[HaBo]

torsten

Anzeige

In der letzten "PC-Welt"-Ausgabe war ein recht interessanter Artikel über Rootkits. Wie sie funktionieren, was sie machen.
Und das angeblich jeder fünfte Rechner verseucht ist.

http://www.pcwelt.de/news/unterhaltu...44/index.html#

Ist ziemlich reisserisch aufgemacht.
Denke aber mal, dass an der Sache doch was dran ist.
Hat jemand Ahnung von diesen Dingern, welches Programm findet sie?

Trotzdem ein grosses "Respekt" an die Leute, die soetwas programmiert haben. Zwar nicht in Ordnung, aber ohne Frage eine reife Leistung.

__________________
Feuer und Wasser härten den Stahl.
Kummer und Leid die menschliche Seele.

2Bios

pcwelt eben. hoch lebe die c't

heinzelJacKy

naja man muss schon ziemlich mit den prinzipien und dem aufbau des windows-systems vertraut sein, um ein rootkit zu schreiben..
zum finden von rootkits kann man rootkit revealer von www.sysinternals.com versuchen, es gibt noch diverse andere, aber selbst bei denen kann man sich nicht sicher sein dass sie gefunden werden (-->HackerDefender)

wuerd mich aber mal interessieren, ob ueberhaupt stimmt, was sie in diesem artikel schreiben (hab ihn selber noch nicht gelesen..)

-->heise

brain21

"Rootkit" beschreibt eine Art sich vor der WindowsAPI zu verstecken.

Ja, das muss man, neben der Packung Aspirin und viel Kaffee.

RootkitRevealer durchsucht die Festplatte nach Dateien, und zwar auf eine Art, wie diese auch physikalisch auffindbar sind. Man kann es mit dem OSI-Modell vergleichen. Erst durchschaut RootkitRevealer auf der untersten Schicht nach und vergleicht dann dieses Ergebnis mit dem, was er auf der Anwenderschicht findet.

Wenn er auf der Festplatte Informationenen findet, die durch die WindowsAPI nicht auffindbar waren, werden diese angezeigt.

Ich habe auf diversen Rechnern Dateien gefunden, die in der Rootkit-Methode versteckt wurden. Bei Windows kann man sie ganz einfach löschen, indem man im abgesicherten Modus hochfährt, da sind sie sichtbar.


Grob geschätzt könnte ich dieser Zahl zustimmen.

CDW

Finde (mit einem Taskmanager Deiner Wahl) das zur Meldung dazugehörende Programm (Anhang). Es zeigt (wenn es läuft) eine Meldung an - müsste also auch irgendwo laufen :

PS: getestet auf XP SP1(sollte auch auf SP2 gehen), läuft nicht auf win2k (war mal als eine kleine Demo für Tinys Anti-Hook Routinen gedacht (April 2005), deswegen ist der ganze Kram recht OS abhängig, und ich hatte keine Lust noch zusätzlich win2k zu berücksichtigen , Nebeneffekt ist eben diese "Tarnung" .D.h im Idealfalls sollte weder die PFW noch ein AV über die eignetlich "unerlaubten" Methoden meckern und im Taskmanager erscheint es nicht)

Angehängte Dateien

Firewalltest.rar (1,8 KB, 81x aufgerufen)

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

Lesco

Hier noch interessante Literatur zu dem Thema, falls es dich interessiert:
http://www.amazon.de/exec/obidos/ASI...461257-4749828
http://www.amazon.de/exec/obidos/ASI...461257-4749828
Das zweite hat jetzt nichts direkt mit Rootkits zu tun, aber es passt schon dazu.

