Seite 1 von 3

Rootkit kinderleicht und einfach entfernen ?

Verfasst: Fr 16. Jan 2009, 11:35
von forenwanderer
Guten Tag,

ich möchte einen praxisnahen Test zusammen mit einem anderen User durchführen, der entweder beweißt, dass Maleware mit Rootkit- Techniken mit einfachen Boardmitteln (Dateiabgleichmethode) durchaus möglich wäre zu finden oder aber, dass die gezeigte Methode bei SemperVideo doch nur beschönigt ist und keinerlei Praxistauglichkeit aufweist.

Die Idee dazu ist aus diesem Thread aus dem ComputerBild- Forum entstanden. Da jedoch dort aufgrund der Forensoftware, die Threads nach Aktivität gelistet werden, kann es geschehen, dass innerhalb kurzer Zeit, dieser Thread aus dem sichtbaren Bereich verschwindet und sich in den Tiefen der SQL- Datenbank verliert. Ein weiterer Aspekt ist die Unsicherheit, dass ich nicht weiß, ob ein Thread in dieser Art dort nicht geduldet wird.

Wie dem auch sei, hier kann ich sicher sein, dass dieser Test gut aufgehoben sein wird.

Der Ablauf:

Zunächst erstelle ich ein kleines Script, dass typische Malewareeigenschaften nachahmt, aber trotzdem weitgehend harmlos bleibt. Mit diesem Script werde ich dann ein frisches Windows XP SP3 quasi "infizieren" und anschließend ein Image davon erstellen. Dieses Image stelle ich dann dem User (dapansen aus dem CoBi- Forum), der die Pseudo- Malware nach der beschriebenen Methode aus dem Video aufspüren will, per Downloadmöglichkeit zur Verfügung.
Ab diesem Zeitpunkt sollte dapansen hier seine Resultate veröffentlichen.
Da ich ja die Pseudo- Malware selbst erstellt habe, ist es mir natürlich möglich, das Ergebnis auswerten zu können.
Das werde ich dann im Anschluss ebenfalls hier veröffentlichen.
Auf diese Weise kann jeder, der sich dafür interessiert nachvollziehen, was möglich ist und was nicht. Ich möchte die Sache so praxisnah wie möglich gestalten...

Anmerkung:
Da ich kein professioneller Programmierer bin und gerade mal für meine Bedürnisse verschiedene Tools entwickeln kann, werde ich nicht die hohe Effizienz eines professionellen Malewareautoren erreichen. Dennoch sollte der Test ausreichend aufschlussreich sein.

Gruß,
Forenwanderer

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Fr 16. Jan 2009, 23:00
von ayin
Ihr könnt hier gerne eure Erfahrungen und sonstiges austauschen. Ich bitte euch lediglich darum, keine bösartige Software im Anhang hochzuladen, da ich ansonsten Schwierigkeiten mit meinem Webhoster bekommen könnte.

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Mi 21. Jan 2009, 12:37
von forenwanderer
Keine Sorge, ayin, es wird nichts hochgeladen noch wird's tatsächlich bösartige Software sein...

...aber aus Interesse habe ich die Pseudo- Maleware mal bei Virustotal hochgeladen:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.21 -
AhnLab-V3 5.0.0.2 2009.01.21 -
AntiVir 7.9.0.57 2009.01.21 -
Authentium 5.1.0.4 2009.01.20 -
Avast 4.8.1281.0 2009.01.20 -
AVG 8.0.0.229 2009.01.20 -
BitDefender 7.2 2009.01.21 Backdoor.Generic.147678
CAT-QuickHeal 10.00 2009.01.21 -
ClamAV 0.94.1 2009.01.20 -
Comodo 939 2009.01.20 -
DrWeb 4.44.0.09170 2009.01.21 -
eSafe 7.0.17.0 2009.01.20 Suspicious File
eTrust-Vet 31.6.6317 2009.01.20 -
F-Prot 4.4.4.56 2009.01.20 -
F-Secure 8.0.14470.0 2009.01.21 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.21 Backdoor.Generic.147678
Ikarus T3.1.1.45.0 2009.01.21 -
K7AntiVirus 7.10.597 2009.01.21 -
Kaspersky 7.0.0.125 2009.01.21 -
McAfee 5501 2009.01.20 -
McAfee+Artemis 5501 2009.01.20 -
Microsoft 1.4205 2009.01.21 -
NOD32 3784 2009.01.21 -
Norman 5.93.01 2009.01.20 -
nProtect 2009.1.8.0 2009.01.21 -
Panda 9.5.1.2 2009.01.21 -
PCTools 4.4.2.0 2009.01.20 -
Prevx1 V2 2009.01.21 -
Rising 21.13.21.00 2009.01.21 -
SecureWeb-Gateway 6.7.6 2009.01.21 -
Sophos 4.37.0 2009.01.21 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.21 -
TheHacker 6.3.1.5.224 2009.01.20 -
TrendMicro 8.700.0.1004 2009.01.21 -
VBA32 3.12.8.10 2009.01.19 -
ViRobot 2009.1.21.1571 2009.01.21 -
VirusBuster 4.5.11.0 2009.01.20 -

