TDSS Rootkits 3rd variant, Wer erkennt die schon? |
Willkommen, Gast ( Anmelden | Registrierung )
TDSS Rootkits 3rd variant, Wer erkennt die schon? |
26.12.2009, 15:13
Beitrag
#41
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Ups, da habe ich wohl diesen Satz missverstanden: Ich habe noch einen Satz eingefügt. Jetzt wird vor dem Wort "Echtzeit" dreimal auf die bereits vorhandene Infektion hingewiesen. MfG -------------------- |
|
|
27.12.2009, 18:56
Beitrag
#42
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
Kann mal jemand den link für tdss killer beta posten, find keinen.
|
|
|
28.12.2009, 12:45
Beitrag
#43
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Kann mal jemand den link für tdss killer beta posten, find keinen. Jo hier: TDSSKiller.rar Starten sollte man das allerdings besser per Batch Datei mit den Parametern: ZITAT @echo off TDSSKiller.exe -l report.txt -v Willste testen? Das Tool ist Mist.Sieht leider in den seltensten Fällen etwas. Der Beitrag wurde von Habakuck bearbeitet: 28.12.2009, 12:47 -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
28.12.2009, 13:45
Beitrag
#44
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
aso, das ist die beta, den link kenn ich doch schon.
:-) jetzt muss ich doch mal blöd fragen, ist das der selbe wie von kaspersky? |
|
|
28.12.2009, 15:43
Beitrag
#45
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Das Tool ist Mist.Sieht leider in den seltensten Fällen etwas. Wenn man bei den Varianten etwas sehen will, die sich in den letzten Sektoren der Festplatte verstecken, dann kann man einen Disk Editor oder Disk Viewer nehmen. Mit HxD oder WinHex muss man nur den Datenträger öffnen und dann die letzten Sektoren der Festplatte absuchen. Bei Dr.Web gibt es eine ausführliche Beschreibung zu dem Rootkit, das ich getestet habe. "Also, last disk sectors serve as a hidden encrypted virtual drive, which is used to store the tdlcmd.dll and tdlwsp.dll user mode components and the config.ini configuration file." http://vms.drweb.com/virus/?i=441481 Und das sind die entsprechenden Bilder von HxD und WinHex dazu. MfG -------------------- |
|
|
28.12.2009, 15:50
Beitrag
#46
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Bei Dr.Web gibt es eine ausführliche Beschreibung zu dem Rootkit, das ich getestet habe. "Also, last disk sectors serve as a hidden encrypted virtual drive, which is used to store the tdlcmd.dll and tdlwsp.dll user mode components and the config.ini configuration file." Hört sich so an, als ob theoretisch auch x64 Windows anfällig für diese Form vom Verstecken von Dateien ist. -------------------- |
|
|
28.12.2009, 15:54
Beitrag
#47
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ich hab leider den Thread nicht mehr da, aber TDSS funktioniert unter Win64 bit. Zumindest klappt die "Installation"
-------------------- MfG Ralf
|
|
|
28.12.2009, 16:01
Beitrag
#48
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Ich hab leider den Thread nicht mehr da, aber TDSS funktioniert unter Win64 bit. Zumindest klappt die "Installation" Die alten TDSS-Varianten stürzten bei mir alle ab, zumindest die eigentlich Malware. Wenn die neueren laufen, dann werden sie aber wohl kaum in den Kernelmode vordringen. Sonst beißt sich MS gerade in den Hintern, der Ruf vom rootkitsicheren Windows x64 wäre dahin -------------------- |
|
|
Gast_Solaris_* |
28.12.2009, 23:44
Beitrag
#49
|
Threadersteller Gäste |
Sonst beißt sich MS gerade in den Hintern, der Ruf vom rootkitsicheren Windows x64 wäre dahin Die gibt´s doch schon lange Blue Pill Rootkit Blue Pill / Details |
|
|
Gast_ahora2010_* |
29.12.2009, 16:19
Beitrag
#50
|
Gäste |
|
|
|
29.12.2009, 16:25
Beitrag
#51
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Die gibt´s doch schon lange Aber zum Glück nicht in der Realität. also unter 64 bit laufen die rootkits nicht?? cool ,zusatzsicherheit Ist IMO der größte Vorteil von Windows x64. -------------------- |
|
|
31.12.2009, 08:34
Beitrag
#52
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Falls sich jemand etwas mit der "Geschichte" von TDL beschaeftigen moechte:
http://forum.sysinternals.com/forum_posts.asp?TID=21266 -------------------- MfG Ralf
|
|
|
15.01.2010, 15:46
Beitrag
#53
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
vllt will jemand das hier testen.