Sven

@ lesco
denkst du er/wir/irgendwer hier hat nen Gelscheisser? *g

aber ich halte die Aussage dass jeder 5te Rechner infiziert ist/sein könnte für sehr unglaubwürdig

__________________
Mein Portfolio
Meine Fotogalerie
best view with open eyes

2Bios

eine frage: eigentlich muss sich das rootkit irgendwie auf der platte verstecken(ausblenden über winapi). ich habe mir nämlich ein programm geschrieben dass mir von jeder datei einen md5-hash macht und diesen mit dem pfad in einer datei ablegt. wenn ich nun ab und zu bartpe boote und den "gehashten" datensatz mit dem vorhandenen dateien vergleiche müsste ich doch eigentlich alle rootkits finden, oder? (wenn die sich nicht gerade in einem stream verstecken)

meadow

in dem artikel ist ein welbung für eine pornosteite (waa is die alt und schirch *scnr). weil solche seiten ja nieeeeeeee adaware und co oben haben. ziehmlich naja pc-welt halt c't > pcwelt

tom67

sind dir rootkits nicht eher auf shellskripts aufgebaut und schon älter ,als die neueren viren?
ich kann vielleicht was durcheinander bringen, aber von unix ,shell skripts solten ähnliches können, oder?

thx thomas

heinzelJacKy

interessantes programm, könntest du mir den source oder die binary geben? (evtl PN/ICQ etc.?) wär auf jeden fall recht nuetzlich.

aber wie bekommst du den ersten datensatz von deinem online-system? denn wenn du n ganz normales usermode-prog hast, dann fehlen dir etliche system-dateien auf die du keinen zugriff hattest, und die dir dann beim vergleich mit bartPE als suspicious etc. angezeigt werden, und das ganze auszusortiern is dann auch muehsam..
aber generell sollten die dateien auf deinem PE sichtbar sein, da ja das rootkit laufen muss, um sie zu verstecken, wenn sie nicht wie du sagst in nem stream stecken.
kommt halt drauf an, wie dein programm arbeitet...

tom67

da hast aber dem falschen geantwortet ich hab keine proggie ,sondern genug bekannte und kollegen die ,weils zu wenig ahnung haben sich öfters was fangen .

torsten

Irgendwo hatte ich mir da was eingefangen- war ich der Meinung. Den Namen habe ich leider vergessen.

Jedenfalls war der Schädling dem Online-Ratgeber von Sophos bekannt.
Das "Microsoft Tool zum entfernen bösartiger Software" meinte dagegen, mein Rechner ist sauber.

Dann glaube ich das schweren Herzens mal, da ich keine Lust habe, meinem Windows den Lebensnerv abzuschneiden, da der Name des betreffenden Schädlings sich so circa 3200 mal in meine Registry eingeschlichen hatte. Hat jedenfalls die Windows Dateisuche ergeben.

Die Frage ist jedoch, wieso Sophos meint, ich habe einen Virus auf meinem Rechner, aber der Virenscanner meldet nichts

Ist meine Kiste nun verseucht? Mh, grosse Frage. Und was machen?

__________________
Feuer und Wasser härten den Stahl.
Kummer und Leid die menschliche Seele.

tom67

ich hab die links nicht auf meinem ibook wo man proggies findet um rootkits zu finden und entfernen da antihackerbuch beschreibst auch ganz gut

heinzelJacKy

das ganze war ja auch an 2bios gerichtet, drum sein zitat davor ;-)

eventuell ist der virenscanner mit dem rootkit infiziert, darum kann er sich vor ihm verstecken. an deiner stelle wuerd ich mich eher auf den scanner verlassen, der sagt du hast was böses auf der platte, als auf den der dir die welt schönredet

1. im abgesicherten modus booten und dort diverse scanner/rk-revealer lauffen lassen
2. mit nem PE booten (bartPE z.b., aber bitte nicht erst jetzt eine boot-cd erstellen, ne infizierte boot-cd macht sich nun mal auch nich so gut..) und diverse scans machen
3. wenn irgendwo was gefunden wird, mindestends dein win neu aufsetzen, am besten die hdd formatieren, falls du dir was eingefangen hast, was sehr viele andere dateien infiziert, lieber auf nummer sicher gehen..

wenn nichts gefunden wird, trotzdem win neu aufsetzen, schadet sicher nicht ;-)