FakeAVs jetzt mit Rootkitkomponenten |
Willkommen, Gast ( Anmelden | Registrierung )
FakeAVs jetzt mit Rootkitkomponenten |
31.08.2012, 21:28
Beitrag
#1
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Pünktlich zu Win8 gibt es auch das Win8 Security System als FakeAV
Aktuelle Erkennung (man beachte - das Ding ist schon mindestens einen Tag itw, nimmt man das erste Erscheinen bei VT als Anhaltspunkt): Hier Das besondere - die allerneuesten Varianten davon kommen mit einem speziellen Rootkit Treiber, der die Erkennung und Entfernung enorm erschwert und es immer wieder repariert. Natürlich gibt es auch eine x64 Version, eigene digitale Signaturen etc. - eben das volle Programm. Details im Blog von HitmanPro (Link) Für den einmal installierten Rootkittreiber ist die Erkennung aktuell noch erbärmlicher: Link Sample für eigene dynamische Tests per PN. Der Beitrag wurde von SLE bearbeitet: 31.08.2012, 21:44 -------------------- Don't believe the hype!
|
|
|
31.08.2012, 22:33
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.051 Mitglied seit: 15.10.2006 Mitglieds-Nr.: 5.448 Betriebssystem: Win7 Prof. x64 Virenscanner: GDATA TP 20xx Firewall: GDATA TP 20xx |
Schön, da wird es sicher wieder einige Kandidaten treffen...
|
|
|
01.09.2012, 11:30
Beitrag
#3
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Als gäbe es bei den Kollegen von Anti Botnet und TBoard, nicht schon genug abzuarbeiten. GVU BKA, und Gema. Stress permanent! die Leute dort, machen echt einen guten Job
|
|
|
01.09.2012, 14:16
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.051 Mitglied seit: 15.10.2006 Mitglieds-Nr.: 5.448 Betriebssystem: Win7 Prof. x64 Virenscanner: GDATA TP 20xx Firewall: GDATA TP 20xx |
So, ich habe das Sample mal mit G Data getestet und es kommt sofort nach dem Ausführen eine Meldung vom BB und die Malware wird gelöscht - siehe Protokoll:
ZITAT *** Prozess *** Prozess: 660 Dateiname: c05c2118f9c90bf9e1837b37fca33ba0.exe Pfad: c:\dokumente und einstellungen\admin\desktop\c05c2118f9c90bf9e1837b37fca33ba0\c05c2118f9c90bf9e1837b37fca33ba0.exe Herausgeber: Unbekannter Herausgeber Gestartet von: explorer.exe Herausgeber: Microsoft Windows Component Publisher *** Aktionen *** Das Programm hat eine ausführbare Datei angelegt oder manipuliert. Das Programm hat eine Kopie von sich selbst angelegt. *** Quarantäne *** Folgende Dateien wurden in Quarantäne verschoben: C:\Dokumente und Einstellungen\Admin\Desktop\C05C2118F9C90BF9E1837B37FCA33BA0\C05C2118F9C90BF9E1837B37FCA33BA0.exe C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\a01a0515cb8631ae.exe C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\d1775d12.tmp Folgende Registry Einträge wurden gelöscht: YGLRtvKQcqInJ7lywtBygnKCYmLgcnIrJ4dyknAqdHJCJycmBrdycnJyYmKQKxZtKwn8cnJycmJi 8CgnJycnJgbPcnJycmJicGZycnJyYmJwusJxWWO2ksJxWWO2csJxWWO2ggAA Version der Regeln: 3.1.5 OS: Windows 5.1 Service Pack 3.0 Build: 2600 - Workstation 32bit OS BB Revision: 24098 "C:\Dokumente und Einstellungen\Admin\Desktop\C05C2118F9C90BF9E1837B37FCA33BA0\C05C2118F9C90BF9E1837B37FCA33BA0.exe" C:\WINDOWS\Explorer.EXE Das witzige ist, als ich es mit der G Data Version mit Signaturen vom 2.4.2012 testen wollte, schlägt der Wächter zu. D.h. das Sample wurde fünf Monaten einmal per Signatur erkannt! Der Beitrag wurde von markus17 bearbeitet: 01.09.2012, 14:17 |
|
|
01.09.2012, 15:50
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Spicht für den BB von GData (auch wenn das Vorgehen des Samples nicht so spektakulär ist).
