Rustock.C -- Lustig zu lesen!, "Give a dropper!! Give a dropper! Give me something Einstellungen

[_oO__Oo_]

http://forum.sysinternals.com/forum_posts.asp?TID=14844

( zum besseren Verständnis hier noch der Wilders Thread: http://www.wilderssecurity.com/showthread.php?t=208386 )

Der Beitrag wurde von _oO__Oo_ bearbeitet: 25.05.2008, 09:12

[Kenshiro]

Hier mehr dazu

[wizard]

Immer wieder erstaunlich die Reaktionen von AV Firmen zu lesen, die sich scheinbar nicht die Mühe machen auch komplizierte und komplexe Malware anzugehen.

Aber in Zeiten, wo es sich immer mehr AV Firmen einfach machen und gepackte Dateien pauschal als Malware identifizieren, bleibt die Qualität auf der Strecke.

Das einige AV Firmen, die eingesanten Samples überhaupt nicht mehr selber analysieren, sondern dies einfach Kaspersky erledigen lassen, merkt man ja auch immer wieder, wenn sich bei Kaspersky mal ein Fehlalarm einschleicht.

Interessieren tut dies heute keine Sau mehr... Solange in der Produktbezeichnung ja das Wort "Internet Security" mit vorkommt ist das für die Mehrheit der User ja schon eine ausreichende Qualitätsangabe...

wizard

[Caimbeul]

Danke interessante Artikel.

[Sasser]

Mal sehen wie fix die anderen in der Erkennung nachziehen.
Aber so wie ich die Rokobianer kenne gibt es darüber bald eine eigene Rubrik.

[raman]

Die Erkennung ist schon recht ordentlich. Ist nur ein Sample.

Scan report of: rust4.ex_

AntiVir TR/Rootkit.Gen
Avast! Win32:Rusty
AVG BackDoor.Agent.SBV (Trojan horse)
BitDefender Backdoor.Rustock.NDL
CA-AV Win32/VMalum.CXGO
ClamAV -
Command W32/Rustock.D
Dr Web Win32.Ntldrbot
eSafe -
Ewido -
F-Prot W32/Rustock.D
F-Secure Virus.Win32.Rustock.a
Fortinet W32/Rustock.D!tr.rkit
Ikarus Backdoor.Win32.Rustock.D
Kaspersky Virus.Win32.Rustock.a
McAfee Spam-Mailbot.sys!gen
Microsoft Backdoor:Win32/Rustock.gen!D
Nod32 Win32/Rustock.NEW trojan
Norman -
Panda -
QuickHeal -
Rising -
Sophos Mal/Generic-A
Sunbelt VIPRE.Suspicious
Symantec Hacktool.Rootkit
Trend Micro RTKT_AGENT.AOFZ
VBA32 Spamtool.Win32.Rustock.C
VirusBuster -
WebWasher Trojan.Rootkit.Gen

[_oO__Oo_]

"Die Erkennung ist schon recht ordentlich. Ist nur ein Sample."

???

Sag bloss, Du hast den Loader bekommen und konntest die live detection testen? Ansonsten beweist die "Erkennung" ja nur, dass man für jedes beliebige File eine Checksum erstellen kann.

[raman]

Ist leider nur ein Sample, darum die Info"ist nur ein Sample".
und ja, du koenntest recht haben.

[wizard]

Die Erkennung ist schon recht ordentlich.

Leider ist dies nur die Erkennung, wenn das Rootkit nicht aktiv läuft. Interessanter wird zu prüfen, welcher Scanner überhaupt in der Lage ist dieses Rootkit bei laufendem Betrieb zu erkennen. Das Rootkit soll ja bereits seit letztem Jahr im Umlauf sein. Von daher dürfte die Problematik nicht so sehr der Schutz vor Neuinfektionen sein, sondern die Fragestellung: Habe ich mich bereits infiziert?

