PCFreak Logo (c) Der PCFreak

Archive for the 'Windows' Category


Wenn dir dein Virenscanner nicht hilft – Hilf dir selbst! Kommentare deaktiviert für Wenn dir dein Virenscanner nicht hilft – Hilf dir selbst!

Folgene Email schlug heute im Posteingang auf. Normalerweise hätte ich sie sofort gelöscht, da ich

  • kein Kunde bei der Deutschen Bank bin,
  • die Deutsche Bank bestimmt nicht als brucebaldwin-at-shaw.ca verschickt,
  • und die Deutsche Bank bestimmt korrekt mit deutschen Umlauten umgehen kann.

 

Deutsche Bank Fake Email

Deutsche Bank Fake Email

Aber ich dachte mir, es kann nicht schaden, die angehängte Excel-Datei mal bei Virustotal hochzuladen, doch entgegen meiner Erwartung zeigten alle 53 Virenscanner kein Ergebnis, die Datei ist also anscheinend sauber oder sagen wir besser, sie enthält vmtl. keinen Schadcode, aber trotzdem wurde nun mein Interesse geweckt und ich analysierte weiter.

Zunächst benutzte ich das Tool OfficeMailScanner, es erkannte keine verdächtigen Inhalte in der angehängten Excel-Datei, danach öffnete ich das Excel-Dokument mit einem Texteditor und fand folgende Textpassagen:

  • http://schemas.microsoft.com/cdo/configuration/sendusing;mail.arnes.si
  • http://schemas.microsoft.com/cdo/configuration/smtpserver
  • http://schemas.microsoft.com/cdo/configuration/smtpserverport
  • http://schemas.microsoft.com/cdo/configuration/smtpauthenticate
  • http://schemas.microsoft.com/cdo/configuration/sendusername
  • http://schemas.microsoft.com/cdo/configuration/sendpassword

Ich konnte also davon ausgehen, dass in der Excel-Datei irgendetwas versuchen wird eine Email zu schicken.

Im Anschluss traute ich mich dann das Dokument in einer kontrollierten Umgebung und mit deaktivierten Makros in Excel zu öffnen und es war (wie erwartet) ein in Excel eingebettetes Formular.

Deutsche Bank Fake Formular in Excel

Deutsche Bank Fake Formular in Excel

Über die Entwicklertools wollte ich dann das eingebette VBA-Projekt einsehen, aber es war leider mit einem Passwort geschützt.
Dafür gibt es aber einen einfachen Trick: Man öffnet das Excel-Dokument mit einem Hex-Editor und ersetzt alle Strings „DPB“ nach „DPx“ und öffnet dann das VBA-Projekt. Es wird zwar eine Fehlermeldung angezeigt, aber das Passwort ist Geschichte!

So nun hier ein Auszug aus dem VBA-Projekt:

Auszug VBA-Projekt

Auszug VBA-Projekt

 

Es ist also nun klar, dass das Excel-Formular wie vermutet über einen SMTP-Server (mail.arnes.si) die Formulardaten an umeda-at-jdp-co.jp verschickt und als Absender eine DE-Email-Adresse verwendet.

Es scheint so, dass bei den Antivirus-Herstellern ein zu hoher Automatismus eingeführt wurde. Die manuelle Prüfung der Excel-Datei durch einen Menschen hätte ergeben, dass es sich hier um eine Phishing-Mail handelt und sie müsste meiner Meinung nach blockiert werden. Ich habe die Datei noch einmal manuell an unseren Virenscanner-Hersteller geschickt, mal sehen wie die Antwort aussehen wird.

Klar kann man argumentieren, dass in der Datei kein Schadcode enthalten ist, der auf dem Rechner etwas Böses tut, allerdings blockieren Virenscanner auch Phising URLs, warum dann nicht Phishing-Formulare in Excel-Dokumenten?

 

 

Windows ISOs bei Microsoft herunterladen Kommentare deaktiviert für Windows ISOs bei Microsoft herunterladen

Hier eine kurze Zusammenfassung des Videos von „SemperVideo„.

Die TechBench-Seite bei Microsoft öffnen, danach den Debugger des Browsers starten (F12) und in die Konsole folgendes Skript pasten und ausführen.

Nun erweitert sich die TechBench-Webseite und man kann derzeit folgende ISOs herunterladen:

 

Bild

Die gewünschte Sprache kann auch noch gewählt werden. Optimal also für eine schnelle Test-VM!