Sind das jetzt Fehlalarme oder vorbeugende Maßnahmen ?

Gruß,
Forenwanderer

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Mi 21. Jan 2009, 12:48
von forenwanderer
Der nächste Schritt kann beginnen. Die Pseudo- Malware ist soweit fertig (mit kleineren Mängeln, was auf meine bescheidenen Programmierkünste zurückzuführen ist) und hat ein Windows- Testsystem infiltriert. Jetzt muss dieses System noch zu dapansen gelangen - dies klären wir per PM.

Für Interessenten, die gerne die Sache ebenfalls praktisch überprüfen wollten, kann ich die Pseudo- Malware in dokumentierter Form zur Verfügung stellen. Das Tool richtet keinen Schaden an, den man nicht auf einfache Weise wieder restaurieren könnte, dennoch empfiehlt es sich, die Software auf einem Testsystem oder in einer virtuellen Umgebung zu testen. Ich übernehme jedenfalls keine Haftung für etwaige Schäden, falls doch jemand damit ein Produktivsystem hinrichtet.

Interessenten richten sich bitte per PM oder Email an mich oder ayin!

Gruß,
Forenwanderer

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Mi 21. Jan 2009, 20:23
von Klinkenputzer
Hallo Forenwanderer,
für einen interessierten aber auch unwissenden Fragesteller:

Heißt das, dass nur 3 Virenscanner ein Problem festgestellt haben und alle anderen nicht ?

Gruß Uwe

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Mi 21. Jan 2009, 21:15
von thbrueck
Heißt das, dass nur 3 Virenscanner ein Problem festgestellt haben und alle anderen nicht ?
Ich versuchs mal, zu beantworten.

Genau so ist es, Klinkenputzer

Eben auch diese Diskrepanz gilt es zu beweisen. Neue Maleware, die also noch frisch in den Startlöchern steht oder gerade erst mal in Umlauf gebracht wurde, wird von den Virenscannern kaum bis gar nicht wahrgenommen. Zuerst müssen die Virenjäger auf neue Maleware aufmerksam werden, um sie in die Datenbanken aufzunehmen. Dies dauert unendlich lange und belegt die Unzulänglichkeiten.
Da diese Testmalware offensichtlich typische Verhaltensweisen von echter Maleware nachahmt, haben offensichtlich diese 3 Scanner mit verhaltensbasierender Erkennung angeschlagen, ohne jedoch das Programm spezifizieren zu können. Im Grunde könnte man auch von Fehlalarmen reden, da es ja keine echte Maleware ist, aber das lasse ich mal so stehen.

Interessanter sind die Meldungen selbst: Backdoor.Generic.147678 Es soll sich dabei um ein Hintertürprogramm handeln, also eine Maleware, die sich einen Kommunikationskanal zu seinem Urheber unbemerkt eröffnet hat und somit der Maleware- Schreiber oder -benutzer Zugriff auf das System bekommt, um weitere Maßnahmen durchzuführen.

Suspicious file (verdächtige Datei) kommt der Sache zwar nahe, aber kann erst recht keine Aussage machen, sodass derjenige, der ja bereits aus einem Verdacht eine Datei überprüfen läßt, eigentlich dadurch nicht mehr erfährt.

Grüsse,
Thomas

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Fr 23. Jan 2009, 12:28
von forenwanderer
Zwischenstand:

Zur Zeit habe ich gerade dapansen das infiltrierte Windows- System als Download zur Verfügung gestellt.
1. als Norton Ghost Image
2. als Arconis True Image

Ich hoffe, dass er damit klar kommen wird ?

