Neues Rootkit spioniert sehr gut getarnt Daten aus Einstellungen

[Voyager]

http://www.virustotal.com/de/analisis/d0cc...4bc9373e7108939

Der hat dasselbe Verhalten , die Erkennung ist mager mit 6/40. Einzig NAB scheint hier zuverlässig zu agieren obwohl ich dafür nicht meine Hand ins Feuer lege , NAB kann nicht in den MBR schauen und die Windows Firewall schaltet sich dummerweise einen Moment nach der Bereinigung incl. Reboot immernoch ab als wäre da noch irgend etwas auf dem VM-System drauf was die Aktion auslöst.


Edit:

@Julian

ich hab mal alles vom 13-18.4. gescannt mit a2

Scan Beginn: 18.04.2009 16:56:09

C:\Dokumente und Einstellungen\Jens\Desktop\chrome.exe gefunden: Trojan.Win32.Zbot!IK
C:\Dokumente und Einstellungen\Jens\Desktop\codec.exe gefunden: Trojan-Dropper.Agent!IK
C:\Dokumente und Einstellungen\Jens\Desktop\erfgbhnjygtf.exe gefunden: Trojan.Crypt!IK
C:\Dokumente und Einstellungen\Jens\Desktop\file1.exe gefunden: Trojan.Win32.FakeSpyguard!IK
C:\Dokumente und Einstellungen\Jens\Desktop\free.exe gefunden: Packed.Win32.Krap!IK
C:\Dokumente und Einstellungen\Jens\Desktop\installpv.exe gefunden: Trojan.Kryptik!IK
C:\Dokumente und Einstellungen\Jens\Desktop\installpv1.exe gefunden: Trojan.Kryptik!IK
C:\Dokumente und Einstellungen\Jens\Desktop\jnk.exe gefunden: Trojan-Spy.Win32.Bebloh!IK
C:\Dokumente und Einstellungen\Jens\Desktop\ldr.exe gefunden: Riskware.FraudTool.Win32.SpywareProtect2009!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pac2.exe gefunden: PWS.Win32!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pch.exe gefunden: Win32.SuspectCrc!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pch4.exe gefunden: Win32.SuspectCrc!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pp.06.exe gefunden: Worm.Win32.Koobface!IK
C:\Dokumente und Einstellungen\Jens\Desktop\pp.exe gefunden: Trojan-PWS.Win32.LdPinch!IK
C:\Dokumente und Einstellungen\Jens\Desktop\rdr.exe gefunden: Trojan-Spy.Win32.Zbot!IK
C:\Dokumente und Einstellungen\Jens\Desktop\readme.pdf gefunden: Exploit.PDF-JS!IK
C:\Dokumente und Einstellungen\Jens\Desktop\setup2.exe gefunden: Trojan.Win32.Vaklik!IK
C:\Dokumente und Einstellungen\Jens\Desktop\sol_cn.exe gefunden: Trojan.Win32.Agent!IK
C:\Dokumente und Einstellungen\Jens\Desktop\ya.exe gefunden: Trojan.Waledac!IK

5 offensichtliche Malware-Objekte verbleiben noch im Ordner.

Der Beitrag wurde von Voyager bearbeitet: 18.04.2009, 16:01

[Julian]

Danke. Allerdings meinte ich, ob es vom Verhaltensblocker in Standardeinstellungen erkannt wird, hab mich da wohl etwas undeutlich ausgedrückt

[cruchot]

Was du so alles auf dem Desktop rumliegen hast

[Voyager]

@Julian

Das a2 free hat sowas aber nicht ?

[Solution-Design]

...VM + Gdata wurde er als generischer Rootkit erkannt da dachte ich mir starteste den mal auf der VM + NIS . Das Problem bei den Burschen ist erstmal er hängt sich an einem VM Prozess und csrss.exe auf und lastet die VM zu 100% aus , muss der Virenschreiber die schlechtprogrammierte Malware wohl nochmal kompatibel machen.
Dann deaktivierte sich die Lizenz auf dem NIS09 , da dachte ich erst wie kann der mir da reinpfuschen ? aber Pustekuchen , NIS lies sich wieder per Knopfdruck freischalten und hier liegt die Erklärung , das Rootkit ändert die Hardware ID des PC durch seine Versteck-Aktionen in der Festplatte, es ist die einzigste logische Erklärung wenn man bedenkt das die solche Rootkits gemeldet haben.

Kaum das Rootkit doppelt geklickt springt NAB auf der anderen VM auch an , aber auch nur weil es Codeinjection perfekt erkennt.

Der in NIS vorhandene Verhaltensblocker tut aber irgendwie nix, oder?

Das a2 free hat sowas aber nicht ?

Nein, hat es nicht. Habe aber leider nicht dieses RootKit, aomit nix Test.

Also, wenn ich die ganzen Probleme so sehe... NIS und NAB scheinen durchaus noch ihre Berechtigung zu haben. Zumindest sind diese Programme die problemlosesten, die ich kenne. Vielklickerei - bei Avira, tu nix im Automode - bei Kaspersky, Reset - bei Avast, erkenne nix - beim Verhaltensblocker von G-Data, Brems was das Zeug hält - bei F-Secure und McAfee, erkenne mal besser nicht ganz so viel und tu keinem weh - bei NOD32... erkenne was das Zeug hält auch wenns zu viel ist - bei a2... So richtig viel bleibt an guten Programmen ja nicht mehr übrig.

