren, wie ich das bei Freunden und Bekannten gecheckt habe...ist absolute nichts
zu sehen, geschweige denn zu bemerken ! ABER....es passiert !!

Ich hatte dann vor einiger Zeit ESAFE v2.0 ( nehmt das bloß nicht, ist letzlich Müll, erst recht Esafe
Protect v2.2 ) installiert, nur um herauszufinden, wie das Proggie arbeitet (beschissen).
Er fragte mich jedoch urplötzlich, ob ich es zulassen möchte das Frontpage an der Winzip
Adresse XX Usernamen und Seriennummer lesen und schreiben darf ?
Ich war echt baff ? Wie bitte ?

Ich klickte natürlich auf NEIN ! Beim nächsten Klick ins WWW, poppte das Teil schon wieder auf
und fragte mich ob ich es gestatten würde, das Frontpage an der Staroffice Adresse xx den User-
namen und die Serial lesen darf ? Nein verdammt nochmal, was ist hier denn los ?

Beim übernächsten Klick fragt mich Esafe schon wieder, ob Frontpage Norten Utilities Adresse xx
lesen darf... und so ging das weiter und weiter und weiter.
Ich war völlig von der Rolle und dacht erst an einen Trojaner, aber nein es sollte doch viel besser werden !
(Hab 4 verschieden Virenscanner und drei Troja Scanner durchlaufen lassen ?! - ......nix, absolute Fehlanzeige)

Im übrigen, bei Esafe v2.2 haben die doch tatsächlich den "Fehler", die Lesearien aufzudecken
beseitigt ! Wenn man mal sieht woher und wie nah Esafe Microsoft steht, dann ist das kein Wunder !
Also, nehmt das Teil nicht, denn es hilft nicht, weder als Firewall noch als Viruskiller !
Wer Esafe v2.0 haben sollte, der kann sich doch durchaus den Spaß machen und selbst
herausfinden wie und was da so passiert ! Voraussetzung ist natürlich die Installation der oben
angegebenen Programme.

Ein guter Firewall der immerhin alles in dieser Beziehung mitbekommt ist Secure4u v4.2 !
Ein Firewall der aber erst gelesen und verstanden werden will, bevor man ihn installiert,
denn der schützt gleich die Registry, und wenn ihr Progs installieren wollt, dann gibt schon derbe
Probleme. Aber....er verhindert das Lesen und das Schreiben der Schlüssel und das ist un-
bestritten ein Vorteil. Wenn ihr Secure4u nicht installieren wollt, weil zu kompliziert, dann gibt
es noch eine ganz andere Abhilfe ! Folderguard v4.10, jedenfalls bei mir, der 4.11 stürzt immer ab.
Ihr konfiguriert FG v4.10 einfach so, das keine Lese und Schreibzugriff auf Verzeichnisse wie
Visual Studio 98, Microsoft Frontpage möglich sind. In der Tat, das Ganze hört dann auf, zwar versucht
rpcss.exe immer noch Auswege, zuletzt muß sogar der WindowsKernel ran, aber es läuft nichts mehr in
Punkto Schlüssel lesen...schreiben !!

Der Tat dringend verdächtige und erwischte Dateien und Funktionen sind:

rpcss.ex
mdm.exe
fp98win.exe
fpexplorer.exe (ich glaub so heißt der Frontpage 98, benutze ihn lange nicht mehr)
windows Explorer.exe

DCOM Service (IE5 Internet Explorer)
DCOM Service (Service himself....Achtung Port 135) Sperren mit Atguard !

Mdm.ex ist unter Windows2000Pro im übrigen als DCOM SERVER deklariert.
ActiveX Technologie von Micisaft setzt hier auf, na ja auch unter Win9x.....natürlich.

Also, Ihr könnt ohne Probleme, erst den Task beenden, dann aus der Registry den Eintrag
löschen, MDM.EXE aus dem Windows/System Verzeichnis löschen ! Kein Problem,
denn alles bleibt stabil und läuft ohne Macken weiter ! Bei Win2000Pro gibt es nur ne kleine
Fehlermeldung, daß der DCOM Server/Service nicht gestartet werden konnte. Na ja nun, einfach
unter Dienste das Ding auf manuell setzen, gell !
Allerdings und ohne daß Ihr es verhindern könnt, gehen DISTRIBUTED COM SERVICES unter
Win200Pro doch ins Netz und es findet auch einiges an Übertragung statt. Man kann das Ganze
zwar mit Zonealarm verhindern, dann gibt es aber auch keinen Traffic mehr unter WinNT.
Einzige Abhilfe unter Win2000Pro ist SECURE4U !!
Micisaft ist mit dem neuen Betriebssystem doch etwas "genauer" und brutaler, wenn es um Users
Identität und was er so alles auf dem Rechner hat geht.

