Die Lockdown 2000-FAQ
Hilfe, Lockdown meldet mir einen Hack Attempt, was ist los?
Soll ich einen solchen Portscan beim Provider melden/Anzeige erstatten?
Ist Lockdown eine Firewall? Schützt mich Lockdown auch vor E-Mail/Skriptviren, wie z.B. Loveletter? Wie deinstalliere ich den Windows Scripting Host? Was lässt sich über die Scanfunktion von Lockdown sagen? Lockdown meldet mir einen Trojaner in der Datei msipcsv.exe ! Kann mich Lockdown auch vor Spyware (Aureate) oder Programmen schützen, die über das Internet Informationen an den jeweiligen Hersteller übermitteln?
Hilfe, LD meldet mir "Incoming Hack Attempt from IP xxx.xx.xxx.xxx" und/oder "Hacker with IP xxx.xx.xxx.xxx trying to gain access to your computer by using the Sub7 Trojan", was soll ich tun, ist mein Computer eventuell infiziert?
Ja und nein. Es ist durchaus möglich dass dein Computer mit einem Trojaner infiziert ist, wenn dies jedoch vor dem Lockdown-Alarm nicht der Fall war, bist du jetzt sicherlich auch nicht infiziert. Der sogenannte HackAttempt war nur ein sog. Portscan, dieser wird dazu verwendet um zu erkennen, ob auf deinem Computer ein Trojaner installiert ist. Stelle dir deinen Computer wie ein großes Haus mit vielen Türen und verschiedenen Türnummern vor, und wenn Computer miteinander kommunizieren, wird bei jedem dieser Computer eine Tür geöffnet, über die diese Kommunikation abläuft. Hinter bestimmten dieser Türen kann, wenn installiert, ein Trojaner warten. Was nun bei einem Portscan passiert, ist dass ein ‚Trojanerhacker' an einer dieser üblichen Türen ‚anklopft'. Wenn kein Trojaner hinter dieser Tür wartet/installiert ist, dann ist das absolut ungefährlich, der ‚Trojanerhacker' wird zu einem anderen Haus weitergehen und es dort probieren. Falls du jedoch einen Trojaner auf deinem System, und auch hinter dieser Tür installiert hast, wird er das Klopfen hören, die Tür aufmachen, und somit steht dein System dem ‚Trojanerhacker' offen. Wenn Lockdown beispielsweise einen ‚Angriff mit Netbus' meldet, dann ist das ganz einfach ein Anklopfen an der Tür, hinter der der Netbustrojaner üblicherweise installiert wird. Solche Portscans sind keine Seltenheit , und treten auch üblicherweise mehrmals in einer Stunde auf.
Soll ich mich aufgrund solcher Portscans beim jeweiligen Provider beschweren, oder gar eine Anzeige erstatten?
Natürlich ist das letztendlich deine Entscheidung, ich persönlich sage jedoch klar: Nein, denn erstens wird das nur in einem enormen Zeitaufwand enden, von dem du im Endeffekt nichts (und rein gar nichts) hast, und kein sachverständiger Staatsanwalt/Richter dürfte sich an so etwas beteiligen, da 1. keinerlei verwertbare Beweise vorliegen, nach der aktuellen Rechtsauffassung wohl selbst das Eindringen in ein mit einem Trojaner verseuchten System nicht strafbar wäre (Quelle: c't 4/2000, aber dafür keinerlei Haftung ;) ), und außerdem kann es ebenso sein, dass du gar nicht von dem ‚Trojanerhacker' selbst gescannt wurdest, sondern von einem seiner Opfer, das er ferngesteuert ‚herumhorchen' lässt, du könntest also ein ahnungsloses Opfer beschuldigen.
Ist Lockdown eine Firewall?
Nein. Im strengsten Sinne ist eine ‚Firewall' ein eigenständiger Computer, der z.B. zwischen einem Firmennetz und dem Internet geschaltet ist, um die Sicherheitseinstellungen zu zentralisieren und zu vereinfachen, allerdings hat sich der Begriff ‚Firewall' auch für Software eingebürgert, die auf einem PC mit der Funktion eines Packetfilters laufen, diese entscheiden anhand von vom Benutzer vorgegebenen Regeln anhand der Zieladresse, und vor allem anhand der Ports (Türen), ob ein Netzwerkverkehr stattfinden soll, wenn nicht, wird dieser abgebrochen. Tools dieser Art sind zum Beispiel die Conseal Firewall und Atguard. Lockdown ist keine Firewall und auch KEIN PACKETFILTER, da Lockdown selbst nur sehr wenige Ports kontrolliert.
Was macht Lockdown dann?
Wie bereits oben erwähnt, installieren sich Trojaner, und lauschen dann an bestimmten Ports (Türen), bis sie von außen kontaktiert werden. Meist installieren sich Trojaner und lauschen an dem Port, der für diesen Trojaner als Standardport definiert ist. Was Lockdown nun macht, ist, dass es selbst auf einigen wenigen dieser Ports lauscht, und sobald ein Kontaktversuch an diesem Port stattfindet, heult die Alarmsirene auf, und ein Hackattempt wird berichtet. Wie sicher ist das? Ziemlich unsicher, da bei fast jedem Trojaner der Port frei bestimmbar ist, und es gibt mehr als 65 000! Wenn nun ein Trojaner mit der Außenwelt, bzw. umgekehrt, auf einem Port, der nicht von Lockdown überwacht wird, kommunizieren will, geschieht das vollkommen unbemerkt.
Schützt mich Lockdown auch vor E-Mail-Viren, wie etwa dem Lovelettervirus ?