http://download.norman.no/public/Norman_TDSS_Cleaner.exe einfach das programm ausführen, log wird dann im selben verzeichniss gespeichert. dieses tool entfernt nur tdss 3.x Der Beitrag wurde von markusg bearbeitet: 15.01.2010, 15:49 |
|
|
Gast_daca_* |
06.02.2010, 11:16
Beitrag
#54
|
Gäste |
Es zeigt sich wieder mal das Versagen von herkömmlichen AVs. AV-Test oder AV-Comparatives sollten lieber mal testen, wie die Verhaltensblocker der Hersteller auf solche konkreten und akuten Gefahren reagieren. Das wäre mal wirklich interessant... Ganz meine Meinung - es wäre interessant wie zB AVG Identity Protection, Mamutu und ThreatFire bei der Installation des Rootkits reagieren |
|
|
Gast_Solaris_* |
06.02.2010, 11:28
Beitrag
#55
|
Threadersteller Gäste |
@daca
Subset hat auf einem bereits infizierten System getestet. Das bedeutet, dass hier die nachträgliche Infektions-Erkennung im Fokus stand. Ich denke, dass sehr viele Programme diese Rootkit-Installtion verhindert hätten, wenn man es mit aktivem Echtzeitschutz ausgeführt hätte. Hier ging es darum, wie gut die "Rootkit-Scanner" arbeiten. Gruß, Solaris |
|
|
09.02.2010, 16:46
Beitrag
#56
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Zum TDSS gibt es hier unter anderen noch etwas Stoff zum lesen.
http://files.surfright.nl/reports/HitmanPr...-OctNov2009.pdf |
|
|
09.02.2010, 16:51
Beitrag
#57
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Das ist wenig informativ und macht eher mehr Eigenwerbung.
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
09.02.2010, 17:00
Beitrag
#58
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Bevor ihr nun alle anfangt Hitman Pro zu installieren, ueberlegt es euch gut und lasst im Zweifelsfall die Finger davon! HTP kann auch nicht alle TDSS VArianten loeschen. Ich meine es ging bloss bis 3.1x. Da ist das KAV Programm wesentlich effektiver
-------------------- MfG Ralf
|
|
|
Gast_Solaris_* |
18.02.2010, 17:37
Beitrag
#59
|
Threadersteller Gäste |
Hi!
Kuriose, aber wirklich interessante Geschichte: Microsoft zog nach dem letzten Patch-Day im Februar ein Update nachträglich zurück, weil viele XP-User über BSOD´s nach der Installation und anderen Systemproblemen klagten. ZITAT [UPDATE: Microsoft has withdrawn the update KB977165 from the Windows Update for this week. I've updated my patch removal instructions below to remove this update first.] Reports are coming in that an update released this week by Microsoft for the Windows XP is causing problems for some users. Quelle Nun hat man aber herausgefunden, dass nicht Microsoft hier Mist gebaut hat, sondern die Malware-Schreiber des TDL3-Rootkits. Das war nämlich nicht kompatibel mit dem Update Alle Rechner, die also danach Probleme ausfweisten, waren mit dem rootkit infiziert. Was passierte nun? Es wurde ein Gegenupdate der "Bad Guys" eingespielt, damit das Rootkit auch zu diesem MS-Patch voll kompatibel ist. Ich denke, folgender Satz bringt die Sache schön auf den Punkt: ZITAT It’s one big cat and mouse game between the good guys and the bad guys. Hier geht´s zu dem Artikel Microsoft vs. TDL3: http://blogs.zdnet.com/hardware/?p=7349 |
|
|
18.02.2010, 17:42
Beitrag
#60
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Wenn der PC dann sowieso in der Rebootschleife hängt wie wollen die bad guys dort ihre Rootkits "Updaten" ?
Das peinlichste an der Sache sind aber die Medien die dort nur von Problemen mit MS Patches berichten anstatt den Usern wenigstens gleich irgendwelche Lösungen oder Tools gegen die Rootkits in die Hand zu drücken. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 01:32 |