Hmm, es ist 7.00 Uhr und ich tue mich schwer weiter zu schreiben. Außerdem habe ich das Gefühl,
daß mein Script nicht die Sprache findet, wie ich eigentlich will.
Alles ein bißchen durcheinander, entschuldigt bitte.

Also, bevor ich in diesem miserablen Stil weitermache, möchte ich das für heute erst einmal beenden,
und sage halt einfach, daß das hier TEIL 1 ist. Okay ?!!

Teil 2 folgt dann die Tage......ein bißchen geordneter und klarer !

Eines noch zum Schluß des Teil 1: Ich fahre Conseal Firewall, Atguard und Internet Guard Dog von Mcafee,
und ein paar "Teile", die ich hier nicht nennen will.
Internet Guard Dog ist ein sehr guter Apps Firewall und unterbindet jegliche Kommunikation von
Programmen, die einfach ungefragt ins WWW wollen(rpcss.exe, mdm.exe, explorer.exe gehören auch dazu).
IGD erkennt sehr viel mehr Programme, die ins Netz wollen, als Atguard. Blackice zum Beispiel.
Während Atguar sich nicht rührte, fragte mich IGD ob es OK ist das das Proggie nach Hause
telefonieren will ?!! Nein, natürlich nicht und ich konnte den ganzen IP Adressraum, den Blackice
ansteuern wollte sperren ! Ihr habt also die Möglichkeit sogar direkt von Programmen angesteuerte
IP Adressen per Namen oder IP zu sperren. Einmal gesperrt gibt es keine 2! Meinungen !
Bei Internet Guard Dog könnt ihr sogar die 0190 Nummer sperren, den IGD paßt sogar auf, wenn
ein Proggie mal eben so jemanden anwählen will !
Das heißt also, das IGD sogar auf Hardware Ebene aufsetzt und aufpasst (mchook.dll)

Tja.., letztlich habe ich einen Rat an uns ALLE. Ich glaube schon, daß ich einen Rat geben kann,
denn ich habe seit 1994 mit dem Internet zu tun. Ich hab mich noch unter DOS bei Compuserve
eingewählt. Die "Welt" war zwar etwas kleiner, aber die "Luft" dafür noch "reiner", nicht Ecommerce
verpestet und Micisaft konnte Internet noch nicht mal buchstabieren !

Der Rat: Einen extra PC, der nur für das Internet da ist.

"Sauber und ordentlich", auf dem NICHTS, außer ein kleiner Proxy und Firewall‚s installiert sind.
(Windows95/98 ohne IE; mit Jana, Atguard, Conseal, IGD !...noch besser: LINUX !)
Sollte es troztdem jemand schaffen Infos zu bekommen, RechnerNamen, Usernamen..etc., mit einem
User PC der da heiß: IDIOT.....; und der Username: LITTLE IDIOT....was kann man damit anfangen.....?
Genau.....gar nichts !

Hallihallo,

also so einen Schwachfug habe ich hier schon sehr, sehr lange nicht mehr gelesen!

Jeder normale Programmierer weiß, was "Debug" bzw "Debugging" heißt. Nämlich das Überprüfen von Programmteilen auf Fehler und nichts anderes.

Ein Auszug aus dem Langenscheidt:
de·bug [di:'bug] Den Defekt oder Fehler beheben; Einen Raum entwanzen

Das ist genau das Gegenteil von dem, was du hier schreibst :)

Wenn eine Datei 0 Bytes groß ist, kann sie weder Bits, noch Datenfragmente, noch Seriennummer oder Lizenz enthalten. Das einzige, was übertragen werden kann, ist die Datei mit 0 Bytes. Und was hat das zu bedeuten? Genau, nix!

Übrigens darfst du die "Schlüssel-Dateien" auch löschen! Da passiert nämlich genauso wenig, wie wenn sie drin sind.

BTW, jedes Programm, das was mit der WinAPI zu tun hat, kann als DCOM Server dienen und ist auch als solcher deklariert.

Wie gesagt, so einen Schwachsinn von Dummfug hat's hier schon lange nicht mehr gehabt.

Deinen zweiten Teil kannst du dir wirklich sparen!

Grüße,
Florian Auer

P.S: Irgendwie klingt das ganze hier nach Werbung für McAfee