Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

4 Seiten V  < 1 2 3 4 >  
Reply to this topicStart new topic
> TDSS Rootkits 3rd variant, Wer erkennt die schon?
raman
Beitrag 23.12.2009, 15:26
Beitrag #21



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Das kann ich dir leider nicht sagen, da sie mir das nicht erzaehlen wollten. Es wird wohl bestimmte Kriterien geben, die sie auswerten koennen. Bestimmte IP Adressen, bestimmte Empfaengerkonten, keine Ahnung...


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Habakuck
Beitrag 23.12.2009, 17:03
Beitrag #22



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.607
Mitglied seit: 17.02.2009
Mitglieds-Nr.: 7.363



TDL3 ist ein ganz mieser Hund. =)

Das TDSSKIller.exe Tool findet kaum eine Variante ist also nicht zu gebrauchen. Auch die TDSSKiller beta findet nichts. wink.gif

Gmer findet einige Versionen hinkt aber wie immer hinterher.

Combofix zerstört teilweise das ganze System oder findet erst garnichts.

AVZ sieht auch nichts.


Es gibt aber eine Möglichkeit die Infektion festzustellen.

Und zwar lässt man sich mit OldTimer's ListIt Tool die md5s des windows drivers ordners ausgeben.
Fehlt die md5 Summe eines Treibers, kann also nicht errechnet werden so ist der treiber höchst wahrscheinlich infiziert.

Die Bereinigung würde ich über die Recovery Console vornehmen. Sollte die nicht vorhanden sein (Windows CD nicht vorhanden) dann kann man das Rootkit auch anders verarschen. Dafür kopiert man einfach den befallenen Treiber. Das Rootkit schickt dann nicht den infizierten Treiber sondern einen sauberen. Diesen kann man danach mit AVZ im Reboot über den befallenen Treiber kopieren.
Danach ganz normal booten und ein gutes AV laufen lassen. Ich würde DrWeb CureIT empfehlen. Am besten die boot CD.
Das passt dann.

Der Beitrag wurde von Habakuck bearbeitet: 23.12.2009, 17:05


--------------------
"If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein
Go to the top of the page
 
+Quote Post
subset
Beitrag 23.12.2009, 18:03
Beitrag #23



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.902
Mitglied seit: 05.11.2007
Wohnort: Österreich
Mitglieds-Nr.: 6.548

Betriebssystem:
Linux, Windows
Virenscanner:
Sandboxie
Firewall:
Privatefirewall



ZITAT(Habakuck @ 23.12.2009, 17:02) *
Ich würde DrWeb CureIT empfehlen.

Hitman Pro ist für den Anfang auch ganz gut.
Auf einem infizierten System findet z.B. NIS gar nichts, weder der Echtzeitschutz noch der vollständige Systemscan.
Hitman Pro hingegen findet das Rootkit beim Scan innerhalb weniger Sekunden.



MfG


--------------------
Go to the top of the page
 
+Quote Post
Gast_Solaris_*
Beitrag 24.12.2009, 01:58
Beitrag #24


Threadersteller




Gäste






ZITAT(subset @ 23.12.2009, 18:02) *
Auf einem infizierten System findet z.B. NIS gar nichts, weder der Echtzeitschutz noch der vollständige Systemscan.
Hitman Pro hingegen findet das Rootkit beim Scan innerhalb weniger Sekunden.

Magst du auch mit der F-secure Internet Security 2010 testen? Das würde mich wirklich brennend interessieren. Habe leider keine Möglichkeiten um das selber zutun. Nur wenns passt.
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 24.12.2009, 14:31
Beitrag #25






Gäste






Kann jemand das File mal bitte bei Virustotal scannen?


Go to the top of the page
 
+Quote Post
Julian
Beitrag 24.12.2009, 14:37
Beitrag #26



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.794
Mitglied seit: 28.06.2007
Mitglieds-Nr.: 6.287

Betriebssystem:
Windows 7 x64
Virenscanner:
Sandboxie
Firewall:
NAT|Comodo (HIPS)



https://www.virustotal.com/de/analisis/18fc...b7c3-1261661637
5/41


--------------------
Go to the top of the page
 
+Quote Post
subset
Beitrag 25.12.2009, 20:16
Beitrag #27



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.902
Mitglied seit: 05.11.2007
Wohnort: Österreich
Mitglieds-Nr.: 6.548

Betriebssystem:
Linux, Windows
Virenscanner:
Sandboxie
Firewall:
Privatefirewall



ZITAT(Solaris @ 24.12.2009, 01:57) *
Magst du auch mit der F-secure Internet Security 2010 testen?

Ich habe insgesamt 20 Programme damit getestet, allerdings in der VirtualBox.
Die Testergebnisse und die Bilder gibt es hier.
http://drop.io/tdss_test

MfG


--------------------
Go to the top of the page
 
+Quote Post
Habakuck
Beitrag 25.12.2009, 20:53
Beitrag #28



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.607
Mitglied seit: 17.02.2009
Mitglieds-Nr.: 7.363



ZITAT(subset @ 25.12.2009, 20:15) *
Ich habe insgesamt 20 Programme damit getestet, allerdings in der VirtualBox.
Die Testergebnisse und die Bilder gibt es hier.
http://drop.io/tdss_test

MfG

Sauber! Vielen Dank!

