TDSS Rootkits 3rd variant, Wer erkennt die schon? Einstellungen

[Gast_Solaris_*]

Result is an infection that is quickly spreading on the net and it is undetected by almost every security software and 3rd party anti rootkit software.

Seit November 2009 treibt die dritte TDSS Variante ihr Unwesen im Netz. Sie vereint laut Prevx alle bisherigen Technologien und soll von den allerwenigsten Antivirenlösungen erkannt werden.
http://www.prevx.com/blog/139/Tdss-rootkit...ns-the-net.html


Hat jemand Informationen oder Beispiele der eigenen Software parat, wer bereits die Technik dazu hat, eine Infektion nachträglich zu erkennen?

Edit meint
Ich hätte so ein Sample auch im Angebot. Da ich aber selbst nie teste und auch keine Umgebung dafür habe..PN bei Interesse.
Virustotal: 0/41. Bin mir nicht ganz sicher ob es die dritte Variante ist, aber die zweite auf jeden Fall.

Der Beitrag wurde von Solaris bearbeitet: 21.12.2009, 19:12

[Voyager]

Ich hatte kürzlich so eine neue Variante , der TDSS Rootkit hatte dort laut Sysprot.exe die ACPI.Sys gehookt, die neueste Gmer Version konnte nichts enddecken . Normalerweise konnte Gmer ja noch mindestens noch eine manipulierte Atapi.sys erkennen.

Microsoft Windows XP [Version 5.1.2600]
© Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>mbr
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x84e10c88
NDIS: Intel 21140-basierter PCI-Fast Ethernetadapter (Standard) -> SendCompleteH
andler -> 0x84bbf530
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x07FF9761
malicious code @ sector 0x07FF9764 !
PE file found in sector at 0x07FF977A !
Use "Recovery Console" command "fixmbr" to clear infection !

C:\WINDOWS\system32>

Das Tool MBR http://www2.gmer.net/mbr/mbr.exe konnte die Rootkit Infection sehen und anzeigen und Combofix konnte den Rootkit löschen.

[Gast_Solaris_*]

Ich hatte kürzlich so eine neue Variante , der TDSS Rootkit hatte dort laut Sysprot.exe die ACPI.Sys gehookt, die neueste Gmer Version konnte nichts enddecken .

Und deine Security Suite?

Ich habe gerade mal eine Anfrage bei F-secure gestellt.
http://forum.f-secure.com/topic.asp?TOPIC_ID=11187

[Gast_blueX_*]

Ich denke mit Radix solltest du das Rootkit auch sehen können -Y http://www.usec.at/de/radix.html

[Julian]

Das Sample ist kein 32 Bit-PE-Programm und scheint in VMs nicht zu laufen. Mal gucken, ob ich es irgendwie zum Laufen kriege
Danke, Solaris

Kaspersky sagt "Packed.Win32.TDSS.aa". Ein kleverer Mensch müsste uns jetzt vielleicht mal aufklären, welche Generation das Sample ist.

[Gast_blueX_*]

Andere sagen aber, dass es clean sei und ein HTML-Script ist.

[Julian]

Und wieso kommt Kaspersky dann ausgerechnet auf TDSS?
So große Zufälle kann es nicht geben.

[Gast_blueX_*]

Schick's mal an AVIRA, Sophos oder Rising.

[Gast_blueX_*]

Woher stammt eigentlich die Datei?

[markusg]

gute frage :-)
removal tool:
http://www.secureblog.info/files/TDSSKiller.rar
einfach entpacken, ausführen und die infizierte sys sollte bereinigt sein.

[subset]

Dr Web ist bei der Erkennung und (teilweisen) Entfernung von solchen Sachen fast immer ganz vorne dabei.

Das sind 2x CureIt mit so nem Zeug.





Aber ob da TDL3 dabei ist

Mit einem HIPS kann man aber diese Infektionen auch nur gaaanz schwer verschlafen.





MfG

[raman]

Das Problem bei TDL3/TDSS ist, das eine Bereinigung nur sehr lueckenhaft moeglich ist. Sprich die Infektionsmarker, die es in den unbenutzten Sektoren erstellt, werden nicht geloescht und sorgen unter Umstaenden bei einer Neuinfektion mit dieser Art Malware dafuer, das der Rechner/Betriebssystem nicht mehr startet!

[Gast_Solaris_*]

Das Problem bei TDL3/TDSS ist, das eine Bereinigung nur sehr lueckenhaft moeglich ist.

Kannst du einschätzen, wie die Erkennung gängiger Suiten bei aktiver Infektion ist? Eine Bereingung scheint ja wohl dann ausgeschlossen. Aber zumindest die Erkenntnis sowas auf der Festplatte zu haben.

[raman]

Das haengt davon ab, ob ueberhaupt Signatueren fuer diese Variante vorhanden ist. Bei den letzten Varianten, die ich gesehen habe, haben sich nicht alle Teile extra "versteckt" und wurden groesstenteils gemedet( hier Antivir).
Man muss sich immer vor Augen halten, das TDL3/TDSS mehrmals taeglich(stuendlich? ) auf den "Downloadservern" angepasst wird, so das die Erkennung bei VT ziemlich gegen Null geht. Da sind halt Profis am Werk, die damit ihr Geld verdienen....

Bei TDL3 merkt man sehr schnell, das da nicht was stimmt, da dieser Google Ergebnisse umleitet...

[Gast_Solaris_*]

Das haengt davon ab, ob ueberhaupt Signatueren fuer diese Variante vorhanden ist. Bei den letzten Varianten, die ich gesehen habe, haben sich nicht alle Teile extra "versteckt" und wurden groesstenteils gemedet( hier Antivir).

Danke raman!
Wofür braucht man die Signatur? Ich dachte die Rootkitmodule der Suiten arbeiten signaturunabhängig. Blacklight von F-secure zum Beispiel sucht nur nach versteckten Prozessen.

[raman]

Ja, aber wie gesagt, die Malwarehersteller sind nicht doof. Es gibt die Moeglichkeit, nicht Rookittechniken zu nutzen, wobei, welches Produkt setzt standardmaessig einen Rootkitscan an(?) beim Rechnerstart, oder start ueber infizierte Systemdateien.

Silent Banker zum Beispiel, sind hier wesentlich dreister. Du merkst nicht, das sie da sind, sie nutzen keine Rootkitfunktionalitaet, werden ueber standard Autostarteintraege gestartet und werden teilweise sogar als sauber bezeichnet, wenn man diese bei AV Firmen einschickt, da sie ihre Schadfunktion sehr schoen "harmlos" darstellen.

Ich hatte hier im Bekanntenkreis innerhalb von einem Monat 2 Faelle, bei denen die Banker 2, bzw 3 Wochen aktiv waren und bei VT eine Erkennung von 0/41 brachten! Aufgefallen war das nur, da sich einmal die Bank meldete und einmal, da der MSN Zugang mit Hilfe der geklauten Zugangsdaten uebernommen wurde...

[Gast_Solaris_*]

Silent Banker zum Beispiel, sind hier wesentlich dreister. Du merkst nicht, das sie da sind, sie nutzen keine Rootkitfunktionalitaet, werden ueber standard Autostarteintraege gestartet und werden teilweise sogar als sauber bezeichnet, wenn man diese bei AV Firmen einschickt, da sie ihre Schadfunktion sehr schoen "harmlos" darstellen.

Man merkt dass hier ein Experte berichtet. Mir ist der Unterschied nun klar geworden.
Ich finde es sehr bedenklich wie die AV Unternehmen auf solche Dateien reagieren. Und noch mehr dass solche Schädlinge so lange unentdeckt operieren können.
Ich nehme an, dass du privat nicht auf die herkömmlichen Suiten setzt, oder?

[Julian]

Es zeigt sich wieder mal das Versagen von herkömmlichen AVs.
AV-Test oder AV-Comparatives sollten lieber mal testen, wie die Verhaltensblocker der Hersteller auf solche konkreten und akuten Gefahren reagieren. Das wäre mal wirklich interessant...

[subset]

AV-Test oder AV-Comparatives sollten lieber mal testen, wie die Verhaltensblocker der Hersteller auf solche konkreten und akuten Gefahren reagieren.

Die beginnen jetzt erst mit AV Echtzeit-Tests, ca. 20 Jahre nach der Einführung des AV Echtzeit-Schutzes.
Da würde ich also nicht drauf warten wollen.

MfG

[Gast_blueX_*]

Wie wird das File zwischenzeitlich bei Virustotal erkannt?


@ raman
Wodurch hat die Bank dies erkannt?