Interessantes zu 64-Bit-Windows Kommentare deaktiviert für Interessantes zu 64-Bit-Windows

Hier einige nützliche Links und Informationen, welche die 64-Bit-Versionen von Windows betreffen:

Links:

www.faq-o-matic.net/2010/12/08/wo-ist-die-hosts-datei-unter-64-bit-windows/

blogs.msdn.com/b/freik/archive/2004/11/05/252974.aspx

www.sepago.com/blog/2008/03/13/jailed-32-bit-processes-on-windows-x64-update

msdn.microsoft.com/en-us/library/aa384232(VS.85).aspx

msdn.microsoft.com/en-us/library/aa384187(VS.85).aspx

msdn.microsoft.com/en-us/library/aa384235(VS.85).aspx

msdn.microsoft.com/en-us/library/aa384274.aspx

www.sepago.com/blog/2008/01/09/windows-x64-all-the-same-yet-very-different-part-1-virtual-memory

www.sepago.com/blog/2008/01/23/windows-x64-all-the-same-yet-very-different-part-2-kernel-memory-3gb-ptes-non-paged

https://www.sepago.com/blog/2008/02/05/windows-x64-all-the-same-yet-very-different-part-3-cpus-amd64-intel-64-em64t-itanium

Windows x64 – All the same yet very different Part 4

www.sepago.com/blog/2008/03/11/windows-x64-all-the-same-yet-very-different-part-5-ntvdm-services-wow64

www.sepago.com/blog/2008/04/02/windows-x64-all-the-same-yet-very-different-part-6-com-dlls-and-processes

www.sepago.com/blog/2008/04/20/windows-x64-all-the-same-yet-very-different-part-7-file-system-and-registry

 

Und hier noch ein Auschnitt:

Unerwarteterweise kommt man auch von 32-Bit-Prozessen an die Hosts-Datei heran. Es gibt sogar zwei unterschiedliche Methoden, die jedoch beide voraussetzen, dass jeweils der volle Pfad in einem Stück angegeben werden muss. Sich gemütlich Verzeichnis für Verzeichnis von C: aus bis zu etc durchzuklicken funktioniert im ersten der beiden unten gezeigten Fälle nicht, weil das darüberliegende Verzeichnis System32 für 32-Bit-Prozesse nach SysWoW64 umgeleitet ist, und im zweiten weil Sysnative nicht in im Explorer angezeigt wird (wohl aber zum Beispiel im Total Commander).

•%systemroot%\System32\drivers\etc:
Dies funtioniert, weil die Umleitung für das Unterverzeichnis etc deaktiviert ist, so dass die direkte Navigation dorthin ohne Zwischenstopp bei System32 auch für 32-Bit-Prozesse möglich ist.

•%systemroot%\Sysnative\drivers\etc:
Sysnative ist ein Alias, der vom WoW64-Subsystem explizit zum Zweck des Zugriffs auf das echte System32-Verzeichnis erzeugt wird. Dieser Alias ist somit nur bei 32-Bit-Prozessen aktiv. Da er nicht in Verzeichnislistings angezeigt wird, ist er weithin unbekannt.

z.B. Mit der 32-Bit-Version von notepad++ kommt man über %systemroot%\sysnative\drivers\etc\hosts zur hosts-Datei!

Mumble Client Windows 10 no sound – solved Kommentare deaktiviert für Mumble Client Windows 10 no sound – solved

Today I tried the Mumble Client 1.2.13 on Windows 10. Everything looked fine but I could not hear anything through my headset, while the microphone worked without any problems. After some tests I found out, that I had to change the sample rate of my headset. I chose the setting by trial & error until I heard a sound.

Here is a screenshot of the settings dialog, maybe it will help you, too.

Bild

Windows XP enable MultiCore after SingleCore installation Kommentare deaktiviert für Windows XP enable MultiCore after SingleCore installation

When you install Windows XP on a single core machine (virtual or physical) it remembers that CPU model. Even if you change the CPU or add more cores it will still just use a single core.

To make the system aware of a multicore CPU you can do the following trick:

1. Download the command line devicemanager utility (devcon.exe) from Microsoft (never version will work but make sure you use the correct version (x86/x64)).

2. Execute the following 2 commands:

devcon sethwid @ROOT\ACPI_HAL\0000 := +acpiapic_mp !acpiapic_up
devcon update c:\windows\inf\hal.inf acpiapic_mp

Then let the automatic hardware detection do the job and wait until you get prompted for a reboot. – Reboot

You should now see all cores!

Background information:
When changing the CPU/Cores Windows XP needs to update the HAL (Hardware Abstraction Layer). The above 2 commands do exactly this.

I needed this for a virtual Windows XP machine (VirtualBox), worked perfect!

VirtualBox eigenes BIOS-Logo erstellen und einbinden Kommentare deaktiviert für VirtualBox eigenes BIOS-Logo erstellen und einbinden

VirtualBox zeigt beim Start einer VM immer kurz das VirtualBox Logo an. Es gibt die Möglichkeit, ein selbst erstelltes Logo anzuzeigen. Ich beschreibe hier in kurzen Schritten, wie man ein Logo mit GIMP erstellt und wie man es dann in eine existierende VM einbindet.

  1. Erstellen des Logos (640×480 72dpi RGB)
    In GIMP (englisch): File –> New

     

    Bild

  2. Bild bearbeiten
  3. Export des Bildes
    In GIMP (englisch):
    File –> Export –> <filename.bmp> –> Export
    Im darauf folgenden Dialog folgende Einstellungen durchführen:

     

    Bild

    Das Bild legt man am besten im Ordner der virtuellen Maschine ab.

  4. Einbinden des Logos in die VM
    Die Einbindung des Logos in eine VM erfolgt über die Kommandozeile. Wir benutzen dazu das Kommando „vboxmanage“. Es unterstützt folgende Optionen die für das Einbinden eines BIOS-Logos zuständig sind:

    [--bioslogofadein on|off]
    [--bioslogofadeout on|off]
    [--bioslogodisplaytime <msec>]
    [--bioslogoimagepath <imagepath>]

    ! Wichtig ! Bei der Angabe des Logos muss der komplette Pfad angegeben werden, leider funktionieren hier keine relativen Pfade.

    Möchte man also einer virtuellen Maschine mit der Bezeichnung „Win8“ ein BIOS-Logo mit dem kompletten Pfad V:\VMs\windows8\bootlogo.bmp für 3 Sekunden (3000ms) beim Start der VM anzeigen lassen und noch einen schönen Ein- und Ausblendeeffekt erreichten muss man folgenden Befehl absetzen:

    vboxmanage modifyvm "Win8" --bioslogoimagepath "V:\VMs\windows8\bootlogo.bmp" --bioslogofadein on --bioslogofadeout on --bioslogodisplaytime 3000

  5. Test
    Nun sollte beim nächsten Start der entsprechenden VM das von uns erstellte Logo angezeigt werden.

    virtualbox-bios

OpenVPN without administrative privileges (nonpriviledged user) on Windows using the great Sophos SSL VPN Client 1

OpenVPN or also sometimes called SSL-VPN is a very cool VPN technology. Problem is, that a lot of client software that is compatible with OpenVPN only works if the user that initiates the connection has administrative privileges. I did a lot of investigation and my early solutions were

  • SecurePoint OpenVPN Client (in my opinion not very stable)
  • Scheduled Tasks at logon of a user that executes OpenVPN with highest privileges (could lead to privilege escalation)
  • … and a lot of other custom stuff I tried

All of the above solutions were not usable, instable or unsecure and could not be used in a corporate environment. Glad I found the

  • Sophos SSL VPN Client

This client is perfect! It has the following features:

  • compatible with OpenVPN
  • multilanguage support (Chinese, Danish, German, English, Spanish, Finnish, French, Italien, Japanese, Dutch, Norwegian, Polish, Portuguese, Russian, Swedish, Turkish)
  • when installed works without admin privileges (it uses a service)

So any of you that is searching for a working OpenVPN client for nonpriviledged users, this is your solution!

Now the question, where can you get the client? The client is bundled within the „Sophos UTM“ Firewall product and can usually only be used if you have an installation of the firewall running somewhere. Since there is also a free version of the firewall available for download, this is not a big problem:

  1. Download the latest ISO from ftp://ftp.astaro.com/UTM/v9/software_appliance/iso/
  2. Open the downloaded ISO with 7Zip
  3. Inside 7Zip navigate to …\latest_asg_XX_software.iso\install\rpm\client-openvpn-9.25-18.g09bbfdc.rb1.noarch.rpm\client-openvpn-9.25-18.g09bbfdc.rb1.noarch.cpio\.\var\confd\res\openvpn\ *Bild
  4. Extract „ssl-vpn-client-installer.exe“ and install it on your windows machine
  5. Copy your OpenVPN configuration file (*.ovpn) to „C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\<subfolder>\“ and establish a connection by right clicking the tray icon TrayIcon.

*The name of the *.cpio file may vary depending on your version of the ISO file

For me this is currently the best OpenVPN client. As far as I could see, there is no information within the „Sophos SSL VPN Client“ licenses, that prohibits the usage of the client.

IMAPSize – eml2mbox – mbox2eml Kommentare deaktiviert für IMAPSize – eml2mbox – mbox2eml

Ich war heute auf der Suche nach einem Tool, welches einen Ordner voller E-Mails (*.eml) in das mbox-Format konvertieren kann. Ich dachte natürlich, da gibts für Linux bestimmt was out-of-the-box. Leider fand ich nur das Tool „eml2mbox“ auf dieser Seite http://www.broobles.com/eml2mbox/, welche allerdings mit der aktuellen Version von Ruby nicht kompatibel war.

