Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: MRG Rootkit Test

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 29.07.2015, 23:07   #1
Avenger77
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Hi,

an Schrauber und die anderen "Geeks der Malware Front" und Kronos .

https://www.mrg-effitas.com/wp-content/uploads/2015/07/In-the-wild-Rootkit-Remediation-Comparative-Analysis-2015-Q3.pdf

Hier wurden 5 Rk Scanner gestestet bei 8 Samples, darunter gut bekannte wie den TDSS.

Der Test wurde gesponsort von Zemana. Das vorab...
Von den 32 max. Punkten erreichte der Testsieger ZAM ganze 24. Gefolgt von HitmanPro mit 17.

Ich habe nun mal 2 Fragen:
MBAM scannt ja auch im normalen Modus nach Rootkits. Ist dieser Scan genauso effektiv/gut wie der explizite durch MBAR?

Was ist denn ein VBR infector bootkit? Habt Ihr sowas hier schon mal bereinigen müssen?

Die Beantwortung der 1.Frage hilft dann nämlich auch, den ganzen Test als sinnvoll zu bezeichnen oder eben nur als eingeschränkt...

Übrigens: EEK´s Abschneiden war eine Katastrophe auf ganzer Linie. Dass file-less Infektionen nicht erkannt werden, war bekannt, aber dass nur 2 Infektionen erkannt werden (und nicht im Ansatz bereinigt), ist schon wirklich enttäuschend!

Edit: Okay, der VBR schliesst sich an den MBR an, und lädt den bootmanager für Windows.
Reicht in diesem Falle nicht ein einfaches Formatieren aus, oder muss zuvor dann auch der MBR überschrieben werden?

Geändert von Avenger77 (29.07.2015 um 23:15 Uhr)

Alt 29.07.2015, 23:25   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
MRG Rootkit Test - Cool

MRG Rootkit Test



Zitat:
Zitat von Avenger77 Beitrag anzeigen
Was ist denn ein VBR infector bootkit? Habt Ihr sowas hier schon mal bereinigen müssen?
Hier sind knallharte Fakten => https://de.wikipedia.org/wiki/Volume_Boot_Record
__________________

__________________

Alt 29.07.2015, 23:30   #3
Avenger77
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Ja, okay.

Ich bin gerade hier dran:
http://www.welivesecurity.com/2011/08/23/hasta-la-vista-bootkit-exploiting-the-vbr/

Hast Du sowas schon mal bereinigt Cosinus?
__________________

Alt 29.07.2015, 23:36   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Ja, ist aber schon lange her. Der Artikel ist ja auch von 2011, vor 3-4 Jahren hatten wir hier viel mehr mit Root- und Bootkits zu tun. Lt. schrauber sind die alle nur noch auf schnelle Kohle aus und verteilen halt (leider noch legale) PUPs...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 31.07.2015, 07:46   #5
schrauber
/// the machine
/// TB-Ausbilder
 

MRG Rootkit Test - Standard

MRG Rootkit Test



is ja sehr merkwürdig....

knapp 8 Jahre, geschätzte 60 oder 70 tausend breinigte Rechner und ca 300.000 Posts, Zugang bei 40 Foren, davon 25 im internen Bereich, Zugang zu Foren dessen Namen ich nicht mal öffentlich posten darf, und ich hab noch nie in meinem Leben vom Zemana Rootkitscanner gehört......

Noch nie davon gehört, die sponsorn den Test, und gewinnen? Mysteriös......

Formatieren brauchste da gar nix. Schreib den Käse neu, zieh nen Dump offline und bearbeite es im Hex Editor, wieder einspielen, Ruhe im Karton

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 31.07.2015, 09:52   #6
Avenger77
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Schrauber, dass Du Das schaffst, da habe ich 0,00 Zweifel daran!

