Beiträge: 4.775
Themen: 177
Registriert seit: Feb 2007
Hi,
Hatte gestern eine Zeitung in der Hand, wo auf das tool : http://www.gmer.net/#files hingewiesen wurde.
Rootkits sind so ziehmlich das gemeinste, was sich ein Rechner einfangen kann, während unter Linux es ein Boardmittel gib, solche Manipulationen am OS aufzuspüren, hat Windows nichts. Virenscaner finden in der Regel auch nichts, da das ganze OS schnell in eine VM geladen wird und ein Erkennen dann nicht mehr möglich ist.
Hier hilft das Tool gmer weiter, sollte gmer nichts finden, kann ein rootkit trotzdem bereits vorhanden sein und auf diesen Namen warten, in diesem Fall die .exe umbenennen und erneut testen.
[Bild: http://www2.gmer.net/gmer.jpg]
Beiträge: 8.126
Themen: 110
Registriert seit: Dec 2006
Hm, Interessantes Tool.
Genau das was ich gerade brauche 
Gibts was um Rootkits zuverlässig zu entfernen, ohne gleich das OS Platt machen zu müssen ?
Lustig  Wer sich mal eins einfangen mag, der kann dies tun indem er mal bei Google nach "hundesportverein vaterstetten" sucht. Der erstgenannte Link wird von Google auch gleich mit einer Warnung versehen, dass die Seite den Computer beschädigen könnte Und wenn man mit dem Internet Explorer die Seite aufruft, dann tut sie das auch  Erst letztlich bei einem Bekannten der Fall, daher das Beispiel
Ob das Rootkit auch über andere Browser als den IE reinkommt, wollten wir dann natürlich nicht testen vllt mal bei Zeiten mit einer VM.
lg
SFFox
Ich Empfehle von Sysinternals "Autorun" findet sehr einfach extrem viel -> halt keine Rootkits.
Allein aufn Screenshot seh ich, dass mehr als nur Rootkits drauf sind.
Beiträge: 4.775
Themen: 177
Registriert seit: Feb 2007
Rubino schrieb:Hm, Interessantes Tool.
Genau das was ich gerade brauche
Gibts was um Rootkits zuverlässig zu entfernen, ohne gleich das OS Platt machen zu müssen ?
Wenn man den Namen von dem Wicht hat kann man bei google nach einem Removel-Tool suchen, machmal gibt es sogar eins dafür. 
das findet gogle bei Rootkit remover :
http://www.google.de/search?q=rootkit+re...=firefox-a
Rootkit remover bringen nur dann was, wenn der Loader vom Wurm/Virus vorher gekillt wurde! Sonst hat man spätestens nach ein paar Stunden wieder das Rootkit drauf. Derzeit ist ein Infiziertes System relativ schwer zu cleanen. Die beste Lösung für so ein Job ist und bleibt mit ein WindowsPE hoch zu fahrn und mal alle Virenscanner drüber rolln zu lassen. Dann erst kann man mal den Rootkit Remover antesten. Oft ists so, dass denoch nach ein paar Tage wieder was drauf ist.
Glaubts mir ... das ist echt ein Spaß für sich! Meistens ist dann das ganze WE im Arsch 
Beiträge: 4.775
Themen: 177
Registriert seit: Feb 2007
NetrunnerAT schrieb:Rootkit remover bringen nur dann was, wenn der Loader vom Wurm/Virus vorher gekillt wurde! Sonst hat man spätestens nach ein paar Stunden wieder das Rootkit drauf. Derzeit ist ein Infiziertes System relativ schwer zu cleanen. Die beste Lösung für so ein Job ist und bleibt mit ein WindowsPE hoch zu fahrn und mal alle Virenscanner drüber rolln zu lassen. Dann erst kann man mal den Rootkit Remover antesten. Oft ists so, dass denoch nach ein paar Tage wieder was drauf ist.
Glaubts mir ... das ist echt ein Spaß für sich! Meistens ist dann das ganze WE im Arsch  
Bevor hier die Meinung aufkommt, ein RootKit währe ein Virus, hier gleich mal ein Zitat um was es sich hier dreht :
Zitat:Ein "Rootkit" wird verwendet, um die Präsenz eines schädlichen Objekts vor dem Computer-Nutzer oder Administrator zu verstecken. Und wenn es etwas zu verbergen gibt, dann kann man davon ausgehen, dass alles andere was mit dem Rootkit kam auch nicht ganz sauber ist. Der Vergleich, dass ein Rootkit im grunde genommen ein Trojanisches Pferd (kurz: Trojaner) ist, kann nicht von der Hand gewiesen werden. Einmal installiert hällt ein Rootkit den befallenen Rechner für Zugriffe von "außen" offen. Angreifer können dadurch unbemerkt auf den Computer zugreifen. Natürlich nur, wenn dieser auch über eine Verbindung zur Außenwelt verfügt, wie z.B. das Internet.
Historisch bedingt kommen Rootkits aus der Unix-Welt. Dort wird der Administrator als "Root" bezeichnet und darf alles auf dem Computer machen. Nun wurde auch auf Unix-Maschinen fleißig gehackt und Rootkits eingesetzt die bewirken, dass die Root-Administratoren nichts von den Attacken mitbekommen.
