Frage zur "Virentechnik"

Discussion:

(zu alt für eine Antwort)

2012-05-06 06:38:16 UTC

Hallo

ich hoffe, ich bin mit meiner Frage richtig hier. Ich höre/lese, das
Viren in der Regel Internetadressen als url codiert enthalten.
Damit laufen sie z.b. bei Nutzung von opendns oft ins Leere. Gibt es
einen Grund, warum sie keine festcodierten IPs enthalten, und somit DNS
umgehen würden?

Die einzige Idee die ich habe ist, das beim Weg über dns vermieden
werden kann, das eine ungültig gewordene Adresse (wegen Verfall der ip)
nicht mehr erreichbar ist. Oder gibt es weitere Gründe?

--
Gruss

Roland Ertelt

2012-05-06 08:23:45 UTC

Permalink

.... Gibt es
einen Grund, warum sie keine festcodierten IPs enthalten, und somit DNS
umgehen würden?
Die einzige Idee die ich habe ist, das beim Weg über dns vermieden
werden kann, das eine ungültig gewordene Adresse (wegen Verfall der ip)
nicht mehr erreichbar ist. Oder gibt es weitere Gründe?

Denk nochmal ganz genau drüber nach. Dann kommst du auch von selber drauf.

Roland

2012-05-06 08:47:53 UTC

Permalink

Post by Roland Ertelt

Denk nochmal ganz genau drüber nach. Dann kommst du auch von selber drauf.

Mit deiner Antwort kann ich nicht viel anfangen. Und wer dem Kriminellen
über die IP auf die Spur kommen will, kann das auch über dns erledigen.
Vielleicht ein Denkfehler, aber ich meine, der Virenprogrammierer ist
mit dns keineswegs sicherer vor Entdeckung bzw. der Entdeckung "seines"
Servers. Das allgemeine Problem der Lebenszeit einer IP (inklusive
Katz- und Mausspiel von einem Server zum anderen, bei bleibender
Erreichbarkeit wegen dns) habe ich oben schon erwähnt.

Mir fällt sonst kein Grund mehr ein..

--
Gruss

Roland Ertelt

2012-05-06 13:16:43 UTC

Permalink

Post by dl

Post by Roland Ertelt

Denk nochmal ganz genau drüber nach. Dann kommst du auch von selber drauf.

Fast richtig. Aber nicht bis zu Ende gedacht. ;-)

In einer "freien Welt"[tm] werden die Vergaben einer IP zu einem
dynamischen Anschluss nur wenige Stunden gespeichert. Genau genommen nur
so lange, wie der DHCP die Lease-Time eingestellt hat.
D.h. wenn diese Zeit abgelaufen ist, ist die Zuordung IP <-> Anschluss
nicht mehr möglich.
Bei einer statischen IP hingegen ...

Ich weiss auch, dass wir inzwischen in einem Polizeistaat leben, in
welchem die IP-Zuordungen wochen- bis monatelang gespeichert werden
müssen. Der Idiot^W Hacker aus fernen Ländern kennt diese Bedingung hier
in DE aber nicht...

Roland

2012-05-06 08:52:29 UTC

Permalink

Ich vergass vorhin noch diesen Gedanken: Wenn eine neue IP fällig wird,
kann, sofern das vorbereitet wird, der Virus sich diese IP holen und
entweder in ein File schreiben, an dem er sich dann orientiert, oder er
baut es in seinen Wirt ein: Er überschreibt die eingebaute IP einfach
mit der neuen.

Was also spricht dagegen (aus Virenprogrammierer-Sicht) ?

--
Gruss

Karl-Josef Ziegler

2012-05-06 20:45:26 UTC

Permalink

Post by dl
Die einzige Idee die ich habe ist, das beim Weg über dns vermieden
werden kann, das eine ungültig gewordene Adresse (wegen Verfall der ip)
nicht mehr erreichbar ist. Oder gibt es weitere Gründe?

Nun ja, auch Viren werden auf Botnetzen 'gehostet'. Da wird die Lease
Time dann ggf. nur sehr kurz (einige Minuten) gesetzt und es werden
mehrere IPs benutzt (Stichwort: Round robin DNS). So oft die IP zu
wechseln, wäre mittels Nachladen doch etwas aufwendig. So braucht der
Kriminelle nur den (eigenen) DNS-Server entsprechend zu manipulieren.

- Karl-Josef

2012-05-07 05:05:35 UTC

Permalink

Danke für die Antworten. Die Sache ist mir jetzt klarer geworden.

--
Gruss

MrSpider

2012-05-09 13:13:28 UTC

Permalink

Post by dl
Gibt es
einen Grund, warum sie keine festcodierten IPs enthalten, und somit DNS
umgehen würden?

Besonders bei großen Botnetzen ist es wichtig, dass nicht auf einmal die
IP-Addresse des Control-Servers ungültig wird und somit alle Bots weg
sind (Kein Controll-Server zu erreichen -> keine Updates für die Bots,
welche wiederum neue Addressen für die Server enthalten könnten) Die
richtig komplizierten / großen Botnets verwenden nicht nur einen
DNS-Name anstatt einer IP-Addresse, sondern einen Algorithmus der anhand
vom Datum einen DNS-Namen berechnet. So ist der Botnetzbetreiber davor
geschützt, dass die Behörden ihm die Domain wegnehmen und er dadurch
seine Bots verliert.

siehe auch diesen Google TechTalk:

Gruß Philipp

Jens Hektor

2012-05-10 20:10:55 UTC

Permalink

Post by dl
Gibt es
einen Grund, warum sie keine festcodierten IPs enthalten, und somit DNS
umgehen würden?

Besonders bei großen Botnetzen ist es wichtig, dass nicht auf einmal die IP-Addresse des Control-Servers ungültig wird und somit alle Bots weg sind (Kein Controll-Server zu erreichen -> keine Updates für die Bots, welche wiederum neue
Addressen für die Server enthalten könnten) Die richtig komplizierten / großen Botnets verwenden nicht nur einen DNS-Name anstatt einer IP-Addresse, sondern einen Algorithmus der anhand vom Datum einen DNS-Namen berechnet. So ist der
Botnetzbetreiber davor geschützt, dass die Behörden ihm die Domain wegnehmen und er dadurch seine Bots verliert.

Bei professioneller Malware wird man sicher keine
hardcodierten IPs finden, ich persönlich "vergnüge"
mich derzeit mit einem Stück Software, zu dem diese
Google Abfrage passt:

https://www.google.de/search?q=getnewsqlserver.php

und beim dem die IPs durchaus hardcodiert sind.

Wer "Spaß" mit seinen Kunden habe will setzt den String
mit "ngrep" an geeigneter Stelle ein oder monitort
einschlägige (s.o.) IPs ;-)