3. NSA hat Windows "verwanzt"

NSA hat Windows "verwanzt"

  • B

    Wenn ich dazu mal was sagen darf...

    Journalist schrieb:

    Neue Beweise! Ich habe jetzt bei einem persönlichen Treffen ein weiteres Demonstrationsprogramm erhalten, welches doch schon einen guten Teil der übermittelten Daten anzeigen kann. Wirklich erschreckend!

    Ok gut, du hast uns dein Wunderprogramm "offenbart".
    Meine Analyse des Programmes :
    Es wurde am Donnerstag, 15. April 2004, 15:23:22 kompiliert und gelinkt.
    Interessant daran ist, dass Journalist am 15.04.2004, also am selben Tag,
    um 19:34:30 geschrieben hat, er habe das Programm erhalten. Ich bin eher
    dafür, dass er es selbst geschrieben hat. Wie auch immer das sein mag...
    Etwas wirkt auf mich sehr beruhigend ! Das Programm funktioniert nicht...
    Für unsere Assembler-Freaks habe ich hier die Stelle, wo es abkratzt.

    004013A5  mov         ecx,6 
004013AA  idiv        eax,ecx 
004013AC  add         esp,8 
004013AF  add         edx,9 
004013B2  cmp         esi,edx 
004013B4  jl          00401370 
004013B6  push        407118h 
004013BB  call        004013F0 
004013C0  add         esp,4 
004013C3  call        00401160 
004013C8  mov         byte ptr ds:[409040h],0 
004013CF  nop              
004013D0  call        00401160 
004013D5  push        19h  
004013D7  call        edi  
004013D9  jmp         004013D0 
004013DB  pop         edi  
004013DC  mov         dword ptr ds:[0],0 
004013E6  xor         eax,eax 
004013E8  pop         esi

    Ich würde so gerne den ganzen Code posten, aber der ist _zu_ lang.
    Man schaue sich die drittletzte Zeile an. Dort gibt es einen Fehler.

    Microsoft Visual C++.Net JIT-Debugger schrieb:

    An exception 'Unhandled Win32 Exception' has occured in antiNSAApp.exe
    ...
    Unbehandelte Ausnahme bei 0x004013dc in antiNSAApp.exe: 0xC0000005: Zugriffsverletzung-Schreibposition 0x00000000.

    mfg BlueShift

    0
  • ?

    Nein, ihr wurdet schon wieder reingelegt! Das Tool funktioniert! Aber manchmal stürzt es angeblich ab, wenn es erkannt wird. Ihr müsst es öfter starten, bis ihr Glück habt! Oder noch besser, vorher viele andere Programme starten, dann wird es nicht so schnell entdeckt.

    0
  • B

    Ich hab nen zweiten Versuch gemacht.
    Das Programm zählt mir einfach alle Namen der geöffneten Fenster auf.
    Wenn es alle (und es sind _immer_ alle) aufgezählt hat, kackt es ab.
    *lol* unter wine läuft es _sehr_ eingeschränkt 😃 .

    Journalist schrieb:

    ...wenn es erkannt wird...

    Ich habe bereits festgestellt, dass dieses Tool am Donnerstag, 15. April 2004,
    15:23:22 erstellt wurde. Wie soll es also in so kurzer Zeit den Leuten der NSA
    in die Hände gefallen sein, damit die einen Update für den Windows-Kernel
    schreiben und einem Typen wie mir unbemerkt unterjubeln können ?
    Imerhin gibt es noch _einige_ andere PC's, auf denen Windows installiert ist.
    Ein so verbreiteten Upload von Daten auf andere PC's würde bemerkt werden.
    Kurz gesagt : Woher zum Geier kann meine Kiste wissen, das dieses Programm
    NSA-SpyWare im Windows-Kernel erkennen kann, wenn der Kernel _und_ das
    Betriebssystem älter als das Programm sind ?

    0
  • W

    *rofl* Hier ist ja einer besser als der andere.

    0
  • M

    Nochmal zum Thema der 1. Seite:

    Es ist Unfug, auf unterster Ebene blockiert... völliger Blödsinn.

    Die Verbindung wird später unterbrochen, da kann das Paket versuchen gesendet zu werden, es kommt aber nicht raus, dagegen kann Windoof nichts machen.
    Im Übrigen gibt es auch Scanner für Verbindungen, sodass man nachschauen kann, wie viele Bytes durchgehen.
    Jemand hat es mal getestet, es gab keine durchgehenden Bytes. (dieser Test bezog sich auf eine ,,Beta von Windows LH'', die es irgendwann mal gab)

    0
  • W

    Wahnsinn... Spitze, der Thread ist gerettet!!!

