Rootkits?

[torsten]

In der letzten "PC-Welt"-Ausgabe war ein recht interessanter Artikel über Rootkits. Wie sie funktionieren, was sie machen.
Und das angeblich jeder fünfte Rechner verseucht ist.

http://www.pcwelt.de/news/unterhaltung/128644/index.html#

Ist ziemlich reisserisch aufgemacht.
Denke aber mal, dass an der Sache doch was dran ist.
Hat jemand Ahnung von diesen Dingern, welches Programm findet sie?

Trotzdem ein grosses "Respekt" an die Leute, die soetwas programmiert haben. Zwar nicht in Ordnung, aber ohne Frage eine reife Leistung.

 

[2Bios]

Original von Dr. Hechel
Das Deckblatt des neuen Heftes hat es mich auch wieder ins Regal stellen lassen.

pcwelt eben. hoch lebe die c't

 

[heinzelJacKy]

naja man muss schon ziemlich mit den prinzipien und dem aufbau des windows-systems vertraut sein, um ein rootkit zu schreiben..
zum finden von rootkits kann man rootkit revealer von www.sysinternals.com versuchen, es gibt noch diverse andere, aber selbst bei denen kann man sich nicht sicher sein dass sie gefunden werden (-->HackerDefender)

wuerd mich aber mal interessieren, ob ueberhaupt stimmt, was sie in diesem artikel schreiben (hab ihn selber noch nicht gelesen..)

-->heise

 

[brain21]

"Rootkit" beschreibt eine Art sich vor der WindowsAPI zu verstecken.

Original von heinzelJacKy
naja man muss schon ziemlich mit den prinzipien und dem aufbau des windows-systems vertraut sein, um ein rootkit zu schreiben..

Ja, das muss man, neben der Packung Aspirin und viel Kaffee.

Original von heinzelJacKy
zum finden von rootkits kann man rootkit revealer von www.sysinternals.com versuchen

RootkitRevealer durchsucht die Festplatte nach Dateien, und zwar auf eine Art, wie diese auch physikalisch auffindbar sind. Man kann es mit dem OSI-Modell vergleichen. Erst durchschaut RootkitRevealer auf der untersten Schicht nach und vergleicht dann dieses Ergebnis mit dem, was er auf der Anwenderschicht findet.

Wenn er auf der Festplatte Informationenen findet, die durch die WindowsAPI nicht auffindbar waren, werden diese angezeigt.

Ich habe auf diversen Rechnern Dateien gefunden, die in der Rootkit-Methode versteckt wurden. Bei Windows kann man sie ganz einfach löschen, indem man im abgesicherten Modus hochfährt, da sind sie sichtbar.

Original von heinzelJacKy
Und das angeblich jeder fünfte Rechner verseucht ist.

Grob geschätzt könnte ich dieser Zahl zustimmen.

 

[CDW]

wuerd mich aber mal interessieren, ob ueberhaupt stimmt, was sie in diesem artikel schreiben (hab ihn selber noch nicht gelesen..)

Finde (mit einem Taskmanager Deiner Wahl) das zur Meldung dazugehörende Programm (Anhang). Es zeigt (wenn es läuft) eine Meldung an - müsste also auch irgendwo laufen :

PS: getestet auf XP SP1(sollte auch auf SP2 gehen), läuft nicht auf win2k (war mal als eine kleine Demo für Tinys Anti-Hook Routinen gedacht (April 2005), deswegen ist der ganze Kram recht OS abhängig, und ich hatte keine Lust noch zusätzlich win2k zu berücksichtigen , Nebeneffekt ist eben diese "Tarnung" .D.h im Idealfalls sollte weder die PFW noch ein AV über die eignetlich "unerlaubten" Methoden meckern und im Taskmanager erscheint es nicht)

 

[Lesco]

Hier noch interessante Literatur zu dem Thema, falls es dich interessiert:
http://www.amazon.de/exec/obidos/AS...8-2/ref=sr_8_xs_ap_i2_xgl/303-0461257-4749828
http://www.amazon.de/exec/obidos/AS...28773/sr=1-1/ref=sr_1_2_1/303-0461257-4749828
Das zweite hat jetzt nichts direkt mit Rootkits zu tun, aber es passt schon dazu.

 

[Sven]

@ lesco
denkst du er/wir/irgendwer hier hat nen Gelscheisser? *g

aber ich halte die Aussage dass jeder 5te Rechner infiziert ist/sein könnte für sehr unglaubwürdig

 

[2Bios]

eine frage: eigentlich muss sich das rootkit irgendwie auf der platte verstecken(ausblenden über winapi). ich habe mir nämlich ein programm geschrieben dass mir von jeder datei einen md5-hash macht und diesen mit dem pfad in einer datei ablegt. wenn ich nun ab und zu bartpe boote und den "gehashten" datensatz mit dem vorhandenen dateien vergleiche müsste ich doch eigentlich alle rootkits finden, oder? (wenn die sich nicht gerade in einem stream verstecken)

 

[meadow]

in dem artikel ist ein welbung für eine pornosteite (waa is die alt und schirch *scnr). weil solche seiten ja nieeeeeeee adaware und co oben haben. ziehmlich naja pc-welt halt c't > pcwelt

 

[tom67]

sind dir rootkits nicht eher auf shellskripts aufgebaut und schon älter ,als die neueren viren?
ich kann vielleicht was durcheinander bringen, aber von unix ,shell skripts solten ähnliches können, oder?

thx thomas

 

[heinzelJacKy]

eine frage: eigentlich muss sich das rootkit irgendwie auf der platte verstecken(ausblenden über winapi). ich habe mir nämlich ein programm geschrieben dass mir von jeder datei einen md5-hash macht und diesen mit dem pfad in einer datei ablegt. wenn ich nun ab und zu bartpe boote und den "gehashten" datensatz mit dem vorhandenen dateien vergleiche müsste ich doch eigentlich alle rootkits finden, oder? (wenn die sich nicht gerade in einem stream verstecken)

interessantes programm, könntest du mir den source oder die binary geben? (evtl PN/ICQ etc.?) wär auf jeden fall recht nuetzlich.

aber wie bekommst du den ersten datensatz von deinem online-system? denn wenn du n ganz normales usermode-prog hast, dann fehlen dir etliche system-dateien auf die du keinen zugriff hattest, und die dir dann beim vergleich mit bartPE als suspicious etc. angezeigt werden, und das ganze auszusortiern is dann auch muehsam..
aber generell sollten die dateien auf deinem PE sichtbar sein, da ja das rootkit laufen muss, um sie zu verstecken, wenn sie nicht wie du sagst in nem stream stecken.
kommt halt drauf an, wie dein programm arbeitet...

 

[tom67]

da hast aber dem falschen geantwortet ich hab keine proggie ,sondern genug bekannte und kollegen die ,weils zu wenig ahnung haben sich öfters was fangen .

 

[torsten]

Irgendwo hatte ich mir da was eingefangen- war ich der Meinung. Den Namen habe ich leider vergessen.

Jedenfalls war der Schädling dem Online-Ratgeber von Sophos bekannt.
Das "Microsoft Tool zum entfernen bösartiger Software" meinte dagegen, mein Rechner ist sauber.

Dann glaube ich das schweren Herzens mal, da ich keine Lust habe, meinem Windows den Lebensnerv abzuschneiden, da der Name des betreffenden Schädlings sich so circa 3200 mal in meine Registry eingeschlichen hatte. Hat jedenfalls die Windows Dateisuche ergeben.

Die Frage ist jedoch, wieso Sophos meint, ich habe einen Virus auf meinem Rechner, aber der Virenscanner meldet nichts

Ist meine Kiste nun verseucht? Mh, grosse Frage. Und was machen?

 

[tom67]

ich hab die links nicht auf meinem ibook wo man proggies findet um rootkits zu finden und entfernen da antihackerbuch beschreibst auch ganz gut

 

[heinzelJacKy]

da hast aber dem falschen geantwortet ich hab keine proggie ,sondern genug bekannte und kollegen die ,weils zu wenig ahnung haben sich öfters was fangen .

das ganze war ja auch an 2bios gerichtet, drum sein zitat davor ;-)

Die Frage ist jedoch, wieso Sophos meint, ich habe einen Virus auf meinem Rechner, aber der Virenscanner meldet nichts

eventuell ist der virenscanner mit dem rootkit infiziert, darum kann er sich vor ihm verstecken. an deiner stelle wuerd ich mich eher auf den scanner verlassen, der sagt du hast was böses auf der platte, als auf den der dir die welt schönredet

Ist meine Kiste nun verseucht? Mh, grosse Frage. Und was machen?

1. im abgesicherten modus booten und dort diverse scanner/rk-revealer lauffen lassen
2. mit nem PE booten (bartPE z.b., aber bitte nicht erst jetzt eine boot-cd erstellen, ne infizierte boot-cd macht sich nun mal auch nich so gut..) und diverse scans machen
3. wenn irgendwo was gefunden wird, mindestends dein win neu aufsetzen, am besten die hdd formatieren, falls du dir was eingefangen hast, was sehr viele andere dateien infiziert, lieber auf nummer sicher gehen..

wenn nichts gefunden wird, trotzdem win neu aufsetzen, schadet sicher nicht ;-)

 

[tom67]

ich hab mich bei einem kollegen fürs neu aufsetzen entschieden und gleich ein hardware problem gehabt.

aber jetzt läuft die kiste und hat einen aktuellen antivirus drauf.
avast is net schlecht find ich .

 

[torsten]

Ich gehe jetzt mal davon aus, dass ich einen Rootkit auf meiner Platte habe.
Und der kleine Schädling, so wie ich das verstehe, wartet darauf, dass er irgendwelche Dateien oder so aus dem Internet herunterladen kann.

Kann er ja machen. Denke aber mal, dass denn Avast oder Kerio Alarm schlagen müssten (laufen permanent im Hintergrund). Meine Meinung deshalb- nicht gleich Panikmache.

Im abgesicherten Modus durchsuchen, kann ja trotzdem ganz gut sein.
Und was dann im Taskmanager erscheint und gleichzeitig in einem Rootkit-Suchprogramm kann ich dann löschen. Richtig verstanden?
Ps.
Was ich gefunden habe, mit RootkitRevealer: inprocServer32
Denke mal, dass das der Rootkit ist.

 

[CDW]

Und was dann im Taskmanager erscheint und gleichzeitig in einem Rootkit-Suchprogramm kann ich dann löschen.

Im Taskmanger wird nichts erscheinen - das ist der Sinn von Rootkits.Er tarn nur die eigentliche Malware.
Und auch ein Rootkit-Suchprogramm findet nicht alles - musst hier ATH0 nach einem PoC anmailen . Und wie/warum soll Kerio Alarm schlagen wenn Dein Lieblingsbrowser im Web surft (ein einfacher Send() Hook und die Daten werden nur ausgetauscht, wenn Du gerade Seiten aufrufst) oder gar Kerio nichts davon weiß, dass es diesen Prozess gibt - denn in der Prozessliste, die das Betriebssystem an das Programm liefert, taucht dieser ja gar nicht auf (wieder: "Sinn"/Zweck eines Rootkits)

 

[tom67]

dann lösch es und schau obs beim neustart auch weg ist.


oder ja man könnte auch die hdd extern überprüfen ,entweder in einem gehäuse oder mit einem kabel,andem man eine hdd ansteckt,weil wenn win net läuft is der virus oder rootkit sicher nicht .

 

[heinzelJacKy]

Was ich gefunden habe, mit RootkitRevealer: inprocServer32

das ist wahrscheinlich nur ein registry-key, der kurzzeitig gelöscht wurde, wärend der scan lief, deswegen wuerd ich mir keine sorgen machen, höchstends es gibt ein rootkit das diesen key benuetzt, um seine daten zu verstecken, aber normalerweise ist es ein ganz normaler systemeigener key..zumindest solange es irgenwo als subkey von HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ rumliegt..

aber wenn du wirklich den verdacht hast, ein rootkit gefangen zu haben, dann wuerd ich hier nicht so seelenruhig darauf warten, dass irgend ein avast oder so alarm schlägt, da es ja wie schon cdw sagte, die absicht von rootkits ist, ihre sämtlichen aktivitäten vor anderen programmen zu verstecken..
ne andere methode wär noch, die festplatte auszubauen und bei nem anderen rechner einzubauen, und dann einen virenscan durchzufuehren... aber ich hab die erfahrung gemacht, dass viele davor zurueckschrecken, n paar schräubchen an ihrem rechner zu lockern..