Neues Rootkit spioniert sehr gut getarnt Daten aus Einstellungen

[Kenshiro]

Hallo,

Das Sicherheitsunternehmen Prevx hat vor einer neuen Variante des Rootkits Mebroot gewarnt. Diese soll sich aktuell ausbreiten und über ausgefeilte Methoden verfügen, sich vor der Entdeckung durch Security-Software zu schützen.

Quelle
Winfuture

[Kenshiro]

Hier noch zum Thema:

Jacques Erasmus, Forschungsleiter bei Prevx, geht davon aus, dass die neue Rootkit-Version bereits fleißig verbreitet wird. Sie ist nur entdeckt worden, weil der PC eines Prevx-Kunden damit infiziert wurde. Es seien bereits mehrere tausend Web-Server gehackt und manipuliert worden, um die neue Mebroot-Version zu verbreiten.

Quelle

[Voyager]

ist jetzt die Frage warum das Symantec als ein Risiko aus dem Jahr 2005 erkennt ? die technischen Details passen ja nichtmal auf die Malwarebeschreibung.

http://www.symantec.com/security_response/...-99&tabid=1

[raman]

Das kommt daher, das die bei Symantec beschriebene Malware eine extrem alte Variante der "Sinoval" Gang ist.

[Kenshiro]

Bin von KL enttäuscht

[Voyager]

@raman

Danke Raman , wäre ich jetzt nicht darauf gekommen , ich kann mir kaum vorstellen das Symantec dort einfach eine Signatur nach dem Ene Mene Muh Prinzip drüberzieht , wenn würden die eher Trojan.Horse oder ähnliche Allgemeinbezeichnungen verwenden da gibts ja eine ganze Menge davon.
Aber woher weisst du jetzt das Trojan.Anserin zur "Sinoval" Gang gehört ?

Der Beitrag wurde von Voyager bearbeitet: 16.04.2009, 17:55

[raman]

Aber woher weisst du jetzt das Trojan.Anserin zur "Sinoval" Gang gehört ?

Als Dropper wird er groesstenteils immer noch als Sinoval gemeldet.

Scans sind etwas aelter(mitte Maerz)

Scan report of: 1.tmp

AntiVir RKIT/MBR.Sinowal.E
F-Secure Backdoor.Win32.Sinowal.bhc
Ikarus Backdoor.Sinowal
Kaspersky Backdoor.Win32.Sinowal.bhc
Microsoft TrojanDropper:Win32/Sinowal.gen [generic]
Nod32 Win32/Mebroot trojan
Panda Trj/Sinowal.DW
Sophos Mal/Generic-A
Sunbelt Constructor.MBR.Sinowal.E
Symantec Trojan.Mebroot

Scan report of: 2.tmp

AntiVir RKIT/MBR.Sinowal.E
AVG BackDoor.Generic10.AUKM (Trojan horse)
BitDefender Gen:Trojan.Heur.P5139C68686
Dr Web Trojan.Packed.2355
Ikarus Backdoor.Sinowal
McAfee PWS-JA.gen.b (trojan)
Microsoft TrojanDropper:Win32/Sinowal.gen [generic]
Nod32 Win32/Mebroot trojan
Symantec Downloader
Symantec (BETA) Downloader
VBA32 Backdoor.Win32.Sinowal.azz


Kenshiro, den Blogeintrag von KL find ich auch etwas "arm"

[cruchot]

Hab mal geschaut, ob man sich das Viech über die 'Malware Domain List' besorgen kann. Mebroot ist da zwar Verzeichnet, aber der Avira Webscanner meldet nix von Mebroot/Sinowal wenn man die entspr. Seiten aufruft (in einer Sandbox natürlich ;-)

[Voyager]

Die Links sind alle tot oder desinfected weil älter... ich hatte selbst schon geschaut.

[Voyager]

Ich glaube ich hab so einen Burschen gefunden der sich in das Bios der Festplatte kopiert , auf der VM + Gdata wurde er als generischer Rootkit erkannt da dachte ich mir starteste den mal auf der VM + NIS . Das Problem bei den Burschen ist erstmal er hängt sich an einem VM Prozess und csrss.exe auf und lastet die VM zu 100% aus , muss der Virenschreiber die schlechtprogrammierte Malware wohl nochmal kompatibel machen.
Dann deaktivierte sich die Lizenz auf dem NIS09 , da dachte ich erst wie kann der mir da reinpfuschen ? aber Pustekuchen , NIS lies sich wieder per Knopfdruck freischalten und hier liegt die Erklärung , das Rootkit ändert die Hardware ID des PC durch seine Versteck-Aktionen in der Festplatte, es ist die einzigste logische Erklärung wenn man bedenkt das die solche Rootkits gemeldet haben.

http://www.virustotal.com/de/analisis/95b6...03c714061490fd0
Die liegen ausser Avast alle falsch , es muss ein Rootkit sein.