Die Protokolle sind leider noch immer arg eingeschränkt - aus dem protokollierten von GData heraus kann man nur hoffen/vermuten, dass die a01a0515cb8631ae.exe (Zufallsname in deinem Test) blockiert wurde, bevor sie den Treiber erstellte. Wesentliche Aktionen des Samples CODE Write file Process: d:\downloads\c05c2118f9c90bf9e1837b37fca33ba0\c05c2118f9c90bf9e1837b37fca33ba0.exe Target: C:\Users\Sebastian\AppData\Local\12ed5df0c18738d2.exe Create new process Process: d:\downloads\c05c2118f9c90bf9e1837b37fca33ba0\c05c2118f9c90bf9e1837b37fca33ba0.exe Target: c:\users\sebastian\appdata\local\12ed5df0c18738d2.exe Cmd line: C:\Users\Sebastian\AppData\Local\12ed5df0c18738d2.exe Create new process Permitted Process: d:\downloads\c05c2118f9c90bf9e1837b37fca33ba0\c05c2118f9c90bf9e1837b37fca33ba0.exe Target: c:\windows\system32\cmd.exe Cmd line: cmd.exe /C del /Q /F "D:\Downloads\C05C2118F9C90BF9E1837B37FCA33BA0\C05C2118F9C90BF9E1837B37FCA33BA0.exe" Delete file Process: c:\windows\system32\cmd.exe Target: D:\Downloads\C05C2118F9C90BF9E1837B37FCA33BA0\C05C2118F9C90BF9E1837B37FCA33BA0.exe Set registry value Process: c:\users\sebastian\appdata\local\12ed5df0c18738d2.exe Target: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\12ed5df0c18738d2.exe Data: C:\Users\Sebastian\AppData\Local\12ed5df0c18738d2.exe Create file Process: c:\users\sebastian\appdata\local\12ed5df0c18738d2.exe Target: C:\Windows\system32\drivers\6741630.sys Install driver or service Process: c:\users\sebastian\appdata\local\12ed5df0c18738d2.exe Target: C:\Windows\system32\drivers\6741630.sys Create registry key Process: c:\windows\system32\services.exe Target: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\6741630 Set registry value Process: c:\windows\system32\services.exe Target: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\6741630\Start Data: 0x00000001(1) Set registry value Process: c:\windows\system32\services.exe Target: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\6741630\ImagePath Data: \??\C:\Windows\system32\drivers\6741630.sys Load kernel driver Process: c:\windows\system32\services.exe Target: c:\windows\system32\drivers\6741630.sys Die alte Signaturerkennung - war es was generisches bzw. wie lautete sie? Sonst fast logisch unmöglich. -------------------- Don't believe the hype!
|
|
|
02.09.2012, 13:41
Beitrag
#6
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.051 Mitglied seit: 15.10.2006 Mitglieds-Nr.: 5.448 Betriebssystem: Win7 Prof. x64 Virenscanner: GDATA TP 20xx Firewall: GDATA TP 20xx |
Die alte Signaturerkennung war eine generische, ja. Ich teste meistens mit alten Signaturen und da kam es schon ein paar mal vor, dass ein Sample nur mit den alten Signaturen erkannt wird.
ZITAT aus dem protokollierten von GData heraus kann man nur hoffen/vermuten, dass die a01a0515cb8631ae.exe (Zufallsname in deinem Test) blockiert wurde, bevor sie den Treiber erstellte. Ich habe mit GMER einen kurzen Check gemacht und zwar wenn der BB von G Data das Sample wegfischt, dann findet GMER nichts, lässt man es durch, wird ein Rootkit/Treiber gefunden. In diesem Fall dürfte die Infektion also verhindert worden sein. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.04.2024, 02:45 |