Netterweise verweist der Autor auf seiner Homepage u.a. auch auf das kostenlose Tool „IMAPSize“ http://www.broobles.com/imapsize, es enthält neben seiner eigenen Funktion im Reiter „Tools“ auch die Funktionen

  • eml2mbox
  • eml2mboxes
  • mbox2eml

welche anstandslos funktionieren. Da ich hier aber unter Linux unterweg bin, habe ich kurzerhand das Tool mit wine gestartet und es hat perfekt funktioniert. Man kann also IMAPSize perfekt unter Windows und Linux einsetzen.

Hat man die E-Mails dann erst mal im MBOX-Format, kann man sie in die meisten E-Mail-Programme importieren. Für Thunderbird gibt es außerdem noch die ImportExportTools als Addon https://addons.mozilla.org/en-US/thunderbird/addon/importexporttools/. Damit hat man das perfekte Werkzeug um z.B. von Windows Live-Mail über IMAPSize nach Thunderbird umzuziehen.

Ketarin – Keep your setup packages up-to-date Kommentare deaktiviert für Ketarin – Keep your setup packages up-to-date

Ketarin ist ein kleines Programm welches automatisch Setup-Pakete aktuell halten kann. Im Gegensatz zu anderen Tools ist es NICHT dafür entwickelt worden alle installierten Programme aktuell zu halten. Es wurde entwickelt um den Quellordner für Installationen immer aktuell zu halten, sodass bei der Installation eines neuen Computers immer die aktuellsten Setup-Kits verwendet werden können.

ketarin01

 

Wie funktioniert das Ganze?
Grundsätzlich überwacht das Programm den Inhalt von Internetseiten auf Änderungen. Falls eine Änderung erkannt wird (Hersteller aktualisiert sein Programm), wird automatisch die neueste Version des Programms heruntergeladen und gespeichert. Diesen Prozess kann man automatisieren, da das Programm diverse Übergabeparameter unterstützt, die das ermöglichen.

Grundsätzlich muss man jede Applikation, die man mit Ketarin automatisiert aktuell halten möchte in Ketarin manuell einpflegen. Für Einsteiger bietet die Software jedoch die Möglichkeit, die Konfiguration für populäre Programme aus einer Online-Datenbank zu importieren oder sehr einfach über die „Filehippo ID“ einzupflegen. (Filehippo ist eine Internetseite, welche aktuelle Installationspakete der bekanntesten Software-Produkte zentral zum Download anbietet.)

Für den erfahrenen Benutzer bietet Ketarin viel mehr Möglichkeiten und lässt sich individueller einsetzen. Er kann z.B. aus Webseiten Versionsnummern über reguläre Ausdrücke ermitteln, dadurch automatisiert Dateinamen erzeugen und diese dann als Variablen in den Downloadlink einfügen, vor oder nach dem Downloaden Befehle ausführen und für eine automatisierte Installation der Software die entsprechenden Parameter hinterlegen. Desweiteren können eingepflegte Setups zu Paketen zusammengefasst werden und diese dann (sofern vorher entsprechend konfiguriert) vollautomatisch installiert werden!

Bild

 

Ketarin eröffnet viele Möglichkeiten und kann für viele Aufgaben eingesetzt werden. Ich benutze es z.B. seit kurzem um immer die aktuellste Version der Browser-Plugins (Flash/Java) in meinen Installations-Ordner zu haben, da z.B. Oracle kein RSS-Feed hat und so die Prüfung auf neue Versionen immer manuell erfolgen musste.

Ich möchte mich an dieser Stelle kurz bei Simon Zerafa bedanken, der mich kürzlich in einer Twitter-Konversation auf dieses Tool hingewiesen hat.

Oracle Java Adware blockieren Kommentare deaktiviert für Oracle Java Adware blockieren

Die Java Runtime von Oracle installiert gelegentlich sogenannte „AdWare“ mit. Möchte man präventiv die Installation unterbinden, so lässt sich das durch Setzen eines Registry-Keys realisieren.

Auf dem System (vor der Installation von Java) folgenden Registry-Key setzen:

64Bit
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft]
„SPONSORS“=“DISABLE“

32Bit
[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
„SPONSORS“=“DISABLE“

Diesen Registry-Key prüft das Setup und installiert bei obigen Einträgen keine „SPONSORS“, also keine „AdWare“.
Ich würde bei einem 64Bit-System beide Schlüssel eintragen, da hier sowohl die 32- als auch die 64-Bit Variante installiert werden könnte.

Die Information stammt aus der ct‘ 07/2014

Nächste Seite »