Trojaner in Delphi programmiert

Für alles, was in den übrigen Lazarusthemen keinen Platz, aber mit Lazarus zutun hat.
pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Trojaner in Delphi programmiert

Beitrag von pluto »

Das komplexe an einem Virus ist meistens sehr systemabhängig, die lcl z.B. hat zwar viele WinAPI Funktionen Plattformunabhängig, allerdings fehlen einige Funktionen die man normalerweise nicht so häufig braucht fehlen. Mein Keylogger von oben würde so z.B. nicht unter Linux funktionieren.

Naja, die Viren Autoren nutzten ja inzwischen das Baukasten Prinzip. Was spricht dagegen, wenn sie sich einfach ihre eigenen "Libs" für "Pascal" schreiben(Wenn sie wollten)....
MFG
Michael Springwald

Marc
Lazarusforum e. V.
Beiträge: 208
Registriert: Fr 11. Nov 2016, 14:09
OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
CPU-Target: 64Bit
Wohnort: Schweiz

Re: Trojaner in Delphi programmiert

Beitrag von Marc »

Um mal abgeschweift zu bleiben. :-)

Das erklärt zwar noch nicht warum Elster unter Linux nicht laufen sollte, aber warum ich in Deutschland bestimmt nie eine Firma gründen werde.

In der Schweiz wird abgezogen was Du dem Buchhalter zum abziehen gibst.
Solltest Du Ende Jahr plötzlich eine Million mehr auf dem Konto haben und doch nur CHF 3.50 versteuern wollen merkt man ja das was nicht aufgeht.

Da gibts wirklich keinen Stress, und die ganzen bekofferten Beamten mit ihrem Elster Programm kann man sich gleich komplett sparen.

Das 'vergessen' von Einnahmen ist hier sowieso nicht strafbar, weil kann ja passieren.
Schlimmsten Fall gibts eine Nachzahlung. Strafbar ist nur das fälschen von Urkunden.

Wenn das alles in DE so wichtig ist braucht man natürlich auch das sicherste Betriebssystem dazu. :-)

Aber doch zum Thema, ich meine schon das Linux etwas sicherer ist.
Das man sich aus dem Internet beim surfen kaum was einfängt, und vorallem kein MS-Office / Outlook (scripte) am laufen hat.

Mir wäre jetzt aber auch kein Virenscanner für Linux bekannt.
Oder sonstwas das die Files ab und an kontrolliert ob sich was verändert hat.
Ein Virus muss sich ja doch meistens an eine ausführbare Datei hängen, diese also verändern.
Also schon fahrlässig?

Vieleicht sollte man mal ein Crowdfoundig machen damit mal jemand einen mittelfiesen Linuxvirus macht. Einfach nur zum testen. ;-)
Good code comes from experience, experience comes from bad code.

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Trojaner in Delphi programmiert

Beitrag von pluto »

Mir wäre jetzt aber auch kein Virenscanner für Linux bekannt.
Oder sonstwas das die Files ab und an kontrolliert ob sich was verändert hat.
Ein Virus muss sich ja doch meistens an eine ausführbare Datei hängen, diese also verändern.
Also schon fahrlässig?

Es gibt auch unter Linux Viren und Co. Zum Beispiel sehr "beliebt" sind root-kits.
Viren Scanner gibt es natürlich auch, ich kenne aber keinen.

Jedoch dürften die meisten, die mit Linux unterwegs sind, mehr vom System Verstehen, als die, die Windows Verwenden.
Ich denke einen Typischen Windows User irgendwas zu fragen, was das System angeht, ist Sinnlos. Aber die gleiche Frage einen Linux User zu stellen....
ich denke, der könnte sie bestimmt beantworten.... meint ihr nicht?

Ich denke unter Linux fallen solche Programme eher auf. Wobei hier das Problem besteht: Welche Programme gehören zum System und welche nicht?
MFG
Michael Springwald

Warf
Beiträge: 1908
Registriert: Di 23. Sep 2014, 17:46
OS, Lazarus, FPC: Win10 | Linux
CPU-Target: x86_64

Re: Trojaner in Delphi programmiert

Beitrag von Warf »

Timm Thaler hat geschrieben:Naja, wenn ich sehe, wie...
... grottig die Verzeichnisstruktur unter Linux ist: Schmeiss halt alles was irgendwie ausführbar ist in /bin oder /usr/bin.
... wegen dieser grottigen Verzeichnisstruktur irgendwie versucht wird das zu umgehen: Gut, es gibt /opt, aber das nimmt kaum jemand. Schmeiss es beim User ins home, dann hast Du keine Probleme mit Rechten.

