---

Lad os antage, at jeg opretter en bruger på en standard-installeret Windows
XP Pro og tilføjer den til "Users"-gruppen. Denne bruger modtager så
NetSky.B pr. email og afvikler den vedhæftede fil. Denne virus forsøger
herefter at

1.
Slette/tilføje i Registry under bla. hkey_classes_root.
2.
Installere en bagdør, dvs åbne en listener-socket på en eller anden port.

Mit spørgsmål er: Er disse ting mulige for denne bruger?

--
Jesper Stocholm http://stocholm.dk

Programmer's code comment:
//It probably makes more sense when you're stoned.

---

"Jesper Stocholm" <j@stocholm.invalid> skrev i en meddelelse
news:Xns94957F840DA59stocholmdk@130.225.247.90...

Hej Jesper,

> Lad os antage, at jeg opretter en bruger på en
standard-installeret Windows
> XP Pro og tilføjer den til "Users"-gruppen. Denne bruger
modtager så
> NetSky.B pr. email og afvikler den vedhæftede fil. Denne
virus forsøger
> herefter at
>
> 1.
> Slette/tilføje i Registry under bla. hkey_classes_root.

Nej, det vil en "almindelig bruger" ikke have rettigheder
til. Ikke under default rettighederne. De kan selvfrølgelig
altid udvides af systemadministratoren, hvilket af gode
grunde ofte er nødvendigt. Det sker via Access Control Lists
(ACLs). En bruger der oprettes på systemet med standard
"brugerrettigheder" har som udgangspunkt ikke ret til at
ændre i registreringsdatabasen.

> 2.
> Installere en bagdør, dvs åbne en listener-socket på en
eller anden port.

Nej. Rettighederne for "bruger" tillader det ikke medmindre
disse rettigheder er blevet udvidet af
systemadministratoren.
NetSky-B er nok iøvrigt et dårligt eksempel, da den ikke
bærer en bagdør Det er udelukkende en massemailer,
hvilket selvfølgelig kan være slemt nok.

Venligst
Peter Kruse

---

Peter Kruse wrote:

> Nej, det vil en "almindelig bruger" ikke have rettigheder
> til. Ikke under default rettighederne. De kan selvfrølgelig
> altid udvides af systemadministratoren, hvilket af gode
> grunde ofte er nødvendigt.

Hvilke gode grunde er der til, at have rettigheder til at ændre i
HKEY_CLASSES_ROOT som "almindelig bruger"?

> En bruger der oprettes på systemet med standard
> "brugerrettigheder" har som udgangspunkt ikke ret til at
> ændre i registreringsdatabasen.

Øh? En "almindelig bruger" har da rettigheder til at ændre i
HKEY_CURRENT_USER.

--
Martin

---

"Martin Poulsen" <g46qxu002@sneakemail.com> skrev i en
meddelelse news:c15er7$p8s$1@sunsite.dk...

Hej Martin,

> > Nej, det vil en "almindelig bruger" ikke have
rettigheder
> > til. Ikke under default rettighederne. De kan
selvfrølgelig
> > altid udvides af systemadministratoren, hvilket af gode
> > grunde ofte er nødvendigt.
>
> Hvilke gode grunde er der til, at have rettigheder til at
ændre i
> HKEY_CLASSES_ROOT som "almindelig bruger"?

Sikkert et par stykker, men det er ikke det som jeg svarer
på. Jeg refererer (måske ikke tydeligt nok) til de
begrænsninger, som konto "bruger" medfører.

> Øh? En "almindelig bruger" har da rettigheder til at ændre
i
> HKEY_CURRENT_USER.

Ja, men som "udgangspunkt" (som jeg også skriver) har en
"user" konto ikke permissions til at rette i
systemindstillinger udenfor "kontoens" rettigheder.
Current_user, er *indlysende* et eksempel på sådanne
rettigheder, idet området af registreringsdatabasen
"tilhører" den bruger som er logget på systemet.

Venligst
Peter Kruse

---

Peter Kruse wrote :

> "Jesper Stocholm" <j@stocholm.invalid> skrev i en meddelelse
> news:Xns94957F840DA59stocholmdk@130.225.247.90...
>
>> Lad os antage, at jeg opretter en bruger på en
> standard-installeret Windows
>> XP Pro og tilføjer den til "Users"-gruppen. Denne bruger
> modtager så
>> NetSky.B pr. email og afvikler den vedhæftede fil. Denne
> virus forsøger herefter at
>>
>> 1.
>> Slette/tilføje i Registry under bla. hkey_classes_root.
>
> Nej, det vil en "almindelig bruger" ikke have rettigheder
> til. Ikke under default rettighederne. De kan selvfrølgelig
> altid udvides af systemadministratoren, hvilket af gode
> grunde ofte er nødvendigt. Det sker via Access Control Lists
> (ACLs). En bruger der oprettes på systemet med standard
> "brugerrettigheder" har som udgangspunkt ikke ret til at
> ændre i registreringsdatabasen.