[Voyager]

Das sind die Threatexpert Details zu ldr.exe (Beitrag 10)
http://www.threatexpert.com/report.aspx?md...77ffffab3890006

Das sind die Threatexpert Details zu chrome.exe (Beitrag 16)
http://www.threatexpert.com/report.aspx?md...65210f2a39d9860

Das sind die Threatexpert Details zu erfgbhnjygtf.exe (Beitrag 21)
http://www.threatexpert.com/report.aspx?md...7148df4ecf1da7a

Die haben alle 3 leicht unterschiedliche Verhaltensweisen , das hier an der Hardware-ID aber manipuliert wurde sieht man aber irgendwie nicht in dem Log, möglicherweise wird es von TE nicht bemerkt.
Wer mehr dazu sagen kann, bitte schön.


edit:
@SD

Der in NIS vorhandene Verhaltensblocker tut aber irgendwie nix, oder?

NIS ist damit beschäftigt die Lizenz zu überprüfen wegen der Hardware-ID Geschichte. Sonar sagt leider nichts.


Der Beitrag wurde von Voyager bearbeitet: 18.04.2009, 17:02

[Solution-Design]

NIS ist damit beschäftigt die Lizenz zu überprüfen wegen der Hardware-ID Geschichte. Sonar sagt leider nichts.

Super gelle? Ich ändere per Malware die Hardware-ID und schalte somit das AV ab. Das Ding gibt zwar Alarm, aber in der Zeit verseucht meine Malware die Kiste.

[Solution-Design]

Frage: Hat sich bezüglich dieser Malware bei Sonar etwas getan? Immerhin gab es bei Symantec ja schon ein paar Updates.

[Voyager]

Ich habse nichtmehr da.

[Gast_ravu_*]

Da die Kommunikation über den herkömmlichen WWW-Port Erfolg, helfen auch Firewalls kaum.

Wie darf man das verstehen?

[Solution-Design]

Gar nicht. Woher stammt das Zitat? Du hast den Urheber beim Zitieren entfernt.

[Voyager]

Hier wurde ein Botnetz der Sinoval Gang untersucht , ganz interessant

http://www.heise.de/newsticker/Im-Koerper-.../meldung/137260

[Habakuck]

Guter Artikel.

Allerdings halte ich die "neue" Sinowal Version die PrevX beschrieben hat für eine PR Aktion da nicht, absolut nichts von den anderen AV-Firmen kommt...

[Gast_ravu_*]

Gar nicht. Woher stammt das Zitat? Du hast den Urheber beim Zitieren entfernt.

Aus dem genannten Link in Beitrag #1. Gerade aus diesem Grund verwenden doch 99 % der Firewall-Befürworter eine Software-Firewall, in diesem Fall dann wohl oft umsonst

[Solution-Design]

Die Software-Firewall unterscheidet schon, wer da den Port 80 nutzt. Und wenn sie scharf gestellt ist, bemekt sie auch, wann ein Programm über den Browser hinaus will. Abgesehen davon, dass Malware ja meist (abgesehen von Exploits) ausgeführt werden muss.

[Gast_Nightwatch_*]

Hi

Zwei Monate sind nun vergangen. Prevx ist immer noch mit das einzige Unternehmen, das diese neuen MBR-Rootkit-Varianten verlässlich aufspüren und bereinigen kann:

Unfortunately, two months are off, only a couple of security vendors and independent researchers implemented a working detector for it. This is not good, especially if we are talking about the same threat that has infected ten of thousands of PC around the globe last year, stealing password, bank accounts and personal informations.

Jetzt gibt es eine weitere Variante...noch intelligenter augebaut:

Result is that only five applications are able to fully detect this threat - included Prevx 3.0 which has been the first.

Now, after this update, we're the only one still able to detect and succesfully remove the infection.

(Quellen: http://www.prevx.com/blog/131/MBR-Rootkit-reloaded.html )

Ich hoffe, dass sich hier noch etwas tut. Auch F-Secure´s Blacklight bleibt blind. Das ist unschön

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 30.05.2009, 01:04

[Voyager]

Wenns stimmt was die erzählen ist das ok , ich bin da eher skeptisch weil der Artikel wie ein Marketing aufgezogen ist.

[Gast_Nightwatch_*]

Wenns stimmt was die erzählen ist das ok , ich bin da eher skeptisch weil der Artikel wie ein Marketing aufgezogen ist.

Jepp, überprüfen können wir das wohl nicht. Zumindest soll Prevx nun alle Samples und Details zum Rootkit an andere Unternehmen weitergegeben haben, die explizit angefragt hatten:
http://www.wilderssecurity.com/showpost.ph...p;postcount=181

Gruß,
Nightwatch

[Gast_Nightwatch_*]

Das neue MBR-Rootkit hat es ziemlich in sich. Wie ich schon schrieb, wird es aktuell von 6 verschiedenen AV-/AM-Programmen erkannt.
(Link als Erinnerung: http://www.prevx.com/blog/131/MBR-Rootkit-reloaded.html )

Nun soll die Variante auch Virtualisierungsprogramme umgehen können. Returnil z.B. erweist sich hierbei als löchrig:
http://www.wilderssecurity.com/showpost.ph...amp;postcount=3

Dieses wurde von returnil bestätigt. Die aktuelle Beta-Version 3 soll wohl schon gegen die Infektion des Rootkits schützen können.

Gruß,
Nightwatch