Sitze aber ich Dösbattel davor, ziehe ich mir dann über Linux eine Kopie der besagten infizierten Datei, schicke sie Dir, Du machst den Debugger auf, bereinigst den schadhaften Code, schickst sie mir zurück. Anschliessend wird dann die infizierte Datei gelöscht und durch Deine bereinigte Fassung ersetzt, anschliessend noch Begleiterscheinungen wie Reg bereinigt und gut ist, so in etwa?

Die Frage wegen MBAM war deswegen: Wenn bei Befürchtung eines Rk Befalls der MBAM so "gut" ist wie der MBAR, dann wäre es völlig sinnfrei zuerst den einen einzusetzen und danach den zweiten. Da Ihr das hier auch so in der Reihenfolge nicht macht, kann man sich ja den Rest über die Aussagekraft des Tests ja denken sinngemäß: Ich suche mir mein Testfeld so aus, dass der eine Scanner nur eine ganz bestimmte Familie erfasst und der andere (MBAM) gar nicht darauf ausgelegt ist, speziell für Rk zu scannen.

ZAM soll gegen alle Malware helfen, und ist recht neu. Der Dev von HMP hat schon öffentlich die "gewisse Ähnlichkeit" ("hust") zu seinem Tool moniert...

Alt 31.07.2015, 10:39   #7
schrauber
/// the machine
/// TB-Ausbilder
 

MRG Rootkit Test - Standard

MRG Rootkit Test



Ich kenne die Internals von MBAR nicht (muss mal wieder im Forum reinschauen.....) aber ich glaube das ist nochmals spezieller, auch wenn MBAM selbst auch nen Rootkitscan hat.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 31.07.2015, 10:49   #8
Avenger77
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Ich habe da so meine Bedenken, alleine zeitlich schon: Der MBAR rödelt bei mir incl. der heurist. Suche schon 30 Minuten, der MBAM braucht für den Scan nach allem anderen zusammen nur unwesentlich länger.

Und dass EEK so "abgeloost" hat, ist jetzt binnen kurzer Zeit bereits das 2.Mal, dass ein Emsis. Produkt nicht so gut abgeschnitten hat, kann langsam auch kein Zufall mehr sein .

Alt 31.07.2015, 11:42   #9
schrauber
/// the machine
/// TB-Ausbilder
 

MRG Rootkit Test - Standard

MRG Rootkit Test



ich hab mir den test jetzt mal genauer angeschaut. neben den bereits erwähnten intressanten dingen wie "testsieger ist sponsor" und so, fallen mir da ein paar sachen auf:

real-world-test? mit samples aus 2010? und verlinkten malware-beschreibungen aus 2010? interesting.....

allgemein ist die auswahl der zu vergleichenden tools auch cool:
Zemana (kennt irgendwie keiner)
MBAM (antimalware, und nebenbei bissl rootkit)
EEK (der wissentlich keine Rootkits entfernt, das weiß jeder dass wir das niemals automatisiert machen, dann kommt ne Meldung bitte kostenlos beim Support melden)
und TDSSKiller, der nur speziell nach gewissen Arten sucht

und:
Alles Freeware Produkte, ausser Zemana, die gibt nicht Freeware.

alles in Allem macht der komplette Test irgendwie keinen Sinn. Jetzt mal aus objektiver, fachlicher Sicht.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 31.07.2015, 12:43   #10
Avenger77
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Dass EEK das nicht erkennt, finde ich auch nicht soooo schlimm, schlimmer ist das komplette Testfeld-wie Du sagst. EAM schützt vor dem Poweliks ja laut offiz. Forum dadurch, dass es zwar net den Speicherbefall erkennt, dafür aber die Registry Änderung, und allerspätestens die folgende Veränderung bei dllhost.exe.
Elise hat die Tage einen Link (Beta Version) zu einem speziellen AR Tool bei Emsisoft einem User gepostet.
Hey, wenn ich doch so einen Test mache, dann frage ich doch beim Hersteller nach: "Was habt Ihr denn für spezielle Tools dafür?".
Kaspersky erkennt nur eine Familie, MBAM ist nicht speziell genug. --> fallen schon mal 3 raus. Wo wir dabei sind, was ist mit dem üblichen Verdächtigen GMER (vielleicht zu gut?)?
War da vielleicht Kronos bei der Auswahl am Werk?