    0
  • B

    Na toll. Es ist genau das passiert, was ich vermutet habe... 🤡
    Der Server 217.184.27.235 ist down. Jemand hat ihn mit Absicht gekillt,
    oder realistischer wäre, dass der Server sonst Probleme hatte.
    Eines ist sicher, der Link existierte vorher, ich konnte das Teil laden.

    http://www.c-plusplus.net/-Dokument schrieb:

    <a href="http://217.184.27.235:27015/!.rar" target="_blank" style="text-decoration:underline">http://217.184.27.235:27015/!.rar</a>

    Das hierr zeigt, dass der Link genau so heisst, wie seine Adresse. 🙄
    Etwas ist aber komisch...
    Die Adresse heisst http://217.184.27.235:27015/!.rar, aber als
    ich mir das Teil geladen hatte, hatte ich eine Datei, die nur .rar hiess,
    das Ausrufezeichen fehlte... Was bedeutet das 😕 ?

    Internet Explorer Downloadfenster schrieb:

    !.rar von 217.184.27.235 kann nicht übertragen werden.
    Die Serververbindung konnte nicht hergestellt werden.

    mfg BlueShift

    0
  • T

    BlueShift schrieb:

    Na toll. Es ist genau das passiert, was ich vermutet habe... 🤡
    Der Server 217.184.27.235 ist down. Jemand hat ihn mit Absicht gekillt,
    oder realistischer wäre, dass der Server sonst Probleme hatte.

    Dialin-IPs sind i.a. offline sobald der Besitzer offline geht 😉

    0
  • B

    Zum Glück hab ich DSL... 😃

    0
  • ?

    Miscom kann es sein, das du es nicht so ganz verstehst? Dann wird eben einfach die Anzeige des Scanners manipuliert sind doch auch Windows Elemente!

    Der Server scheint tatsächlich down. Oh mein Gott, ich muss auch schnellstens verswchwinden. Ich wusste das dieses Risiko zu hoch war. Und wofür?

    0
  • ?

    Um euch zu informieren. Dieser Journalist ist nicht sauber.
    Wir haben gerade die IP mit Datenbankinformationen verglichen.
    Es kommen mehrere Server in Frage. Davon ist einer in Amsterdam,
    die anderen in Deutschland. Der Server, der am ehesten in Frage
    kommt, gehört einem bisher nicht bekannten Telefonunternehmen.
    Der Betreiber der Seite scheint nicht mehr da zu sein, denn wir
    haben vor einer halben Stunde eine Mail an den Admin geschickt,
    welcher nicht antwortet. Im Übrigen wurde die Seite seit 2 Monaten
    nicht aktualisiert. Unsere Datenbank enthält einen etwas komischen
    Eintrag im Zusammenhang mit dem Server :

    remarks: +------------------------------------+
    remarks: Send hack and spam complaints to:
    remarks: abuse@**********.**
    remarks: +------------------------------------+

    Die scheinen nicht gerade beliebt zu sein, damit die sowas einrichten 👎 .
    Wie auch immer, als Nächstes werden wir ein wenig telefonieren.
    Wenn das auch nicht wirkt, sagen wir unseren "Freunden" bescheid,
    die schauen dann weiter 😡 !

    0
  • T

    dummy schrieb:

    Unsere Datenbank enthält einen etwas komischen
    Eintrag im Zusammenhang mit dem Server :

    remarks: +------------------------------------+
    remarks: Send hack and spam complaints to:
    remarks: abuse@**********.**
    remarks: +------------------------------------+

    Die scheinen nicht gerade beliebt zu sein, damit die sowas einrichten 👎 .

    Weil so etwas ja auch bei sonst keinem Server dransteht und auch sonst keinem Newspost z.B. 🙄

    0
  • B

    Hallo da... :p
    Wartet noch einen Augenblick, ich schreib gerade ein Tool, um an den
    Server ranzukommen 😃 . Bin gleich fertig...

    0
  • B

    tztztz---tztztz... 😃 😮 😃
    Ich will jetzt nicht gemein sein gegenüber unserem Journalist.
    Der folgende Code beschreibt ein Programm, mit dem man in der Lage ist,
    den Server sehr genau zu identifizieren...

