TDSS Rootkits 3rd variant, Wer erkennt die schon? |
Willkommen, Gast ( Anmelden | Registrierung )
TDSS Rootkits 3rd variant, Wer erkennt die schon? |
Gast_Solaris_* |
21.12.2009, 18:42
Beitrag
#1
|
Gäste |
ZITAT Result is an infection that is quickly spreading on the net and it is undetected by almost every security software and 3rd party anti rootkit software. Seit November 2009 treibt die dritte TDSS Variante ihr Unwesen im Netz. Sie vereint laut Prevx alle bisherigen Technologien und soll von den allerwenigsten Antivirenlösungen erkannt werden. http://www.prevx.com/blog/139/Tdss-rootkit...ns-the-net.html Hat jemand Informationen oder Beispiele der eigenen Software parat, wer bereits die Technik dazu hat, eine Infektion nachträglich zu erkennen? Edit meint Ich hätte so ein Sample auch im Angebot. Da ich aber selbst nie teste und auch keine Umgebung dafür habe..PN bei Interesse. Virustotal: 0/41. Bin mir nicht ganz sicher ob es die dritte Variante ist, aber die zweite auf jeden Fall. Der Beitrag wurde von Solaris bearbeitet: 21.12.2009, 19:12 |
|
|
21.12.2009, 19:21
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Ich hatte kürzlich so eine neue Variante , der TDSS Rootkit hatte dort laut Sysprot.exe die ACPI.Sys gehookt, die neueste Gmer Version konnte nichts enddecken . Normalerweise konnte Gmer ja noch mindestens noch eine manipulierte Atapi.sys erkennen.
ZITAT Microsoft Windows XP [Version 5.1.2600] © Copyright 1985-2001 Microsoft Corp. C:\WINDOWS\system32>mbr Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully detected MBR rootkit hooks: \Driver\ACPI -> 0x84e10c88 NDIS: Intel 21140-basierter PCI-Fast Ethernetadapter (Standard) -> SendCompleteH andler -> 0x84bbf530 Warning: possible MBR rootkit infection ! user & kernel MBR OK copy of MBR has been found in sector 0x07FF9761 malicious code @ sector 0x07FF9764 ! PE file found in sector at 0x07FF977A ! Use "Recovery Console" command "fixmbr" to clear infection ! C:\WINDOWS\system32> Das Tool MBR http://www2.gmer.net/mbr/mbr.exe konnte die Rootkit Infection sehen und anzeigen und Combofix konnte den Rootkit löschen. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Solaris_* |
21.12.2009, 20:34
Beitrag
#3
|
Threadersteller Gäste |
Ich hatte kürzlich so eine neue Variante , der TDSS Rootkit hatte dort laut Sysprot.exe die ACPI.Sys gehookt, die neueste Gmer Version konnte nichts enddecken . Und deine Security Suite? Ich habe gerade mal eine Anfrage bei F-secure gestellt. http://forum.f-secure.com/topic.asp?TOPIC_ID=11187 |
|
|
Gast_blueX_* |
22.12.2009, 02:00
Beitrag
#4
|
Gäste |
|
|
|
22.12.2009, 16:20
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Das Sample ist kein 32 Bit-PE-Programm und scheint in VMs nicht zu laufen. Mal gucken, ob ich es irgendwie zum Laufen kriege
Danke, Solaris Kaspersky sagt "Packed.Win32.TDSS.aa". Ein kleverer Mensch müsste uns jetzt vielleicht mal aufklären, welche Generation das Sample ist. -------------------- |
|
|
Gast_blueX_* |
22.12.2009, 16:39
Beitrag
#6
|
Gäste |
Andere sagen aber, dass es clean sei und ein HTML-Script ist.
|
|
|
22.12.2009, 16:42
Beitrag
#7
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Und wieso kommt Kaspersky dann ausgerechnet auf TDSS?
So große Zufälle kann es nicht geben. -------------------- |
|
|
Gast_blueX_* |
22.12.2009, 17:50
Beitrag
#8
|
Gäste |
Schick's mal an AVIRA, Sophos oder Rising. |
|
|
Gast_blueX_* |
22.12.2009, 17:51
Beitrag
#9
|
Gäste |
Woher stammt eigentlich die Datei?
|
|
|
22.12.2009, 18:31
Beitrag
#10
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
gute frage :-)
removal tool: http://www.secureblog.info/files/TDSSKiller.rar einfach entpacken, ausführen und die infizierte sys sollte bereinigt sein. |
|
|
22.12.2009, 22:26
Beitrag
#11
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Dr Web ist bei der Erkennung und (teilweisen) Entfernung von solchen Sachen fast immer ganz vorne dabei.
Das sind 2x CureIt mit so nem Zeug. Aber ob da TDL3 dabei ist Mit einem HIPS kann man aber diese Infektionen auch nur gaaanz schwer verschlafen. MfG -------------------- |
|
|
23.12.2009, 08:32
Beitrag
#12
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das Problem bei TDL3/TDSS ist, das eine Bereinigung nur sehr lueckenhaft moeglich ist. Sprich die Infektionsmarker, die es in den unbenutzten Sektoren erstellt, werden nicht geloescht und sorgen unter Umstaenden bei einer Neuinfektion mit dieser Art Malware dafuer, das der Rechner/Betriebssystem nicht mehr startet!
-------------------- MfG Ralf
|
|
|
Gast_Solaris_* |
23.12.2009, 11:14
Beitrag
#13
|
Threadersteller Gäste |
Das Problem bei TDL3/TDSS ist, das eine Bereinigung nur sehr lueckenhaft moeglich ist. Kannst du einschätzen, wie die Erkennung gängiger Suiten bei aktiver Infektion ist? Eine Bereingung scheint ja wohl dann ausgeschlossen. Aber zumindest die Erkenntnis sowas auf der Festplatte zu haben. |
|
|
23.12.2009, 12:15
Beitrag
#14
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das haengt davon ab, ob ueberhaupt Signatueren fuer diese Variante vorhanden ist. Bei den letzten Varianten, die ich gesehen habe, haben sich nicht alle Teile extra "versteckt" und wurden groesstenteils gemedet( hier Antivir).
Man muss sich immer vor Augen halten, das TDL3/TDSS mehrmals taeglich(stuendlich? ) auf den "Downloadservern" angepasst wird, so das die Erkennung bei VT ziemlich gegen Null geht. Da sind halt Profis am Werk, die damit ihr Geld verdienen.... Bei TDL3 merkt man sehr schnell, das da nicht was stimmt, da dieser Google Ergebnisse umleitet... -------------------- MfG Ralf
|
|
|
Gast_Solaris_* |
23.12.2009, 12:47
Beitrag
#15
|
Threadersteller Gäste |
Das haengt davon ab, ob ueberhaupt Signatueren fuer diese Variante vorhanden ist. Bei den letzten Varianten, die ich gesehen habe, haben sich nicht alle Teile extra "versteckt" und wurden groesstenteils gemedet( hier Antivir). Danke raman! Wofür braucht man die Signatur? Ich dachte die Rootkitmodule der Suiten arbeiten signaturunabhängig. Blacklight von F-secure zum Beispiel sucht nur nach versteckten Prozessen. |
|
|
23.12.2009, 13:33
Beitrag
#16
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ja, aber wie gesagt, die Malwarehersteller sind nicht doof. Es gibt die Moeglichkeit, nicht Rookittechniken zu nutzen, wobei, welches Produkt setzt standardmaessig einen Rootkitscan an(?) beim Rechnerstart, oder start ueber infizierte Systemdateien.
Silent Banker zum Beispiel, sind hier wesentlich dreister. Du merkst nicht, das sie da sind, sie nutzen keine Rootkitfunktionalitaet, werden ueber standard Autostarteintraege gestartet und werden teilweise sogar als sauber bezeichnet, wenn man diese bei AV Firmen einschickt, da sie ihre Schadfunktion sehr schoen "harmlos" darstellen. Ich hatte hier im Bekanntenkreis innerhalb von einem Monat 2 Faelle, bei denen die Banker 2, bzw 3 Wochen aktiv waren und bei VT eine Erkennung von 0/41 brachten! Aufgefallen war das nur, da sich einmal die Bank meldete und einmal, da der MSN Zugang mit Hilfe der geklauten Zugangsdaten uebernommen wurde... -------------------- MfG Ralf
|
|
|
Gast_Solaris_* |
23.12.2009, 13:43
Beitrag
#17
|
Threadersteller Gäste |
Silent Banker zum Beispiel, sind hier wesentlich dreister. Du merkst nicht, das sie da sind, sie nutzen keine Rootkitfunktionalitaet, werden ueber standard Autostarteintraege gestartet und werden teilweise sogar als sauber bezeichnet, wenn man diese bei AV Firmen einschickt, da sie ihre Schadfunktion sehr schoen "harmlos" darstellen. Man merkt dass hier ein Experte berichtet. Mir ist der Unterschied nun klar geworden. Ich finde es sehr bedenklich wie die AV Unternehmen auf solche Dateien reagieren. Und noch mehr dass solche Schädlinge so lange unentdeckt operieren können. Ich nehme an, dass du privat nicht auf die herkömmlichen Suiten setzt, oder? |
|
|
23.12.2009, 13:53
Beitrag
#18
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Es zeigt sich wieder mal das Versagen von herkömmlichen AVs.
AV-Test oder AV-Comparatives sollten lieber mal testen, wie die Verhaltensblocker der Hersteller auf solche konkreten und akuten Gefahren reagieren. Das wäre mal wirklich interessant... -------------------- |
|
|
23.12.2009, 15:01
Beitrag
#19
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
AV-Test oder AV-Comparatives sollten lieber mal testen, wie die Verhaltensblocker der Hersteller auf solche konkreten und akuten Gefahren reagieren. Die beginnen jetzt erst mit AV Echtzeit-Tests, ca. 20 Jahre nach der Einführung des AV Echtzeit-Schutzes. Da würde ich also nicht drauf warten wollen. MfG -------------------- |
|
|
Gast_blueX_* |
23.12.2009, 15:04
Beitrag
#20
|
Gäste |
Wie wird das File zwischenzeitlich bei Virustotal erkannt?
@ raman Wodurch hat die Bank dies erkannt? |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.04.2024, 11:50 |