Was ich überhaupt nicht verstehe ist warum PrevX die Infektion nicht erkennt, Hitman Pro aber auch mit der PrevX Engine.

Grade weil ich vom Hitman Pro Entwickler die Info bekommen habe, dass die TDSS Erkennnung hauptsächlich auf der PrevX Engine beruht. confused.gif

Da sind mir ein zwei Leute eine Erklärung schuldig.

Auch entäuscht mich avast!


--------------------
"If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 25.12.2009, 20:59
Beitrag #29



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



tdss. Scheinbar immer einen Schritt voraus: http://www.virustotal.com/de/analisis/c2e0...c881-1261770745


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 25.12.2009, 21:08
Beitrag #30



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



AVG findet sich in dem Test selbst als Bedrohung , sehr interessant wink.gif


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Rios
Beitrag 25.12.2009, 21:10
Beitrag #31



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 4.246
Mitglied seit: 12.06.2004
Mitglieds-Nr.: 984

Betriebssystem:
Windows 10



Aber irgendwie haxeln die noch, um sie doch zu kriegen.
http://www.virustotal.com/analisis/fdc022a...e9ee-1261771315
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 25.12.2009, 21:33
Beitrag #32



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



Das verstehe ich bei mir nicht ?!

a-squared Free - Version 4.5
Letztes Update: 23.12.2009 15:15:03

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 23.12.2009 15:41:51

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796000 gefunden: Trace.TrackingCookie.promos.fling.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796001 gefunden: Trace.TrackingCookie.promos.fling.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796003 gefunden: Trace.TrackingCookie.promos.fling.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796004 gefunden: Trace.TrackingCookie.promos.fling.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796005 gefunden: Trace.TrackingCookie.promos.fling.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796006 gefunden: Trace.TrackingCookie.promos.fling.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578777187000 gefunden: Trace.TrackingCookie.clicktorrent.info!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828000 gefunden: Trace.TrackingCookie.adbrite.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828001 gefunden: Trace.TrackingCookie.adbrite.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828002 gefunden: Trace.TrackingCookie.adbrite.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828003 gefunden: Trace.TrackingCookie.adbrite.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828004 gefunden: Trace.TrackingCookie.adbrite.com!A2
C:\WINDOWS\ServicePackFiles\i386\atapi.sys gefunden: Rootkit.Win32.TDSS.u!A2
C:\WINDOWS\system32\drivers\atapi.sys gefunden: Rootkit.Win32.TDSS.u!A2

Gescannt


Dateien: 186359
Traces: 388438
Cookies: 3124
Prozesse: 23

Gefunden

Dateien: 2
Traces: 0
Cookies: 12
Prozesse: 0
Registry Keys: 0

Scan Ende: 23.12.2009 16:34:54
Scan Zeit: 0:53:03

C:\WINDOWS\ServicePackFiles\i386\atapi.sys Quarantäne Rootkit.Win32.TDSS.u!A2
C:\WINDOWS\system32\drivers\atapi.sys Quarantäne Rootkit.Win32.TDSS.u!A2

Quarantäne

Dateien: 2
Traces: 0
Cookies: 0


Und der hier:

a-squared Free - Version 4.5
Letztes Update: 24.12.2009 11:48:21

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 24.12.2009 11:49:13

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261603761843002 gefunden: Trace.TrackingCookie.doubleclick.net!A2

Gescannt

Dateien: 186547
Traces: 388438
Cookies: 3095
Prozesse: 23

Gefunden

Dateien: 0
Traces: 0
Cookies: 1
Prozesse: 0
Registry Keys: 0

Scan Ende: 24.12.2009 12:44:04
Scan Zeit: 0:54:51

Und Kaspersky meldet mir auch nix.

Also wen es die gleiche Malware sein soll.

Das sample steht bei mir auf F, und habe ich nicht ausgführt hoffe ich.

Kann mir jemand erklähren was nu Sache ist bei meinem System ???

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 25.12.2009, 21:37


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 25.12.2009, 21:39
Beitrag #33



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



@ alle

Das passt irgendwie nicht zum posting von subset #27 ?!

Catweazle


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
subset
Beitrag 25.12.2009, 21:51
Beitrag #34



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.902
Mitglied seit: 05.11.2007
Wohnort: Österreich
Mitglieds-Nr.: 6.548

Betriebssystem:
Linux, Windows
Virenscanner:
Sandboxie
Firewall:
Privatefirewall



ZITAT(Habakuck @ 25.12.2009, 20:52) *
Was ich überhaupt nicht verstehe ist warum PrevX die Infektion nicht erkennt, Hitman Pro aber auch mit der PrevX Engine.

Warum ausgerechnet der eine Cloud Scanner das Ding findet und der andere Cloud Scanner nicht, ist tatsächlich nicht einfach zu verstehen.
Aber anscheinend findet der Prevx Scanner an der atapi.sys einfach nichts verdächtiges und lässt sie links liegen.