Ok ...

>> 2.
>> Installere en bagdør, dvs åbne en listener-socket på en
> eller anden port.
>
> Nej. Rettighederne for "bruger" tillader det ikke medmindre
> disse rettigheder er blevet udvidet af
> systemadministratoren.

OK ...

> NetSky-B er nok iøvrigt et dårligt eksempel, da den ikke
> bærer en bagdør Det er udelukkende en massemailer,
> hvilket selvfølgelig kan være slemt nok.

Tja, dér var jeg vist lidt hurtigt - det var lidt en reflekshandling, da
jeg syntes at de sidste vira, internettet har haft fornøjelse af at
viderebringe, alle har haft en bagdørsinstallation med i pakken.

Tak for dine svar.



--
Jesper Stocholm
http://stocholm.dk
Linux advocacy how-to:
http://www.datasync.com/~rogerspl/Advocacy-HOWTO-5.html

---

Jesper Stocholm wrote :

> Peter Kruse wrote :
>>> 2.
>>> Installere en bagdør, dvs åbne en listener-socket på en
>> eller anden port.
>>
>> Nej. Rettighederne for "bruger" tillader det ikke medmindre
>> disse rettigheder er blevet udvidet af
>> systemadministratoren.

Jeg vil lige tilføje, at jeg har lavet en lille test, der viser at en
bruger oprettet på Windows XP Home i gruppen "begrænset bruger" ikke som
udgangspunkt har rettigheder til at åbne en arbitrær listener-socket på
maskinen. Virusser, der medbringer en bagdør, vil altså ikke kunne åbne en
listener-socket ud imod verdenen.

Det gør mig en smule mere rolig :)

--
Jesper Stocholm
http://stocholm.dk
Linux advocacy how-to:
http://www.datasync.com/~rogerspl/Advocacy-HOWTO-5.html

---

Den Sat, 21 Feb 2004 19:18:41 +0000 (UTC) skrev Jesper Stocholm:
>Jesper Stocholm wrote :
>
>> Peter Kruse wrote :
>>>> 2.
>>>> Installere en bagdør, dvs åbne en listener-socket på en
>>> eller anden port.
>>>
>>> Nej. Rettighederne for "bruger" tillader det ikke medmindre
>>> disse rettigheder er blevet udvidet af
>>> systemadministratoren.
>
>Jeg vil lige tilføje, at jeg har lavet en lille test, der viser at en
>bruger oprettet på Windows XP Home i gruppen "begrænset bruger" ikke som
>udgangspunkt har rettigheder til at åbne en arbitrær listener-socket på
>maskinen. Virusser, der medbringer en bagdør, vil altså ikke kunne åbne en
>listener-socket ud imod verdenen.

Er du sikker på det? Det ville betyde at ting som FTP og ICQ ville
kræve administrator-rettigheder.

Indtil videre har undskyldningen for at køre som administrator været
primært spil, specielt har en stor amerikansk software-producent
(der begynder med "Mi") store problemer ved at få deres spil til at
køre fornuftigt under nyere windows-versioner, og vil helst stadig have
Windows95-agtige administratorrettigheder.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote :

> Den Sat, 21 Feb 2004 19:18:41 +0000 (UTC) skrev Jesper Stocholm:
>>Jesper Stocholm wrote :
>>
>>> Peter Kruse wrote :
>>>>> 2.
>>>>> Installere en bagdør, dvs åbne en listener-socket på en
>>>> eller anden port.
>>>>
>>>> Nej. Rettighederne for "bruger" tillader det ikke medmindre
>>>> disse rettigheder er blevet udvidet af
>>>> systemadministratoren.
>>
>>Jeg vil lige tilføje, at jeg har lavet en lille test, der viser at en
>>bruger oprettet på Windows XP Home i gruppen "begrænset bruger" ikke
>>som udgangspunkt har rettigheder til at åbne en arbitrær
>>listener-socket på maskinen. Virusser, der medbringer en bagdør, vil
>>altså ikke kunne åbne en listener-socket ud imod verdenen.
>
> Er du sikker på det? Det ville betyde at ting som FTP og ICQ ville
> kræve administrator-rettigheder.

.... vel ikke nødvendigvis. Hvis du mener "FTP-Server", så har du nok ret
- men det skulle være fint muligt at oprette en forbindelse ud i verden
med en arbitrær source-port. Jeg antager, at det samme er gældende for
ICQ, hvor man først tager kontakt til en server ved login.

