FakeAVs jetzt mit Rootkitkomponenten Einstellungen

[SLE]

Pünktlich zu Win8 gibt es auch das Win8 Security System als FakeAV

Aktuelle Erkennung (man beachte - das Ding ist schon mindestens einen Tag itw, nimmt man das erste Erscheinen bei VT als Anhaltspunkt): Hier

Das besondere - die allerneuesten Varianten davon kommen mit einem speziellen Rootkit Treiber, der die Erkennung und Entfernung enorm erschwert und es immer wieder repariert. Natürlich gibt es auch eine x64 Version, eigene digitale Signaturen etc. - eben das volle Programm.

Details im Blog von HitmanPro (Link)

Für den einmal installierten Rootkittreiber ist die Erkennung aktuell noch erbärmlicher: Link

Sample für eigene dynamische Tests per PN.

Der Beitrag wurde von SLE bearbeitet: 31.08.2012, 21:44

[markus17]

Schön, da wird es sicher wieder einige Kandidaten treffen...

[Rios]

Als gäbe es bei den Kollegen von Anti Botnet und TBoard, nicht schon genug abzuarbeiten. GVU BKA, und Gema. Stress permanent! die Leute dort, machen echt einen guten Job

[markus17]

So, ich habe das Sample mal mit G Data getestet und es kommt sofort nach dem Ausführen eine Meldung vom BB und die Malware wird gelöscht - siehe Protokoll:

*** Prozess ***

Prozess: 660
Dateiname: c05c2118f9c90bf9e1837b37fca33ba0.exe
Pfad: c:\dokumente und einstellungen\admin\desktop\c05c2118f9c90bf9e1837b37fca33ba0\c05c2118f9c90bf9e1837b37fca33ba0.exe

Herausgeber: Unbekannter Herausgeber

Gestartet von: explorer.exe
Herausgeber: Microsoft Windows Component Publisher


*** Aktionen ***

Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Das Programm hat eine Kopie von sich selbst angelegt.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Dokumente und Einstellungen\Admin\Desktop\C05C2118F9C90BF9E1837B37FCA33BA0\C05C2118F9C90BF9E1837B37FCA33BA0.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\a01a0515cb8631ae.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\d1775d12.tmp

Folgende Registry Einträge wurden gelöscht:


YGLRtvKQcqInJ7lywtBygnKCYmLgcnIrJ4dyknAqdHJCJycmBrdycnJyYmKQKxZtKwn8cnJycmJi
8CgnJycnJgbPcnJycmJicGZycnJyYmJwusJxWWO2ksJxWWO2csJxWWO2ggAA
Version der Regeln: 3.1.5
OS: Windows 5.1 Service Pack 3.0 Build: 2600 - Workstation 32bit OS
BB Revision: 24098

"C:\Dokumente und Einstellungen\Admin\Desktop\C05C2118F9C90BF9E1837B37FCA33BA0\C05C2118F9C90BF9E1837B37FCA33BA0.exe"
C:\WINDOWS\Explorer.EXE

Das witzige ist, als ich es mit der G Data Version mit Signaturen vom 2.4.2012 testen wollte, schlägt der Wächter zu. D.h. das Sample wurde fünf Monaten einmal per Signatur erkannt!

Der Beitrag wurde von markus17 bearbeitet: 01.09.2012, 14:17

[SLE]

Spicht für den BB von GData (auch wenn das Vorgehen des Samples nicht so spektakulär ist).
Die Protokolle sind leider noch immer arg eingeschränkt - aus dem protokollierten von GData heraus kann man nur hoffen/vermuten,
dass die a01a0515cb8631ae.exe (Zufallsname in deinem Test) blockiert wurde, bevor sie den Treiber erstellte.

Wesentliche Aktionen des Samples

CODE

Write file
Process: d:\downloads\c05c2118f9c90bf9e1837b37fca33ba0\c05c2118f9c90bf9e1837b37fca33ba0.exe
Target: C:\Users\Sebastian\AppData\Local\12ed5df0c18738d2.exe

Create new process
Process: d:\downloads\c05c2118f9c90bf9e1837b37fca33ba0\c05c2118f9c90bf9e1837b37fca33ba0.exe
Target: c:\users\sebastian\appdata\local\12ed5df0c18738d2.exe
Cmd line: C:\Users\Sebastian\AppData\Local\12ed5df0c18738d2.exe

Create new process Permitted
Process: d:\downloads\c05c2118f9c90bf9e1837b37fca33ba0\c05c2118f9c90bf9e1837b37fca33ba0.exe
Target: c:\windows\system32\cmd.exe
Cmd line: cmd.exe /C del /Q /F "D:\Downloads\C05C2118F9C90BF9E1837B37FCA33BA0\C05C2118F9C90BF9E1837B37FCA33BA0.exe"

Delete file
Process: c:\windows\system32\cmd.exe
Target: D:\Downloads\C05C2118F9C90BF9E1837B37FCA33BA0\C05C2118F9C90BF9E1837B37FCA33BA0.exe

Set registry value
Process: c:\users\sebastian\appdata\local\12ed5df0c18738d2.exe
Target: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\12ed5df0c18738d2.exe
Data: C:\Users\Sebastian\AppData\Local\12ed5df0c18738d2.exe

Create file
Process: c:\users\sebastian\appdata\local\12ed5df0c18738d2.exe
Target: C:\Windows\system32\drivers\6741630.sys


Install driver or service
Process: c:\users\sebastian\appdata\local\12ed5df0c18738d2.exe
Target: C:\Windows\system32\drivers\6741630.sys


Create registry key
Process: c:\windows\system32\services.exe
Target: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\6741630

Set registry value
Process: c:\windows\system32\services.exe
Target: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\6741630\Start
Data: 0x00000001(1)

Set registry value
Process: c:\windows\system32\services.exe
Target: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\6741630\ImagePath
Data: \??\C:\Windows\system32\drivers\6741630.sys

Load kernel driver
Process: c:\windows\system32\services.exe
Target: c:\windows\system32\drivers\6741630.sys

Die alte Signaturerkennung - war es was generisches bzw. wie lautete sie? Sonst fast logisch unmöglich.

[markus17]

Die alte Signaturerkennung war eine generische, ja. Ich teste meistens mit alten Signaturen und da kam es schon ein paar mal vor, dass ein Sample nur mit den alten Signaturen erkannt wird.

aus dem protokollierten von GData heraus kann man nur hoffen/vermuten,
dass die a01a0515cb8631ae.exe (Zufallsname in deinem Test) blockiert wurde, bevor sie den Treiber erstellte.

Ich habe mit GMER einen kurzen Check gemacht und zwar wenn der BB von G Data das Sample wegfischt, dann findet GMER nichts, lässt man es durch, wird ein Rootkit/Treiber gefunden. In diesem Fall dürfte die Infektion also verhindert worden sein.