TDSS Rootkits 3rd variant, Wer erkennt die schon? |
Willkommen, Gast ( Anmelden | Registrierung )
TDSS Rootkits 3rd variant, Wer erkennt die schon? |
23.12.2009, 15:26
Beitrag
#21
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.932 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das kann ich dir leider nicht sagen, da sie mir das nicht erzaehlen wollten. Es wird wohl bestimmte Kriterien geben, die sie auswerten koennen. Bestimmte IP Adressen, bestimmte Empfaengerkonten, keine Ahnung...
-------------------- MfG Ralf
|
|
|
23.12.2009, 17:03
Beitrag
#22
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
TDL3 ist ein ganz mieser Hund. =)
Das TDSSKIller.exe Tool findet kaum eine Variante ist also nicht zu gebrauchen. Auch die TDSSKiller beta findet nichts. Gmer findet einige Versionen hinkt aber wie immer hinterher. Combofix zerstört teilweise das ganze System oder findet erst garnichts. AVZ sieht auch nichts. Es gibt aber eine Möglichkeit die Infektion festzustellen. Und zwar lässt man sich mit OldTimer's ListIt Tool die md5s des windows drivers ordners ausgeben. Fehlt die md5 Summe eines Treibers, kann also nicht errechnet werden so ist der treiber höchst wahrscheinlich infiziert. Die Bereinigung würde ich über die Recovery Console vornehmen. Sollte die nicht vorhanden sein (Windows CD nicht vorhanden) dann kann man das Rootkit auch anders verarschen. Dafür kopiert man einfach den befallenen Treiber. Das Rootkit schickt dann nicht den infizierten Treiber sondern einen sauberen. Diesen kann man danach mit AVZ im Reboot über den befallenen Treiber kopieren. Danach ganz normal booten und ein gutes AV laufen lassen. Ich würde DrWeb CureIT empfehlen. Am besten die boot CD. Das passt dann. Der Beitrag wurde von Habakuck bearbeitet: 23.12.2009, 17:05 -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
23.12.2009, 18:03
Beitrag
#23
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Ich würde DrWeb CureIT empfehlen. Hitman Pro ist für den Anfang auch ganz gut. Auf einem infizierten System findet z.B. NIS gar nichts, weder der Echtzeitschutz noch der vollständige Systemscan. Hitman Pro hingegen findet das Rootkit beim Scan innerhalb weniger Sekunden. MfG -------------------- |
|
|
Gast_Solaris_* |
24.12.2009, 01:58
Beitrag
#24
|
Threadersteller Gäste |
Auf einem infizierten System findet z.B. NIS gar nichts, weder der Echtzeitschutz noch der vollständige Systemscan. Hitman Pro hingegen findet das Rootkit beim Scan innerhalb weniger Sekunden. Magst du auch mit der F-secure Internet Security 2010 testen? Das würde mich wirklich brennend interessieren. Habe leider keine Möglichkeiten um das selber zutun. Nur wenns passt. |
|
|
Gast_blueX_* |
24.12.2009, 14:31
Beitrag
#25
|
Gäste |
Kann jemand das File mal bitte bei Virustotal scannen?
|
|
|
24.12.2009, 14:37
Beitrag
#26
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
-------------------- |
|
|
25.12.2009, 20:16
Beitrag
#27
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Magst du auch mit der F-secure Internet Security 2010 testen? Ich habe insgesamt 20 Programme damit getestet, allerdings in der VirtualBox. Die Testergebnisse und die Bilder gibt es hier. http://drop.io/tdss_test MfG -------------------- |
|
|
25.12.2009, 20:53
Beitrag
#28
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Ich habe insgesamt 20 Programme damit getestet, allerdings in der VirtualBox. Die Testergebnisse und die Bilder gibt es hier. http://drop.io/tdss_test MfG Sauber! Vielen Dank! Was ich überhaupt nicht verstehe ist warum PrevX die Infektion nicht erkennt, Hitman Pro aber auch mit der PrevX Engine. Grade weil ich vom Hitman Pro Entwickler die Info bekommen habe, dass die TDSS Erkennnung hauptsächlich auf der PrevX Engine beruht. Da sind mir ein zwei Leute eine Erklärung schuldig. Auch entäuscht mich avast! -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
25.12.2009, 20:59
Beitrag
#29
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
tdss. Scheinbar immer einen Schritt voraus: http://www.virustotal.com/de/analisis/c2e0...c881-1261770745
-------------------- Yours sincerely
Uwe Kraatz |
|
|
25.12.2009, 21:08
Beitrag
#30
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
AVG findet sich in dem Test selbst als Bedrohung , sehr interessant
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
25.12.2009, 21:10
Beitrag
#31
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Aber irgendwie haxeln die noch, um sie doch zu kriegen.
http://www.virustotal.com/analisis/fdc022a...e9ee-1261771315 |
|
|
25.12.2009, 21:33
Beitrag
#32
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Das verstehe ich bei mir nicht ?!
a-squared Free - Version 4.5 Letztes Update: 23.12.2009 15:15:03 Scan Einstellungen: Scan Methode: Eigener Scan Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\ Archiv Scan: An Heuristik: An ADS Scan: An Scan Beginn: 23.12.2009 15:41:51 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796000 gefunden: Trace.TrackingCookie.promos.fling.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796001 gefunden: Trace.TrackingCookie.promos.fling.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796003 gefunden: Trace.TrackingCookie.promos.fling.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796004 gefunden: Trace.TrackingCookie.promos.fling.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796005 gefunden: Trace.TrackingCookie.promos.fling.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578682796006 gefunden: Trace.TrackingCookie.promos.fling.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261578777187000 gefunden: Trace.TrackingCookie.clicktorrent.info!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828000 gefunden: Trace.TrackingCookie.adbrite.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828001 gefunden: Trace.TrackingCookie.adbrite.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828002 gefunden: Trace.TrackingCookie.adbrite.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828003 gefunden: Trace.TrackingCookie.adbrite.com!A2 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261579247828004 gefunden: Trace.TrackingCookie.adbrite.com!A2 C:\WINDOWS\ServicePackFiles\i386\atapi.sys gefunden: Rootkit.Win32.TDSS.u!A2 C:\WINDOWS\system32\drivers\atapi.sys gefunden: Rootkit.Win32.TDSS.u!A2 Gescannt Dateien: 186359 Traces: 388438 Cookies: 3124 Prozesse: 23 Gefunden Dateien: 2 Traces: 0 Cookies: 12 Prozesse: 0 Registry Keys: 0 Scan Ende: 23.12.2009 16:34:54 Scan Zeit: 0:53:03 C:\WINDOWS\ServicePackFiles\i386\atapi.sys Quarantäne Rootkit.Win32.TDSS.u!A2 C:\WINDOWS\system32\drivers\atapi.sys Quarantäne Rootkit.Win32.TDSS.u!A2 Quarantäne Dateien: 2 Traces: 0 Cookies: 0 Und der hier: a-squared Free - Version 4.5 Letztes Update: 24.12.2009 11:48:21 Scan Einstellungen: Scan Methode: Eigener Scan Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\ Archiv Scan: An Heuristik: An ADS Scan: An Scan Beginn: 24.12.2009 11:49:13 C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1261603761843002 gefunden: Trace.TrackingCookie.doubleclick.net!A2 Gescannt Dateien: 186547 Traces: 388438 Cookies: 3095 Prozesse: 23 Gefunden Dateien: 0 Traces: 0 Cookies: 1 Prozesse: 0 Registry Keys: 0 Scan Ende: 24.12.2009 12:44:04 Scan Zeit: 0:54:51 Und Kaspersky meldet mir auch nix. Also wen es die gleiche Malware sein soll. Das sample steht bei mir auf F, und habe ich nicht ausgführt hoffe ich. Kann mir jemand erklähren was nu Sache ist bei meinem System ??? Catweazle Der Beitrag wurde von Catweazle bearbeitet: 25.12.2009, 21:37 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
25.12.2009, 21:39
Beitrag
#33
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
@ alle
Das passt irgendwie nicht zum posting von subset #27 ?! Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
25.12.2009, 21:51
Beitrag
#34
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Was ich überhaupt nicht verstehe ist warum PrevX die Infektion nicht erkennt, Hitman Pro aber auch mit der PrevX Engine. Warum ausgerechnet der eine Cloud Scanner das Ding findet und der andere Cloud Scanner nicht, ist tatsächlich nicht einfach zu verstehen. Aber anscheinend findet der Prevx Scanner an der atapi.sys einfach nichts verdächtiges und lässt sie links liegen. AVG findet sich in dem Test selbst als Bedrohung , sehr interessant Die Sache mit der AVG Erkennung (Win32/Cryptor) ist seltsam, entspricht aber der Erkennung des Droppers bei VirusTotal, auch wenn der Name nicht wirklich viel sagt. Allerdings fanden auch Dr.Web und Kaspersky im Speicher Infektionen. Ob es dazu wegen eines Bugs beim Rootkit kommt oder der Speicherscan der Programme so gut ist, weiß ich nicht. Das ist übrigens die Erkennung des Droppers bei VirusTotal: http://www.virustotal.com/de/analisis/2bbb...9110-1261772998 Das Ding ist seit fast zwei Monaten im Umlauf. MfG -------------------- |
|
|
25.12.2009, 21:55
Beitrag
#35
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Das passt irgendwie nicht zum posting von subset #27 ?! Ist ja offensichtlich auch nicht die gleiche Malware. Du hast eine !A2 Erkennung, bei mir ist es eine !IK (Ikarus) Erkennung. MfG -------------------- |
|
|
Gast_Solaris_* |
25.12.2009, 22:19
Beitrag
#36
|
Threadersteller Gäste |
Auch von mir ein herzliches Dankeschön für deine ganze Mühe und Testerei, subset
Das Gesamtbild der nachträglichen Erkennung sieht wahrlich nicht gut, wobei es mich verwundert, dass es z.T. per Signatur erkannt wurde, obwohl du sagtest, dass keiner im Vorfeld eine entsprechende vorliegen hatte. Der Beitrag wurde von Solaris bearbeitet: 25.12.2009, 22:20 |
|
|
25.12.2009, 22:32
Beitrag
#37
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
Das verstehe ich bei mir nicht ?! C:\WINDOWS\ServicePackFiles\i386\atapi.sys Quarantäne Rootkit.Win32.TDSS.u!A2 C:\WINDOWS\system32\drivers\atapi.sys Quarantäne Rootkit.Win32.TDSS.u!A2 Sende es an fp(at)emsisoft.com http://support.emsisoft.com/topic/1093-roo...oder-fehlalarm/ |
|
|
25.12.2009, 23:10
Beitrag
#38
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Das war vielleicht ein FP, hatte ich ja zu erst in die Quarantäne geschoben, und dann wurden die zwei Dateien wieder zurück gespielt nach einen update von a². Oder verstehe ich das komplett Falsch ? Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
25.12.2009, 23:12
Beitrag
#39
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Das Gesamtbild der nachträglichen Erkennung sieht wahrlich nicht gut, wobei es mich verwundert, dass es z.T. per Signatur erkannt wurde, obwohl du sagtest, dass keiner im Vorfeld eine entsprechende vorliegen hatte. Wo habe ich das geschrieben? Den Dropper des getesteten Rootkits erkennen fast alle, wie man am VirusTotal Link sieht. Wenn das Rootkit allerdings installiert ist, sieht die Sache anders aus. Im Wesentlichen erkennen die meisten Programme an der atapi.sys scheinbar deswegen nichts Verdächtiges, weil das Rootkit dies erfolgreich zu verhindern weiß. MfG Der Beitrag wurde von subset bearbeitet: 25.12.2009, 23:13 -------------------- |
|
|
Gast_Solaris_* |
26.12.2009, 12:15
Beitrag
#40
|
Threadersteller Gäste |
Wo habe ich das geschrieben? Ups, da habe ich wohl diesen Satz missverstanden: Da die Infektion in Echtzeit* von keinem(!) der getesteten Sicherheitsprogramme erkannt wurde, zählte für die Bewertung das Ergebnis einer vollständigen Systemprüfung. Darunter steht dann aber nochmal die VT-Erkennung. Sorry. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 28.03.2024, 11:17 |