Inzwischen beschränken sich die Rootkits nicht mehr auf die Unix-Welt, sondern kommen auch munter auf Windows-Rechnern daher. Aufgrund der Architektur von Windows brauchen Hacker nicht mehr unbedingt einen Zugriff auf das Herz des Betriebssystems, sondern es reichen sogenannte Userland-Rootkits. Userland-Rootkits sind Module, welches sich so in Windows einklinken, dass künftig Programme ihre Ein- und Ausgaben über das Rootkit leiten müssen. Eine wunderbare Taktik wenn es darum geht, Informationen wie Paßwörter, Kontoinformationen sowie andere spezielle, private Infos vom Benutzer zu erschleichen. Einmal installiert, kann ein Rootkit einem Angreifer den kompletten Zugriff auf den Comuter geben - auch Ihrem Computer! Sie wären quasi nicht mehr der Herr im eigenen Hause.
Das wohl bekannteste (berüchtigste) Rootkit kam ausgerechnet von Sony. Die lieferten nämlich kopiergeschützte Musik-CDs mit einem solchen Rootkit zur Überwachung des Kopierschutzes aus. Als das herauskam, schlug dies ziemlich hohe Wellen.
Ein Rootkit - was tun?
Das Fiese an einem Rootkit ist, dass dieses versucht sich vor herkömlichen Scannern zu verstecken, weswegen sie oftmals von Virenscannern nicht erkannt werden.
Dafür gibt es beispielsweise den Rootkit-Revealer von Bryce Cogswell and Mark Russinovich. Der Rootkit-Revealer liegt inzwischen in der Version 1.71 vor (Stand: 28.12.06) und ist mit 231kByte sehr schlank. Der Download besteht aus einem ZIP-Archiv, welches entpackt werden muß. Anschließend ruft man die RootkitRevealer.exe auf und Scant das System. Auf der Downloadseite des RootkitRevealer ist beschrieben worauf zu achten ist. Taucht z.B. ein "Hidden from Windows API" in der Liste auf ist schonmal erhöhte Aufmerksamkeit angebracht. Ganz interessant sind Einträge a'la "Access is Denied", denn der Revealer kennt keine Zugriffsbeschränkungen.
Allerdings ist der RootkitRevealer nicht vor Fehlalarmen gefeit. Heise.de gibt dazu folgende Informationen:
"Ist eine Datei nicht gleichzeitig über die API, die Master File Table (NTFS) und das Inhaltsverzeichnis sichtbar, so moniert der Scanner ebenfalls eine Ungereimhtheit. Allerdings kann es durchaus während eines Suchlaufs passieren, dass eine Datei erzeugt und gelöscht wird und daher noch nicht allen Instanzen sichtbar ist.
Leider gibt das Tool nur Hilfestellungen zum Aufspüren von Rootkits. Ein Vorschlag wie man sie entfernt, macht es nicht. Ob das Löschen der als verdächtig gemeldeten Dateien und Registry-Keys ausreicht, hängt vom Rootkit ab. Hier muss der Anwender selbst recherchieren -- etwa mit Google -- um welches Kit es sich handelt und wie man dagegen vorgeht. Die einzig zuverlässige Methode ein Fernsteuerprogramm zu beseitigen, ist ohnehin, den Rechner komplett platt zu machen und neu aufzusetzen"
Rootkit-Fazit:
Der Aussicht auf das verstärkte Auftreten von Rootkits muß man in jedem Fall eine entsprechende Überwachungspflicht entgegensetzen. Regelmäßiges Prüfen der eigenen Computer sollte zur Routine werden. Besonders dann, wenn man sich in den etwas zwielichtigeren Vierteln des Internets herumtreibt. Das man sich jedoch auch vor renomierten Firmen in acht nehmen muß, beweist die Sony-Geschichte.
http://www.themenmix.de/mixed/rootkit.ht...z0ZeKcF2WA
Rootkit kann so gut wie alles sein, meistens sinds Viren!
Beiträge: 4.775
Themen: 177
Registriert seit: Feb 2007
NetrunnerAT schrieb:Rootkit kann so gut wie alles sein, meistens sinds Viren!
hast du das jetzt geraten oder liest du auch mal, was da steht ?
Es sind tools und keine Viren  , sie werden als Remote-Zugangswerkzeuge eingesetzt um die Tür dann von innen aufzumachen.
Man kann natürlich auch Viren damit verstecken, die Rechenleistung klauen bringt aber viel mehr, man kann dann gemeinsame Angriffe
fahren, sogenannte DoS-Attacken. Bot-Netze sind doch bekannt oder ?
Netzrenner, oute dich doch mal in deinem Profil
Beiträge: 1.290
Themen: 43
Registriert seit: Dec 2006
um ganz korrekt zu sein: es sind DDos Attacken, die dann gefahren werden
Beiträge: 4.775
Themen: 177
Registriert seit: Feb 2007
Fle>< schrieb:um ganz korrekt zu sein: es sind DDos Attacken, die dann gefahren werden
jepp, das ist korrekt
Zitat:Als Denial of Service (DoS, auf Deutsch etwa: Dienstverweigerung) bezeichnet man einen Angriff auf einen Host (Server), einen Rechner oder sonstige Netzkomponenten in einem Datennetz mit dem Ziel, einen oder mehrere seiner Dienste arbeitsunfähig zu machen. In der Regel geschieht dies durch Überlastung. Erfolgt der Angriff koordiniert von einer größeren Anzahl anderer Systeme aus, so spricht man von Verteilter Dienstblockade bzw. DDoS (Distributed Denial of Service)
|
