trotz geblockter FW Internetaktivität (Win XP SP 2)

Hallo,

ein Kumpel hat folgendes Problem:

Win XP prof, SP 2, alle Updates. FW Zonearlarm (bitte keine Kommentare dazu, wird hier auf xx Rechnern erfolgreich eingesetzt), normales Modem 56 k, IE. Sobald er Internetverbindung aufbaut (NGI) läuft erst mal alles normal. Allerdings wird auch kräftiger Datenverkehr betrieben, wenn eigendlich keiner mehr sein sollte. Sprich, es werden Daten geladen / ausgetauscht. Er hat nur normale Office Software. Der Witz ist, in ZA sind keine Programme sichtbar, die auch nur den Anschein nach verdächtig wären. Weitere Witz ist, werden alle Programme in ZA verboten, läuft der Datenverkehr weiter. Selbst wenn " not aus" bei ZA betätigt wird, ist dieser Datenverkehr, offenbar etwas "dünner", vorhanden. Die Win XP pro SP 2 Firewall schafft da auch keine Besserung.

Mein Latein ist am Ende... Hoffe auf konstruktive Antworten...

Uwe

PS Wer Bär Bruno ermordet hat, seine Ermordung "genehmigt" hat, ist ein Raubtier der schlimmster Sorte...

 

Einfach mal in der Eingabeaufforderung mit dem Tool netstat testen, was da so netzwerkmäßig im Hintergrund läuft.Am besten :

netstat -ano

eingeben.

Alternative mit GUI

TCPView :

http://www.sysinternals.com/Utilities/TcpView.html

 

Der Sicherheitschnulli (ZoneAlarm) telefoniert nach Israel.. das musst du doch wissen wenn du das Teil so "erfolgreich inm Einsatz hast..

Infos und News-Meldungen zu ZoneAlarm:

http://www.heise.de/newsticker/meldung/42397

http://www.heise.de/security/news/meldung/44786

http://www.heise.de/security/news/meldung/39991

http://www.heise.de/security/news/meldung/65866

http://www.heise.de/security/news/meldung/68725

Die Wahrheit über Personal Firewalls !
http://www.ulm.ccc.de/PersonalFirewalls

Zone Alarm

Hi,

ich habe mir mal den "Spaß" gemacht, das Verhalten von ZA unter NT5.x etwas näher unter die Lupe zu nehmen.
Dazu habe ich folgende Konfiguration eingesetzt:
Router als Gateway nach Außen,
PC1 mit laufendem Syslog-Dienst zur Überwachung des über den Router gehenden Netzwerkverkehrs.
PC2 ist das eigentliche Testsystem: Ein Notebook, unter XPHome SP2 laufend. Hier wurde VMWare (360-Tage-Version in der aktuellen Ausgabe der c't) installiert. In dieser VM wurde ein W2kSP4rollup1 nebst IE6SP1 installiert. Zusätzlich zum Administrator wurde ein Benutzer mit eingeschränkten Rechten angelegt.

An Software wurden Ethereal und Opera (als Standardbrowser) sowie 7Zip installiert. Diese Basisinstallation wurde anschließend mit ZA 6.00 (aktuelle Version von Zone Labs) in der Free-Variante bestückt. Dabei wurden alle Optionen deaktiviert, die eine automatische Verbindung mit dem Hersteller ermöglichen könnten.

Das Netzwerk der VM ist so konfiguriert, daß es die komplette Netzwerkumgebung des Hostsystems umgeht, es findet also keinerlei Abschirmung durch die dort laufende Windows-Firewall statt.
Soviel zur Konfiguration.

Beobachtung:

1. Ethereal registriert alle 60 Sekunden eine DNS-Abfrage nach www .zonelabs .com, es wird vom DNS-Server des ISP (später vom Router, der sowas zwischenspeichert) 208.185.174.44 zurückgeliefert.
Beispiel für eine Ausgabe des Router-Syslog:
Sep 26 20:36:16 | Vigor | Local User:192.168.111.142 DNS-> 145.253.2.11 inquire zonelabs.com

2. Start eines bislang unbekannten Programms provoziert die bekannte Frage nach dem Netzzugang. Hier ist bemerkenswert, daß als Zieladresse 208.185.174.44:53 angegeben und protokolliert wird. Nutzt ZA etwa andere Programme, um die DNS-Abfrage "durchzubekommen"? Dies ist zumindest sehr fragwürdig und eine eher Spyware-typische Verhaltensweise.