Außerdem fände ich es gut, wenn noch andere die Test- Maleware in dokumentierter Form testen könnten und wollten. Dies würde die Objektivität erhöhen und die entsprechenden Leute könnten quasi parallel verfolgen, inwieweit dapansen die Maleware findet (gefunden hat).

Auch könnte der eine oder andere mal testen, wie die selbst verwendete Sicherheitssoftware mit der Test- Malware umzugehen vermag...

Gruß,
Forenwanderer

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Mi 28. Jan 2009, 15:20
von dapansen
Hi,

ich hab gedacht ich meld mich hier auch mal und freue mich diesen Test mit Forenwanderer durchführen zu können.

Kurz zum Inhalt.

Ich hab mich im Computerbild-Forum sehr weit aus dem Fenster gelehnt, indem ich behauptet habe, dass ich die von SemperVideo.de (in dem entsprechenden Video) gezeigte Methode für glaubhaft halte.

Dabei gehts im Kern (damit Ihr das nicht alles dort mühsam nachlesen müsst), um den Punkt, dass sich Malware mittels Rootkit-Technik im System "verstecken" kann. Wenn nun eine Live-CD (z.B. Win-PE, Ubuntu) gestartet wird, kann sich die Malware nicht mehr (mit dieser Rootkit-Technik) verstecken. D.h. prinzipiell müsste ein simpler "dir *.*" würde die Datei mit auflisten. (Mir ist natuerlich klar, dass es nicht so einfach ist, aber es geht ums Prinzip). :-)

Ferner hab ich mich mit dem Team von SemperVideo.de in Verbindung gesetz, dass das entsprechende Video produziert hat und die nach den Quellen gefragt.

Demzufolge wird diese Methode von Mark Russinovich (http://technet.microsoft.com/de-de/sysi ... n-us).aspx) von Microsoft Sysinternals (http://blogs.technet.com/Sysinternals/) und Entwickler von RootkitRevealer (http://technet.microsoft.com/de-de/sysi ... n-us).aspx) und dem Microsoft Research Team von "Strider GhostBuster Rootkit Detection" quasi selbst empfohlen.
1. Run "dir /s /b /ah" and "dir /s /b /a-h" inside the potentially infected OS and save the results.
2. Boot into a clean CD, run "dir /s /b /ah" and "dir /s /b /a-h" on the same drive, and save the results.
3. Run a clean version of WinDiff from the CD on the two sets of results to detect file-hiding ghostware
4. Note: there will be some false positives. Also, this does not detect stealth software that hides in BIOS, Video card EEPROM, disk bad sectors, Alternate Data Streams, etc.
Quelle: http://research.microsoft.com/en-us/um/ ... r/rootkit/

Zu 4.: natürlich gibt es zu jeder Regel immer eine Ausnahme, aber es wurde auch nie gehauptet, dass der Dateiabgleich das einzig Wahre ist, sondern nur eine gangbare Technik.

Insoweit halte ich immer noch an meiner Theorie fest und freue mich auf den Test.

Viele Grüße

Tom

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Do 29. Jan 2009, 12:19
von forenwanderer
Hallo,

leider gab es Probleme mit der Bereitstellung eines infizierten Betriebssystemes. Ich hatte vom Testsystem jeweils ein NortonGhost- Image und ein Arconis TrueImage erstellt und es dapansen zur Verfügung gestellt. Seine VMWare kam offensichtlich allerdings nicht mit den Treibern zurecht.

Alternativ erstelle ich daher ein ISO- File einer Unattended XP Installation her, die die Testmaleware automatisch installiert und quasi nach dem 1. Reboot aktiv sein sollte.

Gruß,
Forenwanderer

Re: Rootkit kinderleicht und einfach entfernen ?

Verfasst: Fr 30. Jan 2009, 20:19
von thbrueck
Eigentlich interessiert es mich weniger, ob jemand Maleware manuell aufspüren kann als die Frage, wie die Malewarescanner auf eine solche Maleware mit der Zeit reagieren. Daher habe ich nochmals das Ergebnis bei Virustotal angefordert, was ein interessantes Ergebnis beschert:

Bild

Während BitDefender und G- Data ihre Behauptungen zurückgezogen haben, kommen nun andere AV- Labs mit Mutmaßungen. Besonders bemerkenswert ist das Ergebnis von Comodo. Mal sehen, was da noch so kommt ?

thbrueck