Viren, Spyware, Datenschutz 11.259 Themen, 94.812 Beiträge

Verfolgung starten Optionen

Frage bezüglich eines Rootkit....

xafford / 8 Antworten / Baumansicht Nickles

ich habe hier gerade den rechner eines Bekannten zur "Generalüberholung", ein richtiges Sammelsurium an Viren, Trojanern, Dialern und Co. Das meist davon ist eher trivial, was mir aber Kopfzerbrechen bereitet ist eines der drei darauf befindlichen Rootkits. Es lässt sich auf Teufel komm raus nicht beikommen. Prinzipiell wäredie Kiste reif für eine komplette Neuinstallation, was auch unumgänglich ist, trotzdem würde ich dem letzten Rootkit gerne beikommen was sich aber als schwer erweist. Hier mal die Daten denen ich bisher auf die Spur kam:


  • Virenscanner erkennen es nicht. Getestet mit Avira, ClamAV, PCzillin, Bitdefender und AVG

  • ProcessExplorer zeigt nichts außergewöhnliches auf den ersten Blick

  • RootkitRevealer von Sysinternals findet auch nichts

  • Es sind keine fremde Dienste installiert

  • Bisher konnteich keine offenen Ports entdecken

  • Die üblichen Programme zum Entdecken von Spyware, Adware und Co finden auch nichts


An sich deutet nichts auf einen Schädling hin, aber das Ding ist drauf, hier mal die bisher entdeckten Auswirkungen des Teiles:

  • Wenn man sich im Gerätemanager die ausgeblendeten Nicht-PnP-Geräte anschaut, so sind dort im Schnitt drei kryptische Geräte vorhanden. Deinstalliert man eines, so taucht dafür ein neues auf

  • Unter dem Systemverzeichnis/system32/config/ sind einige Dateien komplett verriegelt, es gibt keine Möglichkeiten ihnen bei zu kommen. Eine oberflächliche Untersuchung der Dateien mit Knoppix zeigt, daß sich darin ausführbare Binärdaten und Listen mit Mailadressen für Spamming, IP-Adressen und URLs finden

  • Der Schädling hat sich in den Explorer eingehängt und beendet diesen z.B. wenn man auf das Verzeichnis zugreifen will

  • Ebenso ist der Internet Explorer betroffen, bei jedem Aufruf einer Seite wird eine Anfrage auf eine IP im Bereich von 64.x.x.x ausgelöst (mehrere IPs, gehören zu MS-Hotmail, nicht genauer untersucht)

  • Windows-Update läuft nicht, Automatische Updates lässt sich nicht zuverlässig starten


Letzendlich weiß ich bisher nicht wirklich viel über den Schädling, außer daß er da ist, daß er das System zumindest für den Versand von Spammails nutzt und daß er mindestens ein virtuelles Gerät installiert hat, das sich nicht entfernen lässt. zZudem ist es keines der gängigen Rootkits. Am markantesten sind die Dateien im Systemverzeichnis unter system32/config/ und die Tatsache, daß es auch im abgeischerten Modus aktiv ist.
Hat schon mal jemand mit so einem Teil zu tun gehabt? Weiß jemand worum es sich dabei handelt?
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
mmk xafford „Frage bezüglich eines Rootkit....“
Optionen

Interessant. Wenn eh neu aufgesetzt werden wird, kann eine weitergehende Untersuchung zuvor aus Gründen tieferer Analyse nicht schaden. Hast Du es schon mal "Blacklight" von F-Secure versucht?

-> http://www.f-secure.com/blacklight/try.shtml

bei Antwort benachrichtigen
mmk xafford „Frage bezüglich eines Rootkit....“
Optionen

Eine Nachfrage:

ich habe hier gerade den rechner eines Bekannten zur "Generalüberholung", ein richtiges Sammelsurium an Viren, Trojanern, Dialern und Co.

Hast Du vielleicht eine genaue Auflistung der gefundenen Schädlinge? Falls ja, poste sie doch mal, am besten ergänzend Scanprotokolle der Virenscanner.

Auch detailliertere Angaben zu den von Dir gefundenen Rootkits (wie und wo Du sie gefunden hast) wären nicht schlecht und könnten evtl. weiterhelfen.

[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
xafford mmk „Eine Nachfrage: ich habe hier gerade den rechner eines Bekannten zur...“
Optionen
Hast Du es schon mal "Blacklight" von F-Secure versucht?
Nein, noch nicht probiert. Danke für den Tipp.