> Indtil videre har undskyldningen for at køre som administrator været
> primært spil, specielt har en stor amerikansk software-producent
> (der begynder med "Mi") store problemer ved at få deres spil til at
> køre fornuftigt under nyere windows-versioner, og vil helst stadig
> have Windows95-agtige administratorrettigheder.

Jeg har også prøvet dette. Fx er det ikke muligt at bruge MS PhotoDraw
uden at være mindst Power-User.

I øvrigt - det jeg gjorde var at starte et lille C#-program, der fungerer
som serverdelen af en dist. client/server applikation. Serveren åbner en
lyttende port på port 10303. Inden jeg åbnede programmet, tog jeg listen
af åbne porte og sikrede mig, at den ikke var åben i forvejen. Efter jeg
åbnede programmet, afviklede jeg igen netstat -ano, og den var heller
ikke åben bagefter. Da jeg afviklede det samme på program på en Windows
2000 Pro med admin-rettighder, kom porten frem som LISTENING via netstat
-a.

--
Jesper Stocholm
http://stocholm.dk
Linux advocacy how-to:
http://www.datasync.com/~rogerspl/Advocacy-HOWTO-5.html

---

Den Sun, 22 Feb 2004 09:01:21 +0000 (UTC) skrev Jesper Stocholm:
>Kent Friis wrote :
>
>> Den Sat, 21 Feb 2004 19:18:41 +0000 (UTC) skrev Jesper Stocholm:
>>>Jesper Stocholm wrote :
>>>
>>>> Peter Kruse wrote :
>>>>>> 2.
>>>>>> Installere en bagdør, dvs åbne en listener-socket på en
>>>>> eller anden port.
>>>>>
>>>>> Nej. Rettighederne for "bruger" tillader det ikke medmindre
>>>>> disse rettigheder er blevet udvidet af
>>>>> systemadministratoren.
>>>
>>>Jeg vil lige tilføje, at jeg har lavet en lille test, der viser at en
>>>bruger oprettet på Windows XP Home i gruppen "begrænset bruger" ikke
>>>som udgangspunkt har rettigheder til at åbne en arbitrær
>>>listener-socket på maskinen. Virusser, der medbringer en bagdør, vil
>>>altså ikke kunne åbne en listener-socket ud imod verdenen.
>>
>> Er du sikker på det? Det ville betyde at ting som FTP og ICQ ville
>> kræve administrator-rettigheder.
>
>... vel ikke nødvendigvis. Hvis du mener "FTP-Server", så har du nok ret
>- men det skulle være fint muligt at oprette en forbindelse ud i verden
>med en arbitrær source-port. Jeg antager, at det samme er gældende for
>ICQ, hvor man først tager kontakt til en server ved login.

FTP har den skumle ide at den connecter "baglæns" for at overføre
data - serveren connecter til klienten, som har oprettet en listen
socket til formålet. Hvis man slår passiv ftp til, connecter den
dog normalt, men det gør man normalt kun hvis man har en grund til
det.

ICQ overfører bl.a. filer direkte fra klient til klient, og for at
det virker, er klienten nødt til at have en listen-socket.

>> Indtil videre har undskyldningen for at køre som administrator været
>> primært spil, specielt har en stor amerikansk software-producent
>> (der begynder med "Mi") store problemer ved at få deres spil til at
>> køre fornuftigt under nyere windows-versioner, og vil helst stadig
>> have Windows95-agtige administratorrettigheder.
>
>Jeg har også prøvet dette. Fx er det ikke muligt at bruge MS PhotoDraw
>uden at være mindst Power-User.
>
>I øvrigt - det jeg gjorde var at starte et lille C#-program, der fungerer
>som serverdelen af en dist. client/server applikation. Serveren åbner en
>lyttende port på port 10303. Inden jeg åbnede programmet, tog jeg listen
>af åbne porte og sikrede mig, at den ikke var åben i forvejen. Efter jeg
>åbnede programmet, afviklede jeg igen netstat -ano, og den var heller
>ikke åben bagefter. Da jeg afviklede det samme på program på en Windows
>2000 Pro med admin-rettighder, kom porten frem som LISTENING via netstat

Den oprettede porten uden at melde fejl, den blev bare ikke synlig
i netstat? Umiddelbart vil jeg have mere mistanke til netstat, var
der ikke noget med en bug i netstat under XP?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

leeloo@phreaker.net (Kent Friis) wrote in news:c1a31i$55e$2@sunsite.dk:

> Den Sun, 22 Feb 2004 09:01:21 +0000 (UTC) skrev Jesper Stocholm:
>>Kent Friis wrote :

>>> Er du sikker på det? Det ville betyde at ting som FTP og ICQ ville
>>> kræve administrator-rettigheder.
>>
>>... vel ikke nødvendigvis. Hvis du mener "FTP-Server", så har du nok
>>ret - men det skulle være fint muligt at oprette en forbindelse ud i
>>verden med en arbitrær source-port. Jeg antager, at det samme er
>>gældende for ICQ, hvor man først tager kontakt til en server ved
>>login.
>
> FTP har den skumle ide at den connecter "baglæns" for at overføre
> data - serveren connecter til klienten, som har oprettet en listen
> socket til formålet. Hvis man slår passiv ftp til, connecter den
> dog normalt, men det gør man normalt kun hvis man har en grund til
> det.

OK - det var jeg ikke klar over.

> ICQ overfører bl.a. filer direkte fra klient til klient, og for at
> det virker, er klienten nødt til at have en listen-socket.

Ja, men ganske alm chat via ICQ gør vel ikke det - og det er vel netop
derfor overførsel af filer ofte ikke virker, hvis man tilgår internettet
igennem en firewall eller en NAT-router (jeg skal lige understrege, at
jeg er på lidt tynd is her - hvis det er helt hen i vejret, det jeg
siger)

>>I øvrigt - det jeg gjorde var at starte et lille C#-program, der
>>fungerer som serverdelen af en dist. client/server applikation.
>>Serveren åbner en lyttende port på port 10303. Inden jeg åbnede
>>programmet, tog jeg listen af åbne porte og sikrede mig, at den ikke
>>var åben i forvejen. Efter jeg åbnede programmet, afviklede jeg igen
>>netstat -ano, og den var heller ikke åben bagefter. Da jeg afviklede
>>det samme på program på en Windows 2000 Pro med admin-rettighder, kom
>>porten frem som LISTENING via netstat
>
> Den oprettede porten uden at melde fejl, den blev bare ikke synlig
> i netstat? Umiddelbart vil jeg have mere mistanke til netstat, var
> der ikke noget med en bug i netstat under XP?

Programmet har jeg skrevet for nogle måneder siden, og jeg kan ikke
huske, om jeg tilføjede noget GUI error-handling omkring oprettelse af
listener-socket, eller jeg blot smed eventuelle fejl i et sort hul.
Derfor er det principielt muligt at den fik en fejl under oprettelse -
men blot ikke sagde noget om det. Omvendt er det jo også muligt, at der
er en bug i netstat.

Når jeg kommer hjem, vil jeg lige prøve at se, om jeg kan forbinde til
maskinen på den aktuelle port. Det fik jeg ikke prøvet i går.

--
Jesper Stocholm http://stocholm.dk

Programmer's code comment:
//It probably makes more sense when you're stoned.

---

Den Sun, 22 Feb 2004 11:38:13 +0000 (UTC) skrev Jesper Stocholm:
>leeloo@phreaker.net (Kent Friis) wrote in news:c1a31i$55e$2@sunsite.dk:
>
>> Den Sun, 22 Feb 2004 09:01:21 +0000 (UTC) skrev Jesper Stocholm:
>>>Kent Friis wrote :
>
>>>> Er du sikker på det? Det ville betyde at ting som FTP og ICQ ville
>>>> kræve administrator-rettigheder.
>>>
>>>... vel ikke nødvendigvis. Hvis du mener "FTP-Server", så har du nok
>>>ret - men det skulle være fint muligt at oprette en forbindelse ud i
>>>verden med en arbitrær source-port. Jeg antager, at det samme er
>>>gældende for ICQ, hvor man først tager kontakt til en server ved
>>>login.
>>
>> FTP har den skumle ide at den connecter "baglæns" for at overføre
>> data - serveren connecter til klienten, som har oprettet en listen
>> socket til formålet. Hvis man slår passiv ftp til, connecter den
>> dog normalt, men det gør man normalt kun hvis man har en grund til
>> det.
>
>OK - det var jeg ikke klar over.
>
>> ICQ overfører bl.a. filer direkte fra klient til klient, og for at
>> det virker, er klienten nødt til at have en listen-socket.
>
>Ja, men ganske alm chat via ICQ gør vel ikke det - og det er vel netop
>derfor overførsel af filer ofte ikke virker, hvis man tilgår internettet
>igennem en firewall eller en NAT-router (jeg skal lige understrege, at
>jeg er på lidt tynd is her - hvis det er helt hen i vejret, det jeg
>siger)

Lige præcis. Men forskellen er at med en firewall kan ICQ godt oprette
porten, der kommer bare aldrig nogen connections. Hvis den ikke får
lov til at oprette porten, kunne den godt finde på at afslutte med
en fejlmelding, eller endnu værre - ikke checke for om det går godt,
og når så den forsøger at bruge socket'en brage ned med en null pointer
fejl.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/