Kaum das Rootkit doppelt geklickt springt NAB auf der anderen VM auch an , aber auch nur weil es Codeinjection perfekt erkennt.


http://www.abload.de/img/267jg.jpg


http://www.abload.de/img/1g6fa.jpg

[cruchot]

Passt das denn zum vermuteten Verhalten der o.g. Malware?

[Voyager]

was meinst du ?

[cruchot]

Hat sich erledigt
Wenn es Mebroot wäre, würden/sollten doch mittlerweile einige Scanner dein File als solchen melden.

[Voyager]

Wenn es Mebroot wäre, würden/sollten doch mittlerweile einige Scanner dein File als solchen melden.

Du weisst aber schon das die Malwareschreiber die Sachen immer wieder ändern und manipulieren so das die AV-Erkennung dann in der Regel fehl schlägt, was glaubst du warum der Großteil der Erkennungen nur auf der Erkennung eines vorhandenen Packers beruhen und nur einer einen Rootkit sieht (Gdata verwendet Avast-Sigs) ? Wie erklärst du dir das NIS auf die offensichtliche Manipulation der Hardware-ID reagiert und eine Neuaktivierung verlangt ?
Es passt auf das beobachtete Verhalten das es sich um Mebroot handelt .

edit:
in der technischen Mebroot Beschreibung steht ausserdem "The Trojan may also inject additional code into usermode processes." , kuck was NAB detectiert hat.

Der Beitrag wurde von Voyager bearbeitet: 17.04.2009, 21:30

[cruchot]

So, ist auch auf meiner Platte angekommen...

[Voyager]

Laut Norton Antibot ist es dasselbe (Codeinjection in alle Prozesse) , diesmal erkennts aber keiner von den Großen AVs.

http://www.virustotal.com/de/analisis/122c...d0c85336e89e78f


http://www.abload.de/img/3buhm.jpg

Gdata erkennt heuristisch einen Dropper aber ich glaube hier ist dann auch schon alles zu spät , schaut einfach auf die CPU-Last , das bleibt so. Genau an der Stelle gab es die Hardwaremanipulation die NIS zur Neuaktivierung zwang.


http://www.abload.de/img/4wlke.jpg

Der Beitrag wurde von Voyager bearbeitet: 18.04.2009, 00:37

[Solution-Design]

Je öfter ich mir deine G-Data-Test mit echter Malware anschaue, je mehr weiß ich, warum ich das Programm nicht benutze

[Rios]

Hier nochmal die Info zu dieser twext.exe

[Solution-Design]

http://www.tecchannel.de/sicherheit/news/2..._ein/index.html

[Julian]

Es wäre nett, wenn jemand a² testen würde.

[Voyager]

http://www.virustotal.com/de/analisis/d0cc...4bc9373e7108939

Der hat dasselbe Verhalten , die Erkennung ist mager mit 6/40. Einzig NAB scheint hier zuverlässig zu agieren obwohl ich dafür nicht meine Hand ins Feuer lege , NAB kann nicht in den MBR schauen und die Windows Firewall schaltet sich dummerweise einen Moment nach der Bereinigung incl. Reboot immernoch ab als wäre da noch irgend etwas auf dem VM-System drauf was die Aktion auslöst.


Edit:

@Julian

ich hab mal alles vom 13-18.4. gescannt mit a2

Scan Beginn: 18.04.2009 16:56:09

C:\Dokumente und Einstellungen\Jens\Desktop\chrome.exe gefunden: Trojan.Win32.Zbot!IK
C:\Dokumente und Einstellungen\Jens\Desktop\codec.exe gefunden: Trojan-Dropper.Agent!IK
C:\Dokumente und Einstellungen\Jens\Desktop\erfgbhnjygtf.exe gefunden: Trojan.Crypt!IK
C:\Dokumente und Einstellungen\Jens\Desktop\file1.exe gefunden: Trojan.Win32.FakeSpyguard!IK
C:\Dokumente und Einstellungen\Jens\Desktop\free.exe gefunden: Packed.Win32.Krap!IK
C:\Dokumente und Einstellungen\Jens\Desktop\installpv.exe gefunden: Trojan.Kryptik!IK
C:\Dokumente und Einstellungen\Jens\Desktop\installpv1.exe gefunden: Trojan.Kryptik!IK
C:\Dokumente und Einstellungen\Jens\Desktop\jnk.exe gefunden: Trojan-Spy.Win32.Bebloh!IK
C:\Dokumente und Einstellungen\Jens\Desktop\ldr.exe gefunden: Riskware.FraudTool.Win32.SpywareProtect2009!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pac2.exe gefunden: PWS.Win32!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pch.exe gefunden: Win32.SuspectCrc!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pch4.exe gefunden: Win32.SuspectCrc!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pp.06.exe gefunden: Worm.Win32.Koobface!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pp.exe gefunden: Trojan-PWS.Win32.LdPinch!IK
C:\Dokumente und Einstellungen\Jens\Desktop\rdr.exe gefunden: Trojan-Spy.Win32.Zbot!IK
C:\Dokumente und Einstellungen\Jens\Desktop\readme.pdf gefunden: Exploit.PDF-JS!IK
C:\Dokumente und Einstellungen\Jens\Desktop\setup2.exe gefunden: Trojan.Win32.Vaklik!IK
C:\Dokumente und Einstellungen\Jens\Desktop\sol_cn.exe gefunden: Trojan.Win32.Agent!IK
C:\Dokumente und Einstellungen\Jens\Desktop\ya.exe gefunden: Trojan.Waledac!IK

5 offensichtliche Malware-Objekte verbleiben noch im Ordner.

Der Beitrag wurde von Voyager bearbeitet: 18.04.2009, 16:01

[Julian]

Danke. Allerdings meinte ich, ob es vom Verhaltensblocker in Standardeinstellungen erkannt wird, hab mich da wohl etwas undeutlich ausgedrückt

[cruchot]

Was du so alles auf dem Desktop rumliegen hast

[Voyager]

@Julian

Das a2 free hat sowas aber nicht ?

[Solution-Design]

...VM + Gdata wurde er als generischer Rootkit erkannt da dachte ich mir starteste den mal auf der VM + NIS . Das Problem bei den Burschen ist erstmal er hängt sich an einem VM Prozess und csrss.exe auf und lastet die VM zu 100% aus , muss der Virenschreiber die schlechtprogrammierte Malware wohl nochmal kompatibel machen.
Dann deaktivierte sich die Lizenz auf dem NIS09 , da dachte ich erst wie kann der mir da reinpfuschen ? aber Pustekuchen , NIS lies sich wieder per Knopfdruck freischalten und hier liegt die Erklärung , das Rootkit ändert die Hardware ID des PC durch seine Versteck-Aktionen in der Festplatte, es ist die einzigste logische Erklärung wenn man bedenkt das die solche Rootkits gemeldet haben.

Kaum das Rootkit doppelt geklickt springt NAB auf der anderen VM auch an , aber auch nur weil es Codeinjection perfekt erkennt.

Der in NIS vorhandene Verhaltensblocker tut aber irgendwie nix, oder?

Das a2 free hat sowas aber nicht ?

Nein, hat es nicht. Habe aber leider nicht dieses RootKit, aomit nix Test.

Also, wenn ich die ganzen Probleme so sehe... NIS und NAB scheinen durchaus noch ihre Berechtigung zu haben. Zumindest sind diese Programme die problemlosesten, die ich kenne. Vielklickerei - bei Avira, tu nix im Automode - bei Kaspersky, Reset - bei Avast, erkenne nix - beim Verhaltensblocker von G-Data, Brems was das Zeug hält - bei F-Secure und McAfee, erkenne mal besser nicht ganz so viel und tu keinem weh - bei NOD32... erkenne was das Zeug hält auch wenns zu viel ist - bei a2... So richtig viel bleibt an guten Programmen ja nicht mehr übrig.

[Voyager]

Das sind die Threatexpert Details zu ldr.exe (Beitrag 10)
http://www.threatexpert.com/report.aspx?md...77ffffab3890006

Das sind die Threatexpert Details zu chrome.exe (Beitrag 16)
http://www.threatexpert.com/report.aspx?md...65210f2a39d9860

Das sind die Threatexpert Details zu erfgbhnjygtf.exe (Beitrag 21)
http://www.threatexpert.com/report.aspx?md...7148df4ecf1da7a

Die haben alle 3 leicht unterschiedliche Verhaltensweisen , das hier an der Hardware-ID aber manipuliert wurde sieht man aber irgendwie nicht in dem Log, möglicherweise wird es von TE nicht bemerkt.
Wer mehr dazu sagen kann, bitte schön.


edit:
@SD

Der in NIS vorhandene Verhaltensblocker tut aber irgendwie nix, oder?