Eine detaillierte Auflistung habe ich nicht, da das meiste relativ banale Viren waren, die von den Virenscannern automatisch entfernt wurden, daran war nichts außergewöhnliches und ich hatte deswegen auch nicht daran gedacht die Logs auszuheben, da es zuerst nach einem normalen Befall mit jeder Menge im Web aufgesammelter Schädlings aussah. Kritisch waren nur die letzten beiden Rootkits. Das zuletzt entfernte hatte eine DLL mit dem Namen wineln.dll eingebunden die bestimmte Prozesse versteckt hatte. Dem Schädling kam der RootkitRevealer auf die Schliche und er war recht einfach zu entfernen. Wie gesagt, ich dachte zuerst an einen "ganz normalen" Fall von Verseuchung und nach dem Rootkit dachte ich zuerst die Kiste sei so weit sauber.

So wie´s jetzt aussieht werd ich die Bemühungen wohl gleich abbrechen undneu installieren, ich gebe mich geschlagen ;o)
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
AST xafford „Frage bezüglich eines Rootkit....“
Optionen

Hi,
schon mal über eine Bootcd probiert? Knoppicillin von CT oder so. Dann die Virenupdates aktualisieren und dann mal drüberlaufen lassen. In Windows wirst du dem Ding wohl nicht bei kommen. Hatte hier einen, der hat die Virenscanner deaktiviert ... auch nicht schlecht ...
Alexander

bei Antwort benachrichtigen
xafford AST „Hi, schon mal über eine Bootcd probiert? Knoppicillin von CT oder so. Dann die...“
Optionen

Ja, mit Knoppicillin war ich schon dran, hat aber ncihts gebracht. Ich nehme an daß der Schädling wohl noch relativ neu ist. Ich würde ihn ja auch an die AV-Unternehmen zur Analyse schicken, wenn ic dennnur wüsste, was und wo der Schädling ist :o)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Gerd6 xafford „Ja, mit Knoppicillin war ich schon dran, hat aber ncihts gebracht. Ich nehme an...“
Optionen

Hallo Xafford,

kann nur noch kurz etwas beitragen, weil ich (Gottseidank) mit dieeser Materie wenig zu tun habe.
In PC-Magazin 4/2006 war ein recht ausführlicher Artikel zum Thema rootkits. Die haben auch div. progs getestet und kamen zum Ergebnis daß "Icesword" (http://xfocus.net/tools/200509/1085.html) mit die beste Erkennungsrate hat.
Zitat : Icesword fand ALLE rootkits, Rootkitrevealer nur ca 50%
Ist ein Programm von chines. Freaks, allerdings in engl. !!
Das war mit vielen anderen auf der Monats-DVD mit drauf. Den Artikel fand ich sehr aufschlussreich, wobei ich sagen muß, daß ich ziemlich ahnungslos diesbzgl. bin. Euch "Viren-profis" entlockt sowas evtl. nur ein müdes Lächeln ;-)

hth...Gerd


Der PC-Minister warnt: OC schädigt Rechner und Herz und kann zum vorzeitigen Exitus führen.
bei Antwort benachrichtigen
xafford Gerd6 „Hallo Xafford, kann nur noch kurz etwas beitragen, weil ich Gottseidank mit...“
Optionen

Hallo Gerd, danke für den Tipp, werd das Program mal auf den Rechner loslassen und sehen was dabei rauskommt. Was den Viren-Profi angeht, da bin ich zumindest mehr als weit von entfernt, interessierter Laie trifft es da weitaus besser :o)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
xafford Nachtrag zu: „Frage bezüglich eines Rootkit....“
Optionen

Weil die Frage kam, einer der Schädlinge war BDS/Agent.AC und einige Derivate davon. Dann noch einige Trojan.Dropper-Varianten und anderes Grobzeugs, daß ich aber nichtmehr zusammen bekomme. Jetzt aber zu dem eigentlichen Schädling:

Ich habe die installierten Geräte mit den kryptischen Namen letztendlich weg bekommen und siehe da... es tauchten ein paar neue Dateien auf und auch der Haupt-Übeltäter: wineln.dll.vir und noch 2 andere Dateien mit der 2. Endung .vir. Lustigerweise hatte weder RootkitRevealer noch Blacklight etwas gefunden gehabt. Ich habe die Datei wineln.dll.vir jetzt mit mehreren Virenscannern getestet und keine hatte etwas an ihr auszusetzen, was mich doch sehr verwunderte, denn nach der Entfernung selbiger ist das Windows futsch. Der Explorer ist mehr oder weniger tot, Automatische Updates lässt sich nicht mehr starten, ebenso die Virenscanner, unter der Systemsteuerung geht Software nicht mehr, der WindowsInstaller geht nicht mehr, Internetseiten aufrufen ist Geschichte... Schlußfolgerung daraus ist wohl (wenn ich nicht falsch liege) daß wineln.dll.vir anscheinend als Schnittstelle für Dienste, Internet und dem Explorer agierte und entsprechend filterte.
Was ich an Dateien habe ging an die AV-Hersteller raus, mal sehen ob eine Rückmeldung kommt, das System ist jetzt jedenfalls reif für die Neuinstallation :o)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen