---

Geschrieben von MobyDuck am 16.04.2005 um 23:30:

  Rootkits aufspüren: RootkitRevealer

Zitat:

Die meisten der unter Windows laufenden Trojaner und Hintertürchen sind mit herkömmlicher Antiviren-Software leicht zu entdecken. Allerdings nimmt die Zahl von Rootkits erheblich zu, die durch Tricks ihre Anwesenheit im System vor gewöhnlichen Scannern verbergen. Das Tool RootkitRevealer liefert dem Anwender Hinweise, ob sein Rechner vielleicht schon enteignet ist.

Weiter bei Heise

Doch Vorsicht: Auch RootkitRevealer findet -systembedingt- nicht alle Rootkits. Das Tool versagt, wenn das Rootkit gerade nicht aktiv ist. Auch ist für die Auswertung ein wenig Einarbeitung nötig, Links finden sich bei Heise an der zitierten Stelle. Wenn's so weitergeht wie bisher wird man jedoch diese Einarbeitung in Kauf nehmen müssen.

---

Geschrieben von dedie am 16.04.2005 um 23:38:

 

Irgenwie komm ich im Moment etwas schutzlos vor

Zitat:

In der Beschreibung zu RootkitRevealer wird es bereits angedeutet: Theoretisch kann sich ein Rootkit auch vor RootkitRevealer verstecken. Die grundsätzliche Schwäche des Tools ist nämlich, dass es nur dann funktioniert, wenn auch das Rootkit aktiv ist. Eines der am meisten verbreiteten -- das kostenpflichtige HackerDefender -- fährt daher neuerdings eine ganz simple Strategie: Läuft RootkitRevealer, biegt es einfach keine API-Aufrufe mehr um. Ob ein Scanner nach ihm sucht, stellt es über die Prozessliste fest. Ähnlich ergeht es der Beta-Version von F-Secures Rootkit-Jäger BlackLight. Als Abhilfe empfehlen die Hersteller, den Namen der EXE-Datei zu ändern. HackerDefender würde so nicht mehr die Gegenwart des Detektors bemerken. Wie lange dieser Trick hilft, bleibt abzuwarten. In der Regel passen die Rootkit-Programmierer ihre Tools sehr schnell an neue Anforderungen an, beispielsweise indem sie die Dateigröße abfragen oder nach Signaturen im Speicher suchen. Ob andere Ansätze zum Aufspüren besser sind, muss sich erst noch zeigen. Microsofts noch nicht öffentlich verfügbarer Strider Ghostbuster ist beispielsweise in der Lage, die ohne Verwendung des Betriebssystems auf der Festplatte vorgefundenen Informationen mit denen im aktiven Betrieb zu vergleichen. [6]. Glaskugel Sysinternals Tool kann einen Verdacht auf Befall erhärten, allerdings kann es auch unnötige Panik verursachen. Im Test mokierte es sich über Registry-Einträge, die sich bei näherer Untersuchung als harmlos heraus stellten. Für die nähere Untersuchung sind weitere Werkzeuge nötig [3,4], die Bereinigung muss man zudem selber erledigen -- wer es einfacher haben will, muss auf Programme wie Blacklight zurückgreifen [7]. Findet RootkitRevealer nichts, muss das nicht heißen, dass der Rechner frei von Rootkits ist. Das Tool ist ein zusätzliches Werkzeug in der Anti-Rootkit-Werkzeugkiste und nur für fortgeschrittene Anwender geeignet. (dab)

QUELLE

---

Geschrieben von MobyDuck am 17.04.2005 um 00:31:

 

Jo, die Geschichte hat eine andere Qualität als das, was wir bisher gewohnt sind. Bisher reichte es meistens zu sagen, poste mal dein HJT-Log und das weitere ergab sich. Wird auf längere Sicht auch in 90% der Fälle der richtige Weg bleiben. Aber wir werden uns mit neuen Angriffen auseinandersetzen müssen. Und ich werde noch häufiger als bisher zu format c: raten. Eben weil man diese Rootkits noch nicht zuverlässig identifizieren kann.

---

Geschrieben von dedie am 17.04.2005 um 00:42:

 

Zitat:

Eben weil man diese Rootkits noch nicht zuverlässig identifizieren kann.

Soweit ich weiß kann man so ziemlich alles was NEU auf dem Schädlingsmarkt ist noch nicht zuverlässig identifizieren.

Aber man kennt meistens sehr schnell gewisse Parallelen und findet dann den Verursacher mit etwas Gefühl und Interesse für Details.

---

Geschrieben von MobyDuck am 17.04.2005 um 00:53:

 

Nee, das ist hier anders. Du kannst systembedingt keine Diagnose treffen. Aber irgendwo ist natürlich ein Dropper. Den findet man natürlich. Und dann ist nichts mehr mit fixe dies und lösche das.

---

Geschrieben von dedie am 17.04.2005 um 01:08:

 

An dem Tag wo ich sage "Gegen Ungezieferbefall hilft nur noch formatieren" werde ich mein Hobby aufgeben.

Dann ist jede Beratung für den A***h.

---

Geschrieben von Bishop am 17.04.2005 um 08:45:

 

Tja dedie, auch wenn es dir nicht gefällt, das ist nunmal die einzig sichere Methode, auch wenn sich der eine oder andere Schädling eventuell anders entfernen lässt.

---

Geschrieben von Cidre am 17.04.2005 um 10:37:

 

Zitat:

Original von dedie An dem Tag wo ich sage "Gegen Ungezieferbefall hilft nur noch formatieren" werde ich mein Hobby aufgeben. Dann ist jede Beratung für den A***h.

Es wird immer die sicherste Variante bleiben, um die Vertrauenswürdigkeit eines kompromittierten Systems wiederherzustellen.
Die Aufspürung von undetectable Malware gestaltet sich jetzt schon äusserst schwierig und wird es auch in ferner Zukunft leider bleiben.
Die Beratung (Absicherung) kann und sollte auch vorsorglich erfolgen, damit es erst gar nicht zum Worst-Case kommt.

---

Geschrieben von dedie am 17.04.2005 um 10:44:

 

Ich schreib doch schon gegen und nicht bei.
Bloß wenn das ganze wirklich soweit kommt das man nicht mehr 100% sagen kann da ist Ungeziefer drauf oder nicht, dann hat die Gegenseite gesiegt

---

Geschrieben von MobyDuck am 17.04.2005 um 12:42:

 

@ Cidre und Bishop
Full ACK. Der Trend geht nunmal in Richtung Kommerzialisierung. Der böse Virus, der nur kaputt macht ist doch fast ausgestorben. Nach Lektüre der letzten c't könnte sogar ich blutiger Laie nen Disk-jacking-Wurm coden, aber in the Wild gibt's keinen. An einer kaputten Festplatte verdient man eben nicht.

Und da es um sehr viel Geld geht, sitzen "auf der anderen Seite" teilweise verflixt fähige Leute. Gehe mal davon aus, dass sie auch schon mal von HJT und e-Scan gehört haben... Im Augenblick profitieren wir noch davon, dass es noch sehr viel einfach gecodetes Amateuer-Zeugs gibt und dass die Profis vor allem auf die Nachlässigkeit der User setzen. Das wird nicht so bleiben.