Das ist die ganze Idee hinter dem home Verzeichnis, da gehören alle Dateien rein die ein User hat. Wenn du Programme installierst machst du das mit einem Paketmanager (oder Shell scripts/makefiles) und diese fordern Adminrechte an. Wie bei Windows auch.

Timm Thaler hat geschrieben:benötigst du root rechte. Anwendungen die man sich einfach so runterläd, die man aber nicht für jeden Nutzer installieren möchte kommen ins home Verzeichnis.
... sich die Rechte einfach aushebeln lassen: Fragte da nicht letztens jemand, wie er ein Programm mit TProcess starten kann. Und dann ein sudo davor und das Programm läuft mit Adminrechten.

Ja hättest du meinen nächsten Beitrag in diesem Thema auch noch gelesen dann wüsstest du das das nur geht wenn man sudo entweder mittels -A ein Programm übergibt welches nach dem Passwort fragt oder man sich in einer Konsolenanwendung befindet, dann fragt sudo selbst nach. Man kann auch einen Eintrag in der Sudoers machen dass dieser Nutzer kein Passwort bei sudo eingeben muss. Wer sich das aber so konfiguriert ist selbst Schuld.
Timm Thaler hat geschrieben:... man zum Verschlüsseln der Userdaten - inzwischen das beliebteste Hobby der Virenprogrammierer - nichtmal Adminrechte braucht, weil ja alles im User-Home passiert.

Wenn du einem Programm nicht vertraust dann kannst du einfach chroot, Docker, oder einen speziellen Nutzer dafür verwenden. Auf einem server läuft für gewöhnlich jede Anwendung mit einem eigenen Nutzer mit angepassten rechten, damit der nicht mehr kann als gewollt. Das sind Möglichkeiten die Windows zum Teil gar nicht hat.
Timm Thaler hat geschrieben:dann würde ich mal nicht so laut schreien. Der bisherige Schutz basiert hauptsächlich auf: Zu uninteressant für Virenschreiber.


Vieren zielen Hauptsächlich auf unerfahrene Nutzer ab. Wenn du Linux als unerfahrener Nutzer verwendest hast du verloren, da gebe ich dir recht. Aber Linux hat nicht so viele unerfahrene Nutzer (Android zähle ich einfach mal nicht).
Microsoft investiert Unmengen Geld in Sicherheit (Das dürften mittlerweile mit der Größte Forschungsbereich von Microsoft sein). Die lösen das Problem einfach indem sie es so lange mit Geld bewerfen bis es gelöst wird.

Apple löst das durch Einschränkung der User wenn es um unzertifizierte software geht.

Timm Thaler hat geschrieben:Unter Windows hat inzwischen so ziemlich jedes Programm kapiert, dass es in C:/Programme gehört. Nur Lazarus kommt damit nicht klar, weil der FPC partout keine Leerzeichen im Pfad verträgt. Also muss man für Lazarus extra ein Verzeichnis anlegen, welches sich nicht an die Windows-Richtlinien hält.


Ist das eigentlich ein Windows only Problem?

Warf
Beiträge: 1908
Registriert: Di 23. Sep 2014, 17:46
OS, Lazarus, FPC: Win10 | Linux
CPU-Target: x86_64

Re: Trojaner in Delphi programmiert

Beitrag von Warf »

pluto hat geschrieben:
Das komplexe an einem Virus ist meistens sehr systemabhängig, die lcl z.B. hat zwar viele WinAPI Funktionen Plattformunabhängig, allerdings fehlen einige Funktionen die man normalerweise nicht so häufig braucht fehlen. Mein Keylogger von oben würde so z.B. nicht unter Linux funktionieren.

Naja, die Viren Autoren nutzten ja inzwischen das Baukasten Prinzip. Was spricht dagegen, wenn sie sich einfach ihre eigenen "Libs" für "Pascal" schreiben(Wenn sie wollten)....


Es gibt einige richtig gute Vieren, von Leuten denen ich es zutrauen würde so etwas zu können, da fragt sich allerdings immer kosten/nutzen. Du musst deinen Virus verbreiten, z.B. über Mail. Mit Code nur für Outlook Adressbuch auslesen und nur für Windows ließen sich bestimmt 50% der Nutzer angreifen können. Zusätzlich mit Code für Mac OS und Apple Mail + Outlook für Mac wäre man eventuell bei 70% an Potentiellen Nutzer. 50% der Nutzer mit wenig Code der immer wieder verwendet werden kann abzudecken reicht doch vollkommen.
Die meisten Vieren allerdings kommen von Copy & Pastern aus einschlägigen Foren die C# oder VB verwenden, und ein Unixsystem selbst noch nicht angefasst haben. Der C# Code um den Windows Taskmanager zu deaktivieren, und eine Form in den Vordergrund zu bringen und den Explorer zu beenden (locksreen mäßig) gibt es seit Jahren überall zu copy & Pasten. Dann noch schnell die Dateien verschlüsseln (wenn die das überhaupt machen, viele schlechte Viren die ich gesehen habe haben einfach nur Windows blockiert, die Dateien aber nie angefasst).

Für Linux oder Unix Systeme gibt es Kaum Code online, und auch weniger Interessenten.

Marc
Lazarusforum e. V.
Beiträge: 208
Registriert: Fr 11. Nov 2016, 14:09
OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
CPU-Target: 64Bit
Wohnort: Schweiz

Re: Trojaner in Delphi programmiert

Beitrag von Marc »

Verwende Linux seit Jahren. Bin ich jetzt ein erfahrener Benutzer?
Mein Updatemanager empfiehlt mir zum Beispiel gerade ‘tzdata’ (time zone and daylight saving time data) upzudaten.
Soll ich dem jetzt vertrauen? Erstmal einen speziellen Nutzer anlegen?
Nur weil das neue Program heute nichts anstellt, heisst das ja nicht das das morgen auch so ist.

Wenn es ‘nur’ meine Daten im Homeverzeichniss löschen oder verschlüsseln sollte dann wäre das bereits der maximale Schaden. Weil das SIND meine Daten. Das Betriebssystem könnte ich ja wieder draufladen (klar habe ich ein Backup).
Wüsste jetzt auch nicht wie ich mein Linux ‘stählen’ sollte.
Kann nur hoffen das andere das für mich machen.

Ich verwende Linux ja nicht weil besser oder sicherer ist, sondern weil es das einzige Betriebssystem ist das, meiner Meinung nach,überhaupt das Potenzial hat immer besser und sicherer zu werden.
Good code comes from experience, experience comes from bad code.

MacWomble
Lazarusforum e. V.
Beiträge: 999
Registriert: Do 17. Apr 2008, 01:59
OS, Lazarus, FPC: Mint 21.1 Cinnamon / FPC 3.2.2/Lazarus 2.2.4
CPU-Target: Intel i7-10750 64Bit
Wohnort: Freiburg

Re: Trojaner in Delphi programmiert

Beitrag von MacWomble »

Timm Thaler hat geschrieben:Unter Windows hat inzwischen so ziemlich jedes Programm kapiert, dass es in C:/Programme gehört. Nur Lazarus kommt damit nicht klar, weil der FPC partout keine Leerzeichen im Pfad verträgt. Also muss man für Lazarus extra ein Verzeichnis anlegen, welches sich nicht an die Windows-Richtlinien hält.


1. Es gibt in Windows - zumindest ab 7 - keinen Ordner C:\Programme, auch wenn dieser kein Leerzeichen hat.
2. Es gibt keine Windows-Richtlinie die besagt, Programme müssen an diesem Platz abgelegt werden. (Lasse mich gerne eines besseren belehren).

Ansonsten starte deinen Rechner mal mit Live-Linux und schaue dir die tatsächliche Ordnerstruktur deines Windows-Systems an.

Dass das mit den Viren unter Linux nicht so einfach ist, hat auch unsere Regierung feststellen müssen. Der teure Bundestrojaner läuft auf Linux nicht - und wenn doch, dann nur wenn das System physikalisch infiziert wurde (Also der Bundestrojaner per Hand direkt auf das System gespielt wurde)
Zuletzt geändert von MacWomble am Mo 13. Nov 2017, 22:37, insgesamt 1-mal geändert.
Alle sagten, dass es unmöglich sei - bis einer kam und es einfach gemacht hat.

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Trojaner in Delphi programmiert

Beitrag von pluto »

Verwende Linux seit Jahren. Bin ich jetzt ein erfahrener Benutzer?

Kommt natürlich darauf an, was du gemacht hast in den Jahren.

Mein Updatemanager empfiehlt mir zum Beispiel gerade ‘tzdata’ (time zone and daylight saving time data) upzudaten.
Soll ich dem jetzt vertrauen? Erstmal einen speziellen Nutzer anlegen?
Nur weil das neue Program heute nichts anstellt, heisst das ja nicht das das morgen auch so ist.

Naja, irgendwem musst du vertrauen. Sowas ist immer ein Alptraum, wenn ein Virus durch den Updater rein kommt.
Unter Linux wäre sowas glaube ich mal fast passiert.... aber zum Glück haben es "Leute" schnell genug gemerkt und haben reagiert.

Wenn es ‘nur’ meine Daten im Homeverzeichniss löschen oder verschlüsseln sollte dann wäre das bereits der maximale Schaden. Weil das SIND meine Daten. Das Betriebssystem könnte ich ja wieder draufladen (klar habe ich ein Backup).

Wenn du Pech hast, ist dein Backup nutzlos, wenn dort der Virus ebenfalls drauf sein könnte.... wer weiß.
MFG
Michael Springwald

Warf
Beiträge: 1908
Registriert: Di 23. Sep 2014, 17:46
OS, Lazarus, FPC: Win10 | Linux
CPU-Target: x86_64

Re: Trojaner in Delphi programmiert

Beitrag von Warf »

Marc hat geschrieben:Verwende Linux seit Jahren. Bin ich jetzt ein erfahrener Benutzer?

Woher soll ich wissen welche Erfahrungen du verwendet hast. Wenn du täglich nur einmal deine Mails abrufst würde ich sagen nein. Aber wenn du unbedingt eine Definition suchst. MMn. ist erfahren wer das gesamte System kennt (muss nicht gut sein, aber wenigstens alles schonmal gemacht oder von gehört haben)

Marc hat geschrieben:Mein Updatemanager empfiehlt mir zum Beispiel gerade ‘tzdata’ (time zone and daylight saving time data) upzudaten.
Soll ich dem jetzt vertrauen? Erstmal einen speziellen Nutzer anlegen?

Das ist ein Signiertes Installationspaket was von offizieller Seite von Debian veröffentlicht wurde. Wenn du nicht sagen kannst ob das vertrauenswürdig ist würde ich dir empfehlen halte dich von Nigerianischen Prinzen aus dem Internet fern, die wollen dir kein Geld schenken.
Ich meine bei Signierten Paketen von großen unternehmen oder Organisationen kann man natürlich vertrauen.
Noch dazu werden die Hauptrepositories von den Distributionen für gewöhnlich verwaltet. Alles was aus den Ubuntu hauptrepositories kommt kann man bedenkenlos installieren

Und das mit dem Nutzer ist doch lächerlich, das ist ein Update ist für einen Teil der Distribution, das musst du nicht per Hand ausführen, daher wird die Frage hinfällig.

Aber wenn ich ein Programm von einer Unbekannten Quelle (Foren o.ä.) runterlade, dann führe ich die in Windows in einer VM aus. In Linux würde ich da einfach chroot verwenden.

Marc hat geschrieben:Wenn es ‘nur’ meine Daten im Homeverzeichniss löschen oder verschlüsseln sollte dann wäre das bereits der maximale Schaden. Weil das SIND meine Daten. Das Betriebssystem könnte ich ja wieder draufladen (klar habe ich ein Backup).

Vertrauenswürdige Software (Signierte Software von einem realen Unternehmen kann als sicher eingestuft werden) normal ausführen. Dubiose Software chrooten.
Marc hat geschrieben:Wüsste jetzt auch nicht wie ich mein Linux ‘stählen’ sollte.
Kann nur hoffen das andere das für mich machen.

Regelmäßige Updates machen, Konfiguration (z.B. Sudoers) überüfen. Falls du irgendwelche Daemons laufen lässt deren Berechtigungen und Gruppen checken. Runtergeladene Software mittels Hash checken, Firewall einrichten.

Die Frage ist in welchem Zustand es ist dein Linux aktuell.

Marc hat geschrieben:Ich verwende Linux ja nicht weil besser oder sicherer ist, sondern weil es das einzige Betriebssystem ist das, meiner Meinung nach,überhaupt das Potenzial hat immer besser und sicherer zu werden.


Naja ich verwende es weil es auf einem Server praktisch keine vernünftige alternative gibt, und Privat nur wenn ich muss. Mir ist OSX das deutlich liebere Posix System

Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Trojaner in Delphi programmiert

Beitrag von Timm Thaler »

AndreasMR hat geschrieben:Jo mei, teilte man dort meine Sicherheitsbedenken etwa?


Nee, der zuständige Sachbearbeiter hatte nur keine Lust seinen Büroschlaf länger als unbedingt nötig zu unterbrechen.

Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Trojaner in Delphi programmiert

Beitrag von Timm Thaler »

Marc hat geschrieben:Vieleicht sollte man mal ein Crowdfoundig machen damit mal jemand einen mittelfiesen Linuxvirus macht. Einfach nur zum testen. ;-)


Wozu, gibts doch schon zuhauf. Oder sind Dir die ganzen IoT und Embedded Botnetze entgangen, die auf Internet-Kameras, Routern... basieren? Das sind weitgehend Linux-Systeme.

Dass Dir niemand einen Erpresser-Trojaner schreibt, der Deine Dateien unter Linux verschlüsselt hat den gleichen Grund wie den, dass niemand eine Steuersoftware schreibt: Die Zielgruppe ist so klein, dass sich das nicht lohnt.

Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Trojaner in Delphi programmiert

Beitrag von Timm Thaler »

m.fuchs hat geschrieben:Ähm, ich glaube du hast die Konzepte hinter Linux nicht verstanden.


Hinter Linux gibt es Konzepte?

Welches Konzept ist es denn, dass sämtliche ausführbaren Dateien nach /bin oder /usr/bin gekübelt werden?
Welches Konzept ist es denn, dass sämtliche Programme ihre User-Konfigs direkt in mein Homeverzeichnis rotzen?

Das Konzept hatte meine alte Heimatstadt auch: Nannte sich Mülldeponie.

Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Trojaner in Delphi programmiert

Beitrag von Timm Thaler »

MacWomble hat geschrieben:1. Es gibt in Windows - zumindest ab 7 - keinen Ordner C:\Programme, auch wenn dieser kein Leerzeichen hat.


Das ist ja der Witz, C:\Programme ist ein Synonym für C:\Program Files, und an dessen Leerzeichen scheitert Lazarus / FPC. Ich mein, ist ja auch erst 22 Jahre her, dass man mit Windows95 Leerzeichen in Pfaden erlaubt hat.

MacWomble hat geschrieben:Ansonsten starte deinen Rechner mal mit Live-Linux und schaue dir die tatsächliche Ordnerstruktur deines Windows-Systems an.


Die Ordnerstruktur kann ich mir mit jedem einigermaßen brauchbaren Filemanager wie dem FreeCommander unter Windows anschauen, da brauche ich kein Linux dafür.

Benutzeravatar
m.fuchs
Lazarusforum e. V.
Beiträge: 2636
Registriert: Fr 22. Sep 2006, 19:32
OS, Lazarus, FPC: Winux (Lazarus 2.0.10, FPC 3.2.0)
CPU-Target: x86, x64, arm
Wohnort: Berlin
Kontaktdaten:

Re: Trojaner in Delphi programmiert

Beitrag von m.fuchs »

Timm Thaler hat geschrieben:Hinter Linux gibt es Konzepte?
[...]
Das Konzept hatte meine alte Heimatstadt auch: Nannte sich Mülldeponie.

Komm mal runter von deiner Pöbellaune und lies mal ein wenig: https://de.wikipedia.org/wiki/Filesyste ... y_Standard
Software, Bibliotheken, Vorträge und mehr: https://www.ypa-software.de

Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Trojaner in Delphi programmiert

Beitrag von Timm Thaler »

"Die Entwicklung dieser Richtlinie begann im August 1993..."

Beschreibt genau das Problem. 1993 wurden ganz andere Anforderungen an Computer gestellt als heute. Windows hat sich dem angepasst, zum Beispiel wurden Konfig-Dateien früher als *.ini in das Programmverzeichnis geschmissen, heute gibt es dafür \Users\User\AppData. 1993 gab es zwei Handvoll ausführbare Programme auf einem Rechner, heute sind es tausende.

Wenn ich auf den Raspi in /usr/bin schaue, liegen da 1500 Binaries und Verknüpfungen, von Dienstprogrammen wie alsamixer bis zu umfangreichen Userprogrammen wie firefox. Welches andere Konzept soll dahinter stehen als: Kipp halt alles auf einen Haufen?

Wenn ich in mein home schaue, gibt es zwar eine .config. Dennoch legen 20 Programme ihre eigene .config-Verzeichnisse an, anstelle das .config zu nutzen.

Und das ist nur auf dem Raspi, wo ich die nötigsten Programme installiert habe. Ich will gar nicht wissen, wie das auf einem Arbeitsrechner aussieht.

Antworten