TDSS Rootkits 3rd variant, Wer erkennt die schon? Einstellungen

[subset]

Ups, da habe ich wohl diesen Satz missverstanden:

Ich habe noch einen Satz eingefügt.
Jetzt wird vor dem Wort "Echtzeit" dreimal auf die bereits vorhandene Infektion hingewiesen.

MfG

[markusg]

Kann mal jemand den link für tdss killer beta posten, find keinen.

[Habakuck]

Kann mal jemand den link für tdss killer beta posten, find keinen.

Jo hier: TDSSKiller.rar

Starten sollte man das allerdings besser per Batch Datei mit den Parametern:

@echo off
TDSSKiller.exe -l report.txt -v

Willste testen?

Das Tool ist Mist.Sieht leider in den seltensten Fällen etwas.

Der Beitrag wurde von Habakuck bearbeitet: 28.12.2009, 12:47

[markusg]

aso, das ist die beta, den link kenn ich doch schon.
:-)
jetzt muss ich doch mal blöd fragen, ist das der selbe wie von kaspersky?

[subset]

Das Tool ist Mist.Sieht leider in den seltensten Fällen etwas.

Wenn man bei den Varianten etwas sehen will, die sich in den letzten Sektoren der Festplatte verstecken, dann kann man einen Disk Editor oder Disk Viewer nehmen.
Mit HxD oder WinHex muss man nur den Datenträger öffnen und dann die letzten Sektoren der Festplatte absuchen.

Bei Dr.Web gibt es eine ausführliche Beschreibung zu dem Rootkit, das ich getestet habe.
"Also, last disk sectors serve as a hidden encrypted virtual drive, which is used to store the tdlcmd.dll and tdlwsp.dll user mode components and the config.ini configuration file."
http://vms.drweb.com/virus/?i=441481

Und das sind die entsprechenden Bilder von HxD und WinHex dazu.




MfG

[Julian]

Bei Dr.Web gibt es eine ausführliche Beschreibung zu dem Rootkit, das ich getestet habe.
"Also, last disk sectors serve as a hidden encrypted virtual drive, which is used to store the tdlcmd.dll and tdlwsp.dll user mode components and the config.ini configuration file."

Hört sich so an, als ob theoretisch auch x64 Windows anfällig für diese Form vom Verstecken von Dateien ist.

[raman]

Ich hab leider den Thread nicht mehr da, aber TDSS funktioniert unter Win64 bit. Zumindest klappt die "Installation"

[Julian]

Ich hab leider den Thread nicht mehr da, aber TDSS funktioniert unter Win64 bit. Zumindest klappt die "Installation"

Die alten TDSS-Varianten stürzten bei mir alle ab, zumindest die eigentlich Malware.
Wenn die neueren laufen, dann werden sie aber wohl kaum in den Kernelmode vordringen. Sonst beißt sich MS gerade in den Hintern, der Ruf vom rootkitsicheren Windows x64 wäre dahin

[Gast_Solaris_*]

Sonst beißt sich MS gerade in den Hintern, der Ruf vom rootkitsicheren Windows x64 wäre dahin

Die gibt´s doch schon lange
Blue Pill Rootkit
Blue Pill / Details

[Gast_ahora2010_*]

Ich hab leider den Thread nicht mehr da, aber TDSS funktioniert unter Win64 bit. Zumindest klappt die "Installation"

also unter 64 bit laufen die rootkits nicht?? cool ,zusatzsicherheit

[Julian]

Die gibt´s doch schon lange

Aber zum Glück nicht in der Realität.

also unter 64 bit laufen die rootkits nicht?? cool ,zusatzsicherheit

Ist IMO der größte Vorteil von Windows x64.

[raman]

Falls sich jemand etwas mit der "Geschichte" von TDL beschaeftigen moechte:
http://forum.sysinternals.com/forum_posts.asp?TID=21266

[markusg]

vllt will jemand das hier testen.
http://download.norman.no/public/Norman_TDSS_Cleaner.exe
einfach das programm ausführen, log wird dann im selben verzeichniss gespeichert. dieses tool entfernt nur tdss 3.x

Der Beitrag wurde von markusg bearbeitet: 15.01.2010, 15:49

[Gast_daca_*]

Es zeigt sich wieder mal das Versagen von herkömmlichen AVs.
AV-Test oder AV-Comparatives sollten lieber mal testen, wie die Verhaltensblocker der Hersteller auf solche konkreten und akuten Gefahren reagieren. Das wäre mal wirklich interessant...

Ganz meine Meinung - es wäre interessant wie zB AVG Identity Protection, Mamutu und ThreatFire bei der Installation des Rootkits reagieren

[Gast_Solaris_*]

@daca

Subset hat auf einem bereits infizierten System getestet. Das bedeutet, dass hier die nachträgliche Infektions-Erkennung im Fokus stand. Ich denke, dass sehr viele Programme diese Rootkit-Installtion verhindert hätten, wenn man es mit aktivem Echtzeitschutz ausgeführt hätte. Hier ging es darum, wie gut die "Rootkit-Scanner" arbeiten.

Gruß,
Solaris

[Rios]

Zum TDSS gibt es hier unter anderen noch etwas Stoff zum lesen.
http://files.surfright.nl/reports/HitmanPr...-OctNov2009.pdf

[Voyager]

Das ist wenig informativ und macht eher mehr Eigenwerbung.

[raman]

Bevor ihr nun alle anfangt Hitman Pro zu installieren, ueberlegt es euch gut und lasst im Zweifelsfall die Finger davon! HTP kann auch nicht alle TDSS VArianten loeschen. Ich meine es ging bloss bis 3.1x. Da ist das KAV Programm wesentlich effektiver

[Gast_Solaris_*]

Hi!
Kuriose, aber wirklich interessante Geschichte:

Microsoft zog nach dem letzten Patch-Day im Februar ein Update nachträglich zurück, weil viele XP-User über BSOD´s nach der Installation und anderen Systemproblemen klagten.

[UPDATE: Microsoft has withdrawn the update KB977165 from the Windows Update for this week. I've updated my patch removal instructions below to remove this update first.]

Reports are coming in that an update released this week by Microsoft for the Windows XP is causing problems for some users.

Quelle

Nun hat man aber herausgefunden, dass nicht Microsoft hier Mist gebaut hat, sondern die Malware-Schreiber des TDL3-Rootkits. Das war nämlich nicht kompatibel mit dem Update
Alle Rechner, die also danach Probleme ausfweisten, waren mit dem rootkit infiziert.

Was passierte nun? Es wurde ein Gegenupdate der "Bad Guys" eingespielt, damit das Rootkit auch zu diesem MS-Patch voll kompatibel ist.

Ich denke, folgender Satz bringt die Sache schön auf den Punkt:

It’s one big cat and mouse game between the good guys and the bad guys.

Hier geht´s zu dem Artikel Microsoft vs. TDL3:
http://blogs.zdnet.com/hardware/?p=7349

[Voyager]

Wenn der PC dann sowieso in der Rebootschleife hängt wie wollen die bad guys dort ihre Rootkits "Updaten" ?

Das peinlichste an der Sache sind aber die Medien die dort nur von Problemen mit MS Patches berichten anstatt den Usern wenigstens gleich irgendwelche Lösungen oder Tools gegen die Rootkits in die Hand zu drücken.