« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: Mailbot mit doppelter Tarnung  (Gelesen 461 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
Mailbot mit doppelter Tarnung
« am: 23 Juni, 2006, 20:21 »
Ein Trojanisches Pferd installiert sich als Rootkit und versteckt sich zudem in NTFS-Datenströmen.

Das Windows-Dateisystem NTFS, mit dem Windows NT, 2000 und XP standardmäßig arbeiten, enthält ein paar wenig bekannte Möglichkeiten zum Verstecken von Daten und Programmen vor dem Anwender. Dazu zählen die Alternate Data Streams (ADS) - zusätzliche Datenströme, die einer Datei oder auch einem Verzeichnis zugeordnet sein können. Die Virenforscher von F-Secure berichten über ein Trojanisches Pferd, das nicht nur ein Rootkit installiert sondern sich auch in ADS versteckt.
 

Bei "SpamTool.Win32.Mailbot.az" handelt es sich um einen Schädling, der massenhaft Werbe-Mails versenden soll. Er wird durch eine separate Komponente, einen so genannten Dropper, eingeschleust und installiert. Dieser kopiert den Rootkit-Treiber als "pe386.sys" in das Temp-Verzeichnis und löscht sich danach selbst.

Wird der Rootkit-Treiber gestartet, kopiert er sich in einen ADS des System32-Verzeichnisses, genauer in "C:\Windows\System32:18467". Ist Windows auf einer FAT32-Partition installiert, schreibt er sich als "C:\Windows\System32\Drivers\pe386.sys" auf die Festplatte. Zum automatischen Start legt er einen Registry-Eintrag an:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386
DisplayName = Win23 PE files loader
ImagePath = \SystemRoot\System32:18467
oder
ImagePath = \SystemRoot\System32\Drivers\pe386.sys

Dadurch wird der Treiber recht früh beim Systemstart geladen und dies auch im Abgesicherten Modus. Er erkennt die Ausführung der Anti-Rootkit-Programme F-Secure Blacklight, Rootkitrevealer sowie Rkdetector und ändert dann sein Verhalten. Außerdem lädt er eine Komponente in den Arbeitsspeicher, die im Kontext von "services.exe" ausgeführt wird. Dabei handelt es sich um den eigentlichen Schädling, der Spam verschickt und eine Hintertür zur Steuerung des befallenen Rechners öffnet.

Um den Rootkit-Treiber zu entfernen empfiehlt F-Secure einen Neustart von der Windows-CD und den Aufruf der Wiederherstellungskonsole. Dadurch wird der Rootkit-Treiber nicht geladen und kann entfernt werden. Dazu kopieren Sie auf der Kommandozeile eine beliebige Textdatei (keine ausführbare Datei) in den Datenstrom, in dem sich der Treiber versteckt. Geben Sie also zum Beispiel ein:

copy c:\windows\win.ini c:\windows\system32:18467

Der Kopiervorgang wird zwar als fehlgeschlagen gemeldet, die schädliche Datei wird jedoch auf eine Länge von null Bytes beschnitten und ist damit unschädlich gemacht.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )
Seiten: [1]   Nach oben
« vorheriges nächstes »