ZAM ist derzeit schon Freeware (zumindest für die Analyse), kannst Du testen, die MD5´s der Samples des Tests sind übrigens auch zugänglich. ZAM benutzt mehrere Cloud-Scanner wie HMP früher (letzterer nur noch 2, Bitdef. und Kasp.)

Alt 31.07.2015, 14:00   #11
schrauber
/// the machine
/// TB-Ausbilder
 

MRG Rootkit Test - Standard

MRG Rootkit Test



hab ZAM gerade installiert und getestet
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 31.07.2015, 14:28   #12
Avenger77
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Zitat:
Zitat von schrauber Beitrag anzeigen
hab ZAM gerade installiert und getestet
Super, berichte mal.

Hier die Samples für Dich:

Carberp.exe 11bba9b2333559b727caf22896092217
Gapz.exe 33d154d84e830aa18973b04e64879466
Phasebot.exe 12dccdec47928e5298055996415a94f2
Poweliks.exe cfa0c5abe024043c014d71eb0fcb5584
Rovnix.exe 56db6a59aebbb977b67c7470b493379c
TDL4.exe 4a052246c5551e83d2d55f80e72f03eb
Wmighost.exe 0df40b226a4913a57668b83b7c7b443c
ZeroAccess.exe 1010e9ee806c26f367ba5ce068214502

Alt 31.07.2015, 14:53   #13
schrauber
/// the machine
/// TB-Ausbilder
 

MRG Rootkit Test - Standard

MRG Rootkit Test



von meinem samples wurden 2 von 12 erkannt. und alle daten gehen direkt in die cloud, komplett.....
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 31.07.2015, 15:05   #14
Deathkid535
/// Malwareteam
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Na dann

Alt 31.07.2015, 15:11   #15
Avenger77
 
MRG Rootkit Test - Standard

MRG Rootkit Test



Was meinst Du mit "alle"? "Alle" = 100% ?
.doc .pdf .jpg ?

Geändert von Avenger77 (31.07.2015 um 15:17 Uhr)

Antwort

Themen zu MRG Rootkit Test
andere, anderen, beantwortung, bekannte, bereinigen, bereinigt, erkannt, frage, fragen, front, hilft, infektionen, katastrophe, malware, modus, nicht erkannt, punkte, rootkit, scan, scanner, scannt, sinnvoll, test, voll, wirklich



Ähnliche Themen: MRG Rootkit Test


  1. - Rootkit entdeckt ! Win7 - Anti-Rootkit o. Neuinstallation ?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2014 (13)
  2. Neuer AV-Programme Test von av-test.org
    Antiviren-, Firewall- und andere Schutzprogramme - 13.02.2014 (21)
  3. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  4. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  5. Test, test
    Mülltonne - 17.06.2012 (0)
  6. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  7. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  8. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  9. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  10. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  11. Suche Test Viren/Rootkit/Bootsektorviren/BrowserHijacker/Würmer
    Plagegeister aller Art und deren Bekämpfung - 01.12.2009 (1)
  12. Demo / Test - Rootkit
    Plagegeister aller Art und deren Bekämpfung - 26.09.2009 (8)
  13. test
    Plagegeister aller Art und deren Bekämpfung - 14.04.2005 (1)
  14. Test
    Netzwerk und Hardware - 17.05.2003 (8)

Zum Thema MRG Rootkit Test - Hi, an Schrauber und die anderen "Geeks der Malware Front" und Kronos . https://www.mrg-effitas.com/wp-content/uploads/2015/07/In-the-wild-Rootkit-Remediation-Comparative-Analysis-2015-Q3.pdf Hier wurden 5 Rk Scanner gestestet bei 8 Samples, darunter gut bekannte wie den TDSS. Der - MRG Rootkit Test...
Archiv
Du betrachtest: MRG Rootkit Test auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.