[HaBo]

Forks · 06.10.11, 14:31

tl;dr: Hat schon jemand mit ZeroAccess/rootkit.sirefef/Max++ Bekanntschaft gemacht?

Moin. Habe in den letzten Tagen auf der Arbeit versucht rauszufinden, warum eine WinXP-VM von einem unserer User plötzlich verrückt spielt. Folgende Symptome:

- Programme können plötzlich nicht mehr ausgeführt werden, folgende Fehlermeldung: "Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item."

- In der Systemsteuerung unter Add/Remove Programs ließen sich keine Windows-Komponenten mehr entfernen (der klick auf das Symbol dafür links brachte eine Fehlermeldung mit kaputten/fehlenden DLLs, in unserem fall wsock32.dll und iis.dll). Ich wollte dort IE Extended Security Deinstallieren, da obiges Symptom teilweise auch dadurch entstehen kann.

- Virenscanner zerschossen. Microsofts FEP war dauerhaft deaktiviert und ließ sich nicht reaktivieren (Errorcode 0xIrgendwas, habe ich mir nicht gemerkt. Entspricht aber auch der Meldung "Access Denied/Missing Permissions". MalwareBytes lies sich einmal installieren und starten, aber ist während dem Scannen abgestürtzt.

Natürlich habe ich erst nach viiielen Versuchen mal den IE gestartet und damit nach etwas gegoogelt. Ein Klick auf die Suchergebnisse hat mich dann jedesmal über marveloussearchsystem.com (oder so in etwa) auf eine bestimmte Seite umgeleitet. Da war dann klar, dass die VM verseucht ist.

Gegoogelt -> Es ist das ZeroAccess Rootkit, auch bekannt als rootkit.sirefef oder Max++

Ich habe jetzt mal das Removal-Tool von Bitdefender drüberlaufen lassen und das hat 4 Files gefunden. Mache gerade noch ein Backup von der VM für alle Fälle, danach lasse ich das System dann cleanen und neustarten.

Ich weis, dass ein simples entfernen nicht sicher ist und ich werde morgen noch SARDU auf die VM hetzen, aber falls jemand von euch das schonmal auf nem PC hatte: Wurden die fehlenden Benutzer-Rechte automatisch wieder hergestellt nachdem das Rootkit entfernt wurde? Und ich habe gelesen, dass sich das Rootkit derzeit noch nicht weiterverbreitet, wisst ihr was genaueres?

Gruß, Forks

PS: Jaja, PC infiziert -> Platt machen einzige Möglichkeit. Ist bekannt. Werde ich aber warscheinlich erst in ein paar Tagen machen können und daher erstmal so...

PS++: Removal-Tool hat nichts gebracht, wird also definitiv platt gemacht .

xrayn · 06.10.11, 18:24

Ein sehr schöner Artikel und vielleicht hilft er dir weiter: Step-by-Step Reverse Engineering Malware: ZeroAccess / Max++ / Smiscer Crimeware Rootkit | *InfoSec Institute – IT Training and Information Security Resources

Anzeige

- Anzeige -

06.10.11, 14:31	#1 (permalink)
Forks Registriert seit: 22.08.11 Likes: 26	rootkit.sirefef / ZeroAccess Anzeige tl;dr: Hat schon jemand mit ZeroAccess/rootkit.sirefef/Max++ Bekanntschaft gemacht? Moin. Habe in den letzten Tagen auf der Arbeit versucht rauszufinden, warum eine WinXP-VM von einem unserer User plötzlich verrückt spielt. Folgende Symptome: - Programme können plötzlich nicht mehr ausgeführt werden, folgende Fehlermeldung: "Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item." - In der Systemsteuerung unter Add/Remove Programs ließen sich keine Windows-Komponenten mehr entfernen (der klick auf das Symbol dafür links brachte eine Fehlermeldung mit kaputten/fehlenden DLLs, in unserem fall wsock32.dll und iis.dll). Ich wollte dort IE Extended Security Deinstallieren, da obiges Symptom teilweise auch dadurch entstehen kann. - Virenscanner zerschossen. Microsofts FEP war dauerhaft deaktiviert und ließ sich nicht reaktivieren (Errorcode 0xIrgendwas, habe ich mir nicht gemerkt. Entspricht aber auch der Meldung "Access Denied/Missing Permissions". MalwareBytes lies sich einmal installieren und starten, aber ist während dem Scannen abgestürtzt. Natürlich habe ich erst nach viiielen Versuchen mal den IE gestartet und damit nach etwas gegoogelt. Ein Klick auf die Suchergebnisse hat mich dann jedesmal über marveloussearchsystem.com (oder so in etwa) auf eine bestimmte Seite umgeleitet. Da war dann klar, dass die VM verseucht ist. Gegoogelt -> Es ist das ZeroAccess Rootkit, auch bekannt als rootkit.sirefef oder Max++ Ich habe jetzt mal das Removal-Tool von Bitdefender drüberlaufen lassen und das hat 4 Files gefunden. Mache gerade noch ein Backup von der VM für alle Fälle, danach lasse ich das System dann cleanen und neustarten. Ich weis, dass ein simples entfernen nicht sicher ist und ich werde morgen noch SARDU auf die VM hetzen, aber falls jemand von euch das schonmal auf nem PC hatte: Wurden die fehlenden Benutzer-Rechte automatisch wieder hergestellt nachdem das Rootkit entfernt wurde? Und ich habe gelesen, dass sich das Rootkit derzeit noch nicht weiterverbreitet, wisst ihr was genaueres? Gruß, Forks PS: Jaja, PC infiziert -> Platt machen einzige Möglichkeit. Ist bekannt. Werde ich aber warscheinlich erst in ein paar Tagen machen können und daher erstmal so... PS++: Removal-Tool hat nichts gebracht, wird also definitiv platt gemacht . __________________ Quis custodiet ipsos custodes? Geändert von Forks (06.10.11 um 16:03 Uhr)

06.10.11, 18:24	#2 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Ein sehr schöner Artikel und vielleicht hilft er dir weiter: Step-by-Step Reverse Engineering Malware: ZeroAccess / Max++ / Smiscer Crimeware Rootkit \| *InfoSec Institute – IT Training and Information Security Resources Tarantoga and ChiefWiggum like this.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Rootkit Programmiersprache	golffan2	Code Kitchen	4	19.06.10 12:49
Rootkit?	nutsn	Virenschutz · Tools & Aggressive Software	2	13.09.07 08:15
Trojaner mit Rootkit	olmz	Virenschutz · Tools & Aggressive Software	14	25.03.07 12:02
Rootkit.L	Prof. MAAD	Virenschutz · Tools & Aggressive Software	5	04.06.05 21:39
backdoor/rootkit ?	Gulliver	(In)security allgemein	8	09.12.03 16:22

[HaBo]

rootkit.sirefef / ZeroAccess