3. Weiterhin kann man auch als Benutzer mit eingeschränkten Rechten Programmen im entsprechenden Konfigurationsdialog das Recht zum Netzwerkzugang erteilen - zumindest für die aktuelle Sitzung.

4. Ebenfalls ist es dem unprivilegierten Benutzer möglich, ZA komplett zu beenden.

 

Woran misst du den "Erfolg"?

 

Hallo,

ich bedanke mich für die Antworten. Bitte um weitere...


Werde erst am Freitag zu ersten Ergebnissen kommen können.

Ich bat ausdrücklich darum, keine Diskussion zu ZA udgl. loszutreten! Das besagte Verhalten tritt ausschließlich auf einem PC auf. Es geht nicht um punktionelle Aktivitäten sondern das trotz gespertem ZA permanent Daten geladen werden.

Uwe

PS Wer Bär Bruno ermordet hat, seine Ermordung "genehmigt" hat, ist ein Raubtier der schlimmster Sorte...

 

Was Wolfgang77 sagen wollte ist, dass ZA selbst für die Aktivität verantwortlich ist und sich anscheinend Wege sucht, die nicht direkt aufzuspüren sind. Das wirst Du wohl nicht unterbinden können - außer duch Deinstallation oder Nachbau der o.g. Szenerie.

Edit:

Ich glaube kaum, dass ZA sich selbst verbietet in Internet zu gehen. Was passiert, wenn Du die Strippe ziehst?

 

Bitte, Leute!

Wenn auf 20 Rechnern ZA läuft und auf einen ! das Problem auftritt, hat das wohl nichts mit ZA zu tun. Ich habe ZA zu Hause auf 3 Rechnern und kenne dieses Problem auch nicht. ZA mag Schwachstellen haben, mit dem Problem hat das nichts zu tun. Auch ist die Datenmenge viel zu groß, sie beeintächtigt den Modemverkehr (56 k) ganz schön.

Uwe

 

Woran erkennst Du, dass Daten noch verkehren ()? Es muss doch in ZA eine Art Monitor geben, der Dir anzeigt, welcher Prozess verantwortlich ist.

 

Wenn auf 20 Rechnern XP läuft und auf einen ! das Problem auftritt, hat das wohl nichts mit XP zu tun.

 

Was bitte hilft dir überhaupt die Firewall?
Du musst je eh, um surfen zu können, einigen Programmen den zugriff erlauben. Angenommen du nutzt den InternetExplorer. Dann sagst du ZA, dass der IE ins Netz darf. Ok - aber was bitte hindert spyware etc. daran sich selbst internetExplorer zu nennen? Das bekommst du nichtmal mit. Du erlaubst dann sogar der Spyware sich durchzusetzen und denkst du wärst sicher nur weil da eine tolle firewall läuft. Mach lieber alle Ports zu die du nicht brauchst. Ein Port der zu ist kann auch nicht für Schaden sorgen. Überwache mit dem netstat etc. deine Dienste. Dann siehst du was wirklich online geht...

 

@XP Fan
Ich will mit dir keine Diskussion über ZA, sondern wollte dir nur verdeutlichen dass wenn man deine Angaben zerlegt nur zwei Möglichkeiten bleiben und bei beiden sieht ZA nicht gut aus...

1.) ZoneAlarm erzeugt selbst den Datenverkehr, als Beleg und Hinweis siehe mein Posting oben.

2.) ZoneAlarm wird von einem anderen Programm oder Schädling getunnelt, folge meinen Links oben dort wird auch angesprochen wie das zu machen ist und dass es möglich ist.

Und jetzt liegt es an dir die Ursache zu finden, Hinweise wie man da vorgehen kann gibt es etliche in den bisherigen Postings.. siehe auch mein Posting und den beschriebenen Testaufbau / Programme.

 

Ich bin nun wirklich kein ZA-Fan; aber die Zeiten, wo solche billigen Tricks möglich waren, sind wirklich vorbei.

 

@buddy2002: S!RPH!L hat da nicht ganz unrecht. Was hindert Spyware daran, sich InternetExplorer zu nennen? ZA wurde schon häufiger getunnelt. Keine Software ist fehlerfrei. Ergo wird es immer wieder Möglichkeiten geben, die auf billigen Tricks beruhen. Ich würde mich nicht darauf verlassen, daß diese Krankheit ausgestorben ist.

 

Das ist zwar jetzt schon länger her, dass ich zum Testen ZA installiert hatte, aber schon zu diesem Zeitpunkt wurden die Checksums der exes miteinander verglichen, um das zu verhindern.

Tunneln ist wieder ein anderer Prozess.Natürlich zeigen Leaktests, dass alle Maßnahmen von solchen Firewalls auch unterlaufen werden können.

Ab Vista kann die Windows-Firewall auch den Outgoing Traffic kontrollieren, so dass man sich dann wahrscheinlich den ganzen Zirkus mit ZA und Konsorten sparen kann.

 

Ich würde fast eine Wette eingehen, daß auch die Vista-Firewall keinen 100%igen Schutz bietet. Getreu dem Motto (aus der Sicht der 'Bösen'): Wo ein Wille, da auch ein Weg: Aber dafür müssen wir erst mal den VÖ abwarten.

 

Natürlich nicht.Die XP-Firewall war zwar von außen mit allen Hackertricks nicht zu knacken, aber von innen ganz leicht durch den einfachen Befehl :

netsh firewall set opmode disable

zu deaktivieren.

Kommerzielle Firewalls geben sich dagegen ja viel Mühe, sich zu immunisieren, was dann ironischerweise dazu führt, dass manche User nicht mehr wissen, wie man das Ding abschalten oder deinstallieren kann.

Man wird also mit der Windows-Firewall einen guten Schutz vor externen Hackerangriffen haben, mit der neuen von Vista wohl auch das Nachhause-Telefonieren kommerzieller Programme unterbinden können (sofern die nicht mit illegalen Tricks arbeiten).Gegen Schadsoftware, die schon auf den Rechner gelangt ist, wird man aber wahrscheinlich auch in Zukunft relativ wenig ausrichten können.

 

@TO
Lass mal (am Fr.) ein paar Daten rüberwachsen.

NETSTAT -ano ... wurde genannt
TCPView ebenfalls

ergänzend zu buddy2002
http://www.sysinternals.com/NetworkingUtilities.html -> TDIMon

 

Hallo,

danke erst mal für Hinweise. Ich kümmere mich amFr. darum.

Woher ich erkenne, das noch Daten übertragen werden? Wird doch (als ständig und für ein 56 k Modem massig) in der Ansicht der Netzwerkverbindung angezeigt. Bei allen anderen Rechnern, auch bei meinen 3 St (DSL) ist da Ruhe, sobald man weder servt, ftp oder Mail beansprucht usw.

Wird in ZA die Datei svchost.exe (eine bekannte und normale Systemdatei) blockiert, erlahmt der Verkehr merklich.

Wichtig! (denke ich mal...) Auch wenn ZA deaktiviert wurde und die XP SP 2 FW aktiv ist, ist das Phänomen da.

@Wolfgang77

ZA kann nicht für derart massig Datenverkehr verantwortlich sein, wie gesagt, es ist auf einem Rechner der Fall. Eine Vermutung ! war, das Windows Updates läd, aber diese Funktion ist abgeschalten.



Uwe

 

Hallo @all


komme nun doch erst am Sonntag zu einer weiteren Analyse.

Werde mich melden.


Uwe

 

HalloLeute,

hier nun das Ergebnis von netstat.

Tabelle oben ist ohne aktivirtes Internet (Modem), unten mit aktiver Internetanbindun.

Ich fasse noch mal zusammen: Es ist final kein Problem von ZA, da es auch ohne ZA und Firewall XP prof SP2 alle Updates, auftritt.

Der Rechner läd Daten nach, ohne daserkennbar ist, welches Programm dies tut und, welche Daten das überhaupt sind.

Die Updatefunktion von Windows ist deaktiviert und es befindet sich keine Software auf den Rechner, die automatisch Updates zieht. NAV 2006 ist aktiv und auf den neuesten Stand. Ein Virenscann blieb ohne Ergebnisse.

Erbitte tatkräftiges nachdenken...:-)

Uwe