Die selbe Firma, die auch Lockdown herstellt, hat ein Programm erstellt, mit dem man den ‚Windows Scripting Host', der z.B. von den Viren der Loveletter-Familie benötigt wird, kontrollieren können soll (ich habe mir das Programm nicht angesehen), allerdings kostet dieses Programm 15 U$... Ich kenne zumindest 2 Programme, die den selben Zweck erfüllen und KOSTENLOS sind, siehe Softwareempfehlungen.
Noch besser ist es allerdings, den Windows Scripting Host komplett zu deinstallieren, da dieser meist eh nicht benötigt wird (siehe unten).
Wie deinstalliere ich den Windows Scripting Host?
Unter Windows98 gehst du hierzu in die Systemsteuerung, dann auf Software, wählst den Reiter Windows-Setup, gehst dann dort in der Liste auf Zubehör und klickst auf ‚Details', jetzt entfernst du das Häkchen hinter ‚Windows Scripting Host' und klickst auf ‚OK'. Das war's.
Was lässt sich über die Scanfunktion von LD sagen?
Zuerst einmal, dass sie arg langsam ist, was jeden Scan zu einer Geduldsache macht. Außerdem fehlt die Möglichkeit, gezielt einzelne Files zu Scannen. Hinsichtlich der Erkennung scheint sich etliches getan zu haben, da ich von den früheren Versionen immer las, sie würden einen Trojaner nur anhand der Filegröße identifizieren, was fatal wäre, da sich die meisten Trojaner relativ einfach in ihrer Größe verändern lassen, oder sich auch ohne Probleme mit einem normalen ausführbaren Programm verbinden lassen, was auch in der Praxis fast immer benutzt wird.
Bei meinem Test mit der Version 7.0.0.1 habe ich allerdings festgestellt, dass zumindest der meist verbreitetste Trojaner SubSeven (2.1) erkannt wird, selbst wenn er mit einem anderen Programm verschmolzen ist, also scannt LD vermutlich doch nicht (mehr) nur nach der Filegröße.
Jedoch leistet Lockdown meiner Meinung nicht so viel wie ein ‚normaler' Virenscanner, denn auch diese erkennen Trojaner meist zuverlässig, und bieten hinsichtlich Programmkomfort und Features weitaus mehr als Lockdown. Ein normaler Virenscanner sollte sowieso vorhanden sein, er stellt geradezu ein Muss dar. Wenn du so einen nicht besitzt solltest du die 100 $ dafür verwenden , anstatt dir Lockdown zu kaufen. Links zu einigen Herstellern findest du unter Softwareempfehlungen. Neben Allroundvirenscannern gibt es auch noch eine Anzahl reiner Trojanerscanner, die auch meist ziemlich gut sind, und meiner Meinung nach auch fast alle dem Lockdown-Scanner überlegen sein dürften.
Lockdown meldet mir einen Trojaner in der Datei msipcsv.exe !
Lockdown meldet dir, dass folgende Datei mit einem Trojaner infiziert ist: c:\windows\system\msipcsv.exe ? Diese Datei ist allerdings kein Trojaner wie SubSeven oder Netbus, sondern Teil des Werbe-/Spysystemes von Radiate (WWW) (früher Aureate), das du dir mit einem Programm der vielen 'Partner' von Radiate eingefangen hast, Beispiele für solche Programme sind etwa Gozilla oder GetRight. Eine genaue Liste findest du hier (WWW). Du kannst diese Datei löschen, manuell oder mit einem Anti-Spy-Scanner (s.u.), allerdings VORSICHT: die meisten 'verseuchten' Programme werden dann nicht mehr funktionieren!! Soweit ich weiss wird nur dieses Werbe-/Spysystem von Lockdown erkannt, es gibt aber spez. Spywarescanner, zum Beispiel Optout von Steve Gibson (WWW) oder Ad-Aware von Lavasoft. (WWW)...
Kann mich Lockdown auch vor Spyware (Aureate) oder Programmen schützen, die über das Internet Informationen an den jeweiligen Hersteller übermitteln?
Nicht dass ich wüsste, ich kann mir auch nicht vorstellen dass Lockdown hierbei in irgendeiner Weise dazu gebraucht werden könnte, dazu fehlt einfach das richtige Konzept. Für solche Zwecke würde ich die ZoneAlarm, oder besser AtGuard empfehlen. Mehr Infos, und vor Allem, welche Programme gerne nach Hause telefonieren würden, erfährt man hier (WWW)...
Hat Lockdown Schwachstellen?
Außer den oben bereits erwähnten kann ich dir noch zwei Links ans Herz legen:
NT Bugtraq (WWW)
NT Bugtraq (WWW)
Der Text besagt im Grunde, dass sich Lockdown selbst mit simpelsten Maßnahmen ‚abschießen', daher zum Abstürzen bringen lässt, was unter Umständen auch das gesamte System unstabil machen kann. Dieses Problem soll ab Version 7.0.0.1 behoben sein.
Über diesen Artikel
Du hast noch Fragen irgendeiner Art, oder hier fehlt etwas? Mail an mich!
Testgrundlage waren bei mir die Lockdown2000 7.0.0.1-Testversion und Windows98SE.
Rechtliches: Ich übernehme für keine einzige Behauptung hier irgendeine Verantwortung rechtlicher Art, genauso wenig kann ich für die absolute Richtigkeit garantieren, auch wenn ich natürlich niemanden vorsätzlich belüge. Die Einschätzung der Programme erfolgt nur aufgrund meiner eigenen Meinung und Erfahrung. Sollte jemand meinen ich hätte in irgendeiner Weise seine Rechte verletzt, soll er mich das bitte wissen lassen. Die Inhalte fremder Seiten, die ich hier verlinke mache ich mir nicht zu eigen und übernehme dafür keinerlei Verantwortung.
