Rustock.C -- Lustig zu lesen!, "Give a dropper!! Give a dropper! Give me something |
Willkommen, Gast ( Anmelden | Registrierung )
Rustock.C -- Lustig zu lesen!, "Give a dropper!! Give a dropper! Give me something |
25.05.2008, 09:12
Beitrag
#1
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
http://forum.sysinternals.com/forum_posts.asp?TID=14844
( zum besseren Verständnis hier noch der Wilders Thread: http://www.wilderssecurity.com/showthread.php?t=208386 ) Der Beitrag wurde von _oO__Oo_ bearbeitet: 25.05.2008, 09:12 |
|
|
25.05.2008, 10:14
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
Hier mehr dazu
-------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
25.05.2008, 10:28
Beitrag
#3
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Immer wieder erstaunlich die Reaktionen von AV Firmen zu lesen, die sich scheinbar nicht die Mühe machen auch komplizierte und komplexe Malware anzugehen.
Aber in Zeiten, wo es sich immer mehr AV Firmen einfach machen und gepackte Dateien pauschal als Malware identifizieren, bleibt die Qualität auf der Strecke. Das einige AV Firmen, die eingesanten Samples überhaupt nicht mehr selber analysieren, sondern dies einfach Kaspersky erledigen lassen, merkt man ja auch immer wieder, wenn sich bei Kaspersky mal ein Fehlalarm einschleicht. Interessieren tut dies heute keine Sau mehr... Solange in der Produktbezeichnung ja das Wort "Internet Security" mit vorkommt ist das für die Mehrheit der User ja schon eine ausreichende Qualitätsangabe... wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
25.05.2008, 13:41
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
Danke interessante Artikel.
-------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
25.05.2008, 15:10
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router |
Mal sehen wie fix die anderen in der Erkennung nachziehen.
Aber so wie ich die Rokobianer kenne gibt es darüber bald eine eigene Rubrik. -------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
|
|
25.05.2008, 15:43
Beitrag
#6
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Die Erkennung ist schon recht ordentlich. Ist nur ein Sample.
Scan report of: rust4.ex_ AntiVir TR/Rootkit.Gen Avast! Win32:Rusty AVG BackDoor.Agent.SBV (Trojan horse) BitDefender Backdoor.Rustock.NDL CA-AV Win32/VMalum.CXGO ClamAV - Command W32/Rustock.D Dr Web Win32.Ntldrbot eSafe - Ewido - F-Prot W32/Rustock.D F-Secure Virus.Win32.Rustock.a Fortinet W32/Rustock.D!tr.rkit Ikarus Backdoor.Win32.Rustock.D Kaspersky Virus.Win32.Rustock.a McAfee Spam-Mailbot.sys!gen Microsoft Backdoor:Win32/Rustock.gen!D Nod32 Win32/Rustock.NEW trojan Norman - Panda - QuickHeal - Rising - Sophos Mal/Generic-A Sunbelt VIPRE.Suspicious Symantec Hacktool.Rootkit Trend Micro RTKT_AGENT.AOFZ VBA32 Spamtool.Win32.Rustock.C VirusBuster - WebWasher Trojan.Rootkit.Gen -------------------- MfG Ralf
|
|
|
25.05.2008, 16:12
Beitrag
#7
|
|
Threadersteller War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
"Die Erkennung ist schon recht ordentlich. Ist nur ein Sample."
??? Sag bloss, Du hast den Loader bekommen und konntest die live detection testen? Ansonsten beweist die "Erkennung" ja nur, dass man für jedes beliebige File eine Checksum erstellen kann. |
|
|
25.05.2008, 16:16
Beitrag
#8
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ist leider nur ein Sample, darum die Info"ist nur ein Sample".
und ja, du koenntest recht haben. -------------------- MfG Ralf
|
|
|
25.05.2008, 16:16
Beitrag
#9
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Die Erkennung ist schon recht ordentlich. Leider ist dies nur die Erkennung, wenn das Rootkit nicht aktiv läuft. Interessanter wird zu prüfen, welcher Scanner überhaupt in der Lage ist dieses Rootkit bei laufendem Betrieb zu erkennen. Das Rootkit soll ja bereits seit letztem Jahr im Umlauf sein. Von daher dürfte die Problematik nicht so sehr der Schutz vor Neuinfektionen sein, sondern die Fragestellung: Habe ich mich bereits infiziert? Leider bieten ja die meisten AV Firmen keine Boot-CD-Scanner mehr an, um einfach die Existenz des Rootkits aufzuspühren. wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
25.05.2008, 16:22
Beitrag
#10
|
|
Threadersteller War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
Ausserdem nutzen die CD Scanner nichts, wenn man mit Festplattenvollverschlüsselung arbeitet.
