Neues Rootkit spioniert sehr gut getarnt Daten aus Einstellungen

[Kenshiro]

Hallo,

Das Sicherheitsunternehmen Prevx hat vor einer neuen Variante des Rootkits Mebroot gewarnt. Diese soll sich aktuell ausbreiten und über ausgefeilte Methoden verfügen, sich vor der Entdeckung durch Security-Software zu schützen.

Quelle
Winfuture

[Kenshiro]

Hier noch zum Thema:

Jacques Erasmus, Forschungsleiter bei Prevx, geht davon aus, dass die neue Rootkit-Version bereits fleißig verbreitet wird. Sie ist nur entdeckt worden, weil der PC eines Prevx-Kunden damit infiziert wurde. Es seien bereits mehrere tausend Web-Server gehackt und manipuliert worden, um die neue Mebroot-Version zu verbreiten.

Quelle

[Voyager]

ist jetzt die Frage warum das Symantec als ein Risiko aus dem Jahr 2005 erkennt ? die technischen Details passen ja nichtmal auf die Malwarebeschreibung.

http://www.symantec.com/security_response/...-99&tabid=1

[raman]

Das kommt daher, das die bei Symantec beschriebene Malware eine extrem alte Variante der "Sinoval" Gang ist.

[Kenshiro]

Bin von KL enttäuscht

[Voyager]

@raman

Danke Raman , wäre ich jetzt nicht darauf gekommen , ich kann mir kaum vorstellen das Symantec dort einfach eine Signatur nach dem Ene Mene Muh Prinzip drüberzieht , wenn würden die eher Trojan.Horse oder ähnliche Allgemeinbezeichnungen verwenden da gibts ja eine ganze Menge davon.
Aber woher weisst du jetzt das Trojan.Anserin zur "Sinoval" Gang gehört ?

Der Beitrag wurde von Voyager bearbeitet: 16.04.2009, 17:55

[raman]

Aber woher weisst du jetzt das Trojan.Anserin zur "Sinoval" Gang gehört ?

Als Dropper wird er groesstenteils immer noch als Sinoval gemeldet.

Scans sind etwas aelter(mitte Maerz)

Scan report of: 1.tmp

AntiVir RKIT/MBR.Sinowal.E
F-Secure Backdoor.Win32.Sinowal.bhc
Ikarus Backdoor.Sinowal
Kaspersky Backdoor.Win32.Sinowal.bhc
Microsoft TrojanDropper:Win32/Sinowal.gen [generic]
Nod32 Win32/Mebroot trojan
Panda Trj/Sinowal.DW
Sophos Mal/Generic-A
Sunbelt Constructor.MBR.Sinowal.E
Symantec Trojan.Mebroot

Scan report of: 2.tmp

AntiVir RKIT/MBR.Sinowal.E
AVG BackDoor.Generic10.AUKM (Trojan horse)
BitDefender Gen:Trojan.Heur.P5139C68686
Dr Web Trojan.Packed.2355
Ikarus Backdoor.Sinowal
McAfee PWS-JA.gen.b (trojan)
Microsoft TrojanDropper:Win32/Sinowal.gen [generic]
Nod32 Win32/Mebroot trojan
Symantec Downloader
Symantec (BETA) Downloader
VBA32 Backdoor.Win32.Sinowal.azz


Kenshiro, den Blogeintrag von KL find ich auch etwas "arm"

[cruchot]

Hab mal geschaut, ob man sich das Viech über die 'Malware Domain List' besorgen kann. Mebroot ist da zwar Verzeichnet, aber der Avira Webscanner meldet nix von Mebroot/Sinowal wenn man die entspr. Seiten aufruft (in einer Sandbox natürlich ;-)

[Voyager]

Die Links sind alle tot oder desinfected weil älter... ich hatte selbst schon geschaut.

[Voyager]

Ich glaube ich hab so einen Burschen gefunden der sich in das Bios der Festplatte kopiert , auf der VM + Gdata wurde er als generischer Rootkit erkannt da dachte ich mir starteste den mal auf der VM + NIS . Das Problem bei den Burschen ist erstmal er hängt sich an einem VM Prozess und csrss.exe auf und lastet die VM zu 100% aus , muss der Virenschreiber die schlechtprogrammierte Malware wohl nochmal kompatibel machen.
Dann deaktivierte sich die Lizenz auf dem NIS09 , da dachte ich erst wie kann der mir da reinpfuschen ? aber Pustekuchen , NIS lies sich wieder per Knopfdruck freischalten und hier liegt die Erklärung , das Rootkit ändert die Hardware ID des PC durch seine Versteck-Aktionen in der Festplatte, es ist die einzigste logische Erklärung wenn man bedenkt das die solche Rootkits gemeldet haben.

http://www.virustotal.com/de/analisis/95b6...03c714061490fd0
Die liegen ausser Avast alle falsch , es muss ein Rootkit sein.

Kaum das Rootkit doppelt geklickt springt NAB auf der anderen VM auch an , aber auch nur weil es Codeinjection perfekt erkennt.


http://www.abload.de/img/267jg.jpg


http://www.abload.de/img/1g6fa.jpg

[cruchot]

Passt das denn zum vermuteten Verhalten der o.g. Malware?

[Voyager]

was meinst du ?

[cruchot]

Hat sich erledigt
Wenn es Mebroot wäre, würden/sollten doch mittlerweile einige Scanner dein File als solchen melden.

[Voyager]

Wenn es Mebroot wäre, würden/sollten doch mittlerweile einige Scanner dein File als solchen melden.

Du weisst aber schon das die Malwareschreiber die Sachen immer wieder ändern und manipulieren so das die AV-Erkennung dann in der Regel fehl schlägt, was glaubst du warum der Großteil der Erkennungen nur auf der Erkennung eines vorhandenen Packers beruhen und nur einer einen Rootkit sieht (Gdata verwendet Avast-Sigs) ? Wie erklärst du dir das NIS auf die offensichtliche Manipulation der Hardware-ID reagiert und eine Neuaktivierung verlangt ?
Es passt auf das beobachtete Verhalten das es sich um Mebroot handelt .

edit:
in der technischen Mebroot Beschreibung steht ausserdem "The Trojan may also inject additional code into usermode processes." , kuck was NAB detectiert hat.

Der Beitrag wurde von Voyager bearbeitet: 17.04.2009, 21:30

[cruchot]

So, ist auch auf meiner Platte angekommen...

[Voyager]

Laut Norton Antibot ist es dasselbe (Codeinjection in alle Prozesse) , diesmal erkennts aber keiner von den Großen AVs.

http://www.virustotal.com/de/analisis/122c...d0c85336e89e78f


http://www.abload.de/img/3buhm.jpg

Gdata erkennt heuristisch einen Dropper aber ich glaube hier ist dann auch schon alles zu spät , schaut einfach auf die CPU-Last , das bleibt so. Genau an der Stelle gab es die Hardwaremanipulation die NIS zur Neuaktivierung zwang.


http://www.abload.de/img/4wlke.jpg

Der Beitrag wurde von Voyager bearbeitet: 18.04.2009, 00:37

[Solution-Design]

Je öfter ich mir deine G-Data-Test mit echter Malware anschaue, je mehr weiß ich, warum ich das Programm nicht benutze

[Rios]

Hier nochmal die Info zu dieser twext.exe

[Solution-Design]

http://www.tecchannel.de/sicherheit/news/2..._ein/index.html

[Julian]

Es wäre nett, wenn jemand a² testen würde.