Leider bieten ja die meisten AV Firmen keine Boot-CD-Scanner mehr an, um einfach die Existenz des Rootkits aufzuspühren.

wizard

[_oO__Oo_]

Ausserdem nutzen die CD Scanner nichts, wenn man mit Festplattenvollverschlüsselung arbeitet.

Würde es da eigentlich etwas bringen, wenn man die Recovery Console installiert hat oder ist das Rootkit zu diesem frühen Zeitpunkt bereits aktiv? Wohl nicht, wenn es sich in den Service Dateien einnistet (blosse Vermutung).

Der Beitrag wurde von _oO__Oo_ bearbeitet: 25.05.2008, 16:22

[wizard]

Würde es da eigentlich etwas bringen, wenn man die Recovery Console installiert hat oder ist das Rootkit zu diesem frühen Zeitpunkt bereits aktiv? Wohl nicht, wenn es sich in den Service Dateien einnistet (blosse Vermutung).

Wenn ich die technische Beschreibung richtig interpretieren, könnte das Rootkit auch beim Start der Recovery Console aktiv werden, da sich das Rootkit in den Systemtreiber ("Its targets – innocent Microsoft Windows system drivers located in the X:\WINDOWS\SYSTEM32\DRIVERS directory,...") einnistet. Hier kommt es halt darauf an, welchen Treiber das Rootkit "befallen" hat und ob dieser durch die RC gestartet wird, da ja bei der RC nicht alle Treiber geladen werden.

wizard

[Sasser]

Spy-Emergency2008 hat einen Rootkit-Scanner im Kernel des Bootvorgangs und somit hat man bei jedem Start einen Scan auf dem Bluescreen.
30Tage Trial...... http://www.pcwelt.de/downloads/datenschutz.../spy_emergency/

Hier für Diejenigen, denen Althergebrachtes mehr Vertrauen einflößt: Adaware2008 free-Version: http://www.pcwelt.de/start/sicherheit/anti...r_schaedlingen/

Der Beitrag wurde von Sasser bearbeitet: 25.05.2008, 16:55

[wizard]

Die Schwierigkeit bei Rootkits ist, dass die existerende Rootkits größtenteils technisch sehr unterschiedlich sind und daher eine Erkennung erschweren. Im Prinzip reicht es halt nicht nur einfach weitere Signaturen hinzuzufügen, sondern muss in vielen Fällen auch erst einmal die Engine entsprechend erweitern.

Von daher ist grade die Aussage, dass eine AV Software auch Rootkits erkennt zu pauschal.

Überhaupt ist die Erkennung bereits aktiver Rootkits bisher mehr als schwierig. Bisher habe ich keinen Scanner (ob nun AV Software oder AntiRootkit-Spezialtool) gefunden, der wirklich alle derzeit bekannten technischen Windows-Rootkit Varianten erkennen kann. Dazu muss man allerdings auch anmerken, dass unklar ist, wie sich die ITW Verbreitung von Rootkits wirklich darstellt, denn viele im Netz erhältliche Rootkits sind ja eher "Proof-of-concept" Studien ohne schadhafte Funktionen.

wizard

[Sasser]

Das ist richtig und wird mit jedem Ernst zu nehmendem Test bestätigt.
Die Scanner stecken hier noch in den Kinder Schuhen. Daher ist es zur Zeit auch eine kleine Bastelarbeit die richtigen Tools am Start zu haben.
Ich habe auf dem Desktop immer einen Ordner der diese alle beherbergt. Also neben F-Secure und Spyware Doktor und AntiBot als Wächter,(ThreatFire vertrug sich nicht so goldig mit F-Secure), habe ich auch Spy-Emergency als Rootkit-Sucher aktiv eben auch bei Systemstart, als auch in dem Ordner zum wöchentlichen Durchsuchen..Gmer-Rootkit_Finder...AVG_Anti_Rootkit Free und eben meinen Blacklight in F-Secure. Somit ist die Bastelkiste auch gefüllt.