ZITAT(Voyager @ 25.12.2009, 21:07) *
AVG findet sich in dem Test selbst als Bedrohung , sehr interessant

Die Sache mit der AVG Erkennung (Win32/Cryptor) ist seltsam, entspricht aber der Erkennung des Droppers bei VirusTotal, auch wenn der Name nicht wirklich viel sagt.
Allerdings fanden auch Dr.Web und Kaspersky im Speicher Infektionen.
Ob es dazu wegen eines Bugs beim Rootkit kommt oder der Speicherscan der Programme so gut ist, weiß ich nicht.

Das ist übrigens die Erkennung des Droppers bei VirusTotal:
http://www.virustotal.com/de/analisis/2bbb...9110-1261772998
Das Ding ist seit fast zwei Monaten im Umlauf.

MfG


--------------------
Go to the top of the page
 
+Quote Post
subset
Beitrag 25.12.2009, 21:55
Beitrag #35



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.902
Mitglied seit: 05.11.2007
Wohnort: Österreich
Mitglieds-Nr.: 6.548

Betriebssystem:
Linux, Windows
Virenscanner:
Sandboxie
Firewall:
Privatefirewall



ZITAT(Catweazle @ 25.12.2009, 21:38) *
Das passt irgendwie nicht zum posting von subset #27 ?!

Ist ja offensichtlich auch nicht die gleiche Malware.
Du hast eine !A2 Erkennung, bei mir ist es eine !IK (Ikarus) Erkennung.

MfG


--------------------
Go to the top of the page
 
+Quote Post
Gast_Solaris_*
Beitrag 25.12.2009, 22:19
Beitrag #36


Threadersteller




Gäste






Auch von mir ein herzliches Dankeschön für deine ganze Mühe und Testerei, subset thumbup.gif
Das Gesamtbild der nachträglichen Erkennung sieht wahrlich nicht gut, wobei es mich verwundert, dass es z.T. per Signatur erkannt wurde, obwohl du sagtest, dass keiner im Vorfeld eine entsprechende vorliegen hatte.

Der Beitrag wurde von Solaris bearbeitet: 25.12.2009, 22:20
Go to the top of the page
 
+Quote Post
citro
Beitrag 25.12.2009, 22:32
Beitrag #37



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.829
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1909)
Virenscanner:
Avira free
Firewall:
Comodo



ZITAT(Catweazle @ 25.12.2009, 21:32) *
Das verstehe ich bei mir nicht ?!

C:\WINDOWS\ServicePackFiles\i386\atapi.sys Quarantäne Rootkit.Win32.TDSS.u!A2
C:\WINDOWS\system32\drivers\atapi.sys Quarantäne Rootkit.Win32.TDSS.u!A2


Sende es an fp(at)emsisoft.com

http://support.emsisoft.com/topic/1093-roo...oder-fehlalarm/
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 25.12.2009, 23:10
Beitrag #38



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



ZITAT(citro @ 25.12.2009, 22:31) *



Das war vielleicht ein FP, hatte ich ja zu erst in die Quarantäne geschoben, und dann wurden die zwei Dateien wieder zurück gespielt nach einen update von a².

Oder verstehe ich das komplett Falsch ?

Catweazle


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
subset
Beitrag 25.12.2009, 23:12
Beitrag #39



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.902
Mitglied seit: 05.11.2007
Wohnort: Österreich
Mitglieds-Nr.: 6.548

Betriebssystem:
Linux, Windows
Virenscanner:
Sandboxie
Firewall:
Privatefirewall



ZITAT(Solaris @ 25.12.2009, 22:18) *
Das Gesamtbild der nachträglichen Erkennung sieht wahrlich nicht gut, wobei es mich verwundert, dass es z.T. per Signatur erkannt wurde, obwohl du sagtest, dass keiner im Vorfeld eine entsprechende vorliegen hatte.

Wo habe ich das geschrieben?
Den Dropper des getesteten Rootkits erkennen fast alle, wie man am VirusTotal Link sieht.
Wenn das Rootkit allerdings installiert ist, sieht die Sache anders aus.
Im Wesentlichen erkennen die meisten Programme an der atapi.sys scheinbar deswegen nichts Verdächtiges, weil das Rootkit dies erfolgreich zu verhindern weiß.

MfG

Der Beitrag wurde von subset bearbeitet: 25.12.2009, 23:13


--------------------
Go to the top of the page
 
+Quote Post
Gast_Solaris_*
Beitrag 26.12.2009, 12:15
Beitrag #40


Threadersteller




Gäste






ZITAT(subset @ 25.12.2009, 23:11) *
Wo habe ich das geschrieben?


Ups, da habe ich wohl diesen Satz missverstanden:
Da die Infektion in Echtzeit* von keinem(!) der getesteten Sicherheitsprogramme erkannt
wurde, zählte für die Bewertung das Ergebnis einer vollständigen Systemprüfung.


Darunter steht dann aber nochmal die VT-Erkennung. Sorry.
Go to the top of the page
 
+Quote Post

4 Seiten V  < 1 2 3 4 >
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 11:17
Impressum