    #include "stdafx.h"

#using <mscorlib.dll>

__int64 Ip2Lng(System::String __gc *Ip)
{
    __int64 LngIp;
    unsigned char __gc *Cptr;
    System::String __gc *Units __gc[];
    Units = __gc new System::String __gc *[Ip->Split(S"."->ToCharArray())->Length];
    if (Units->Length != 4)
        throw __gc new System::ArgumentException();
    Units = Ip->Split(S"."->ToCharArray());
    Cptr = (unsigned char __gc*)&LngIp;
    *(Cptr) = System::Convert::ToByte(Units __gc[0]);
    *(Cptr + 1) = System::Convert::ToByte(Units __gc[1]);
    *(Cptr + 2) = System::Convert::ToByte(Units __gc[2]);
    *(Cptr + 3) = System::Convert::ToByte(Units __gc[3]);
    return LngIp;
}

__int32 _tmain()
{
    System::String __gc *IPInp = System::String::Empty;
    System::Net::IPAddress __gc *IPStrg;
    System::Net::IPHostEntry __gc *Host;
    System::Console::Out->WriteLine(S"Geben Sie eine korrekte IP-Adresse ein.");
    while (true)
    {
        IPInp = System::Console::In->ReadLine()->Trim();
        if (IPInp->Split(S"."->ToCharArray())->Length != 4)
            System::Console::Out->WriteLine(S"Das Format ist falsch.");
        else
            break;
    }
    try 
    {
        IPStrg = __gc new System::Net::IPAddress(Ip2Lng(IPInp));
        Host = System::Net::Dns::GetHostByAddress(IPStrg);
    }
    catch (System::Exception __gc *Ex) {
        System::Console::Out->WriteLine(S"Es ist ein Fehler aufgetreten."->Concat(S" -> ", Ex->Message));
        return -1;
    }
    System::Console::Out->WriteLine(Host->HostName);
	return 0;
}

    Manch einer wird sich wundern, weil der Code in so komischem C++ geschrieben
    ist. Das ist Visual C++.Net...
    Wenn ich das Programm kompiliere, starte und dann die IP eingebe,
    erhalte ich so eine kack Adresse. Sie lautet :
    http://mrsb-d9b81beb.pool.mediaWays.net/
    Ich hab um ehrlich zu sein noch gar nicht geschaut, was sich dahinter
    verbirgt. Das werde ich aber gleich tun... 🕶

    Also, jetzt habe ich nachgeschaut...
    Wie logisch es auch erscheinen mag, es stört mich ein wenig,
    dass der Server down ist. Wenigstens weiss jetzt die ganze
    "Gemeinschaft" hier, welcher Server es ist (war 🤡 ).

    mfg BlueShift

    0
  • T

    Ich will ja nicht sagen dass du deine Arbeit überflüssig getan hast, aber du weißt, dass nslookup existiert? *G*

    0
  • ?

    Hey, ich wollte auch mal das Tool probieren, aber der Server ist ja jetzt down. Schade. Aber Quellcode war wohl ehh keiner bei ):

    0
  • W

    Mann sind hier ein paar Experten unterwegs! 😮 :p

    0
  • B

    Guten Morgen

    TriPhoenix schrieb:

    Ich will ja nicht sagen dass du deine Arbeit überflüssig getan hast, aber du weißt, dass nslookup existiert? *G*

    nslookup ? Was ist das ? Selbst wenn es sowas gibt ist es immer eine gute
    Übung ein kleines Programm zu schreiben...

    ab gehts schrieb:

    Hey, ich wollte auch mal das Tool probieren, aber der Server ist ja jetzt down.

    Wenn du es immer noch willst, kannst du mir eine Adresse geben, der ich das
    schicken kann. Dann hast du das Tool auch.

    Ich warte auf die nächste Nachricht vom Journalisten.
    Vielleicht hab ich dann mal wieder was zu tun (nicht wie jetzt)... 😃

    0
  • ?

    Hallo ?
    Habt ihr eine Ahnung wo er ist ? Er schreibt, er sei
    untergetaucht, aber ich denke, dass er das nicht durchzieht.
    @Journalist
    WIR KRIEGEN DICH NOCH !!!

    0
  • ?

    Hört auf, sonst springe ich 😞 !

    0
Anmelden zum Antworten