Würde es da eigentlich etwas bringen, wenn man die Recovery Console installiert hat oder ist das Rootkit zu diesem frühen Zeitpunkt bereits aktiv? Wohl nicht, wenn es sich in den Service Dateien einnistet (blosse Vermutung). Der Beitrag wurde von _oO__Oo_ bearbeitet: 25.05.2008, 16:22 |
|
|
25.05.2008, 16:48
Beitrag
#11
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Würde es da eigentlich etwas bringen, wenn man die Recovery Console installiert hat oder ist das Rootkit zu diesem frühen Zeitpunkt bereits aktiv? Wohl nicht, wenn es sich in den Service Dateien einnistet (blosse Vermutung). Wenn ich die technische Beschreibung richtig interpretieren, könnte das Rootkit auch beim Start der Recovery Console aktiv werden, da sich das Rootkit in den Systemtreiber ("Its targets – innocent Microsoft Windows system drivers located in the X:\WINDOWS\SYSTEM32\DRIVERS directory,...") einnistet. Hier kommt es halt darauf an, welchen Treiber das Rootkit "befallen" hat und ob dieser durch die RC gestartet wird, da ja bei der RC nicht alle Treiber geladen werden. wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
25.05.2008, 16:54
Beitrag
#12
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router |
Spy-Emergency2008 hat einen Rootkit-Scanner im Kernel des Bootvorgangs und somit hat man bei jedem Start einen Scan auf dem Bluescreen.
30Tage Trial...... http://www.pcwelt.de/downloads/datenschutz.../spy_emergency/ Hier für Diejenigen, denen Althergebrachtes mehr Vertrauen einflößt: Adaware2008 free-Version: http://www.pcwelt.de/start/sicherheit/anti...r_schaedlingen/ Der Beitrag wurde von Sasser bearbeitet: 25.05.2008, 16:55 -------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
|
|
25.05.2008, 18:12
Beitrag
#13
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Die Schwierigkeit bei Rootkits ist, dass die existerende Rootkits größtenteils technisch sehr unterschiedlich sind und daher eine Erkennung erschweren. Im Prinzip reicht es halt nicht nur einfach weitere Signaturen hinzuzufügen, sondern muss in vielen Fällen auch erst einmal die Engine entsprechend erweitern.
Von daher ist grade die Aussage, dass eine AV Software auch Rootkits erkennt zu pauschal. Überhaupt ist die Erkennung bereits aktiver Rootkits bisher mehr als schwierig. Bisher habe ich keinen Scanner (ob nun AV Software oder AntiRootkit-Spezialtool) gefunden, der wirklich alle derzeit bekannten technischen Windows-Rootkit Varianten erkennen kann. Dazu muss man allerdings auch anmerken, dass unklar ist, wie sich die ITW Verbreitung von Rootkits wirklich darstellt, denn viele im Netz erhältliche Rootkits sind ja eher "Proof-of-concept" Studien ohne schadhafte Funktionen. wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
25.05.2008, 18:43
Beitrag
#14
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router |
Das ist richtig und wird mit jedem Ernst zu nehmendem Test bestätigt.
Die Scanner stecken hier noch in den Kinder Schuhen. Daher ist es zur Zeit auch eine kleine Bastelarbeit die richtigen Tools am Start zu haben. Ich habe auf dem Desktop immer einen Ordner der diese alle beherbergt. Also neben F-Secure und Spyware Doktor und AntiBot als Wächter,(ThreatFire vertrug sich nicht so goldig mit F-Secure), habe ich auch Spy-Emergency als Rootkit-Sucher aktiv eben auch bei Systemstart, als auch in dem Ordner zum wöchentlichen Durchsuchen..Gmer-Rootkit_Finder...AVG_Anti_Rootkit Free und eben meinen Blacklight in F-Secure. Somit ist die Bastelkiste auch gefüllt. -------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 25.06.2024, 17:12 |