NIS ist damit beschäftigt die Lizenz zu überprüfen wegen der Hardware-ID Geschichte. Sonar sagt leider nichts.


Der Beitrag wurde von Voyager bearbeitet: 18.04.2009, 17:02

[Solution-Design]

NIS ist damit beschäftigt die Lizenz zu überprüfen wegen der Hardware-ID Geschichte. Sonar sagt leider nichts.

Super gelle? Ich ändere per Malware die Hardware-ID und schalte somit das AV ab. Das Ding gibt zwar Alarm, aber in der Zeit verseucht meine Malware die Kiste.

[Solution-Design]

Frage: Hat sich bezüglich dieser Malware bei Sonar etwas getan? Immerhin gab es bei Symantec ja schon ein paar Updates.

[Voyager]

Ich habse nichtmehr da.

[Gast_ravu_*]

Da die Kommunikation über den herkömmlichen WWW-Port Erfolg, helfen auch Firewalls kaum.

Wie darf man das verstehen?

[Solution-Design]

Gar nicht. Woher stammt das Zitat? Du hast den Urheber beim Zitieren entfernt.

[Voyager]

Hier wurde ein Botnetz der Sinoval Gang untersucht , ganz interessant

http://www.heise.de/newsticker/Im-Koerper-.../meldung/137260

[Habakuck]

Guter Artikel.

Allerdings halte ich die "neue" Sinowal Version die PrevX beschrieben hat für eine PR Aktion da nicht, absolut nichts von den anderen AV-Firmen kommt...

[Gast_ravu_*]

Gar nicht. Woher stammt das Zitat? Du hast den Urheber beim Zitieren entfernt.

Aus dem genannten Link in Beitrag #1. Gerade aus diesem Grund verwenden doch 99 % der Firewall-Befürworter eine Software-Firewall, in diesem Fall dann wohl oft umsonst

[Solution-Design]

Die Software-Firewall unterscheidet schon, wer da den Port 80 nutzt. Und wenn sie scharf gestellt ist, bemekt sie auch, wann ein Programm über den Browser hinaus will. Abgesehen davon, dass Malware ja meist (abgesehen von Exploits) ausgeführt werden muss.

[Gast_Nightwatch_*]

Hi

Zwei Monate sind nun vergangen. Prevx ist immer noch mit das einzige Unternehmen, das diese neuen MBR-Rootkit-Varianten verlässlich aufspüren und bereinigen kann:

Unfortunately, two months are off, only a couple of security vendors and independent researchers implemented a working detector for it. This is not good, especially if we are talking about the same threat that has infected ten of thousands of PC around the globe last year, stealing password, bank accounts and personal informations.

Jetzt gibt es eine weitere Variante...noch intelligenter augebaut:

Result is that only five applications are able to fully detect this threat - included Prevx 3.0 which has been the first.

Now, after this update, we're the only one still able to detect and succesfully remove the infection.

(Quellen: http://www.prevx.com/blog/131/MBR-Rootkit-reloaded.html )

Ich hoffe, dass sich hier noch etwas tut. Auch F-Secure´s Blacklight bleibt blind. Das ist unschön

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 30.05.2009, 01:04

[Voyager]

Wenns stimmt was die erzählen ist das ok , ich bin da eher skeptisch weil der Artikel wie ein Marketing aufgezogen ist.

[Gast_Nightwatch_*]

Wenns stimmt was die erzählen ist das ok , ich bin da eher skeptisch weil der Artikel wie ein Marketing aufgezogen ist.

Jepp, überprüfen können wir das wohl nicht. Zumindest soll Prevx nun alle Samples und Details zum Rootkit an andere Unternehmen weitergegeben haben, die explizit angefragt hatten:
http://www.wilderssecurity.com/showpost.ph...p;postcount=181

Gruß,
Nightwatch

[Gast_Nightwatch_*]

Das neue MBR-Rootkit hat es ziemlich in sich. Wie ich schon schrieb, wird es aktuell von 6 verschiedenen AV-/AM-Programmen erkannt.
(Link als Erinnerung: http://www.prevx.com/blog/131/MBR-Rootkit-reloaded.html )

Nun soll die Variante auch Virtualisierungsprogramme umgehen können. Returnil z.B. erweist sich hierbei als löchrig:
http://www.wilderssecurity.com/showpost.ph...amp;postcount=3

Dieses wurde von returnil bestätigt. Die aktuelle Beta-Version 3 soll wohl schon gegen die Infektion des Rootkits schützen können.

Gruß,
Nightwatch