Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Whistler / Black Internet Rootkit - Infektionsforschung

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 29.07.2010, 21:57   #1
harald007
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



Hallo Leute,

also ich hatte seit gestern Nacht die folgenden des öfteren beschriebenen Symptome:

- mehrere versteckte Internet Explorer Instanzen geöffnet, benutze jedoch nur Firefox
- Ab und zu Sound Aktivitäten in den Instanzen, nachgewiesen durch Bewegungen des Pegelmessers in der Lautstärken Regelung

Ansonsten bemerkte ich keine Symptome. Durch die oben aufgeführetn bin ich unter anderem auf dieses Forum gestoßen und hab erlesen das es sich wohl um den "Whistler / Black Internet" Rootkit handeln muss. Diesen habe ich mithilfe des Programms "Bootkit Remover" entfernt bzw. den MBR gefixt.

Nun scheint wieder alles in Ordnung zu sein. Jedoch ergeben sich ein paar Fragen auf die ich mir hier eine paar Antworten erhoffe

- Wie kann man sich mit dem Rootkit infizieren? Ich habe definitiv keine Programme installiert die nicht "clean" sind. In der besagten Zeit haben ich das Notebook nur zum surfen benutzt. Auch wenn nicht nur ausschließlich auf sagen wir mal weniger Seriösen Seiten. Trotzdem kann das doch nicht durch einfache Seitenaufrufe installiert werden oder?

- Ich werde das Notebook komplett platt machen und Windows neu installieren, da dieses auch wieder im Firmennetzwerk betrieben werden soll und mir die Gefahr zu groß ist. Bei einer Neuinstallation wird der MBR ja meiner Information nach neu geschrieben so das dieses wohl die einzig 100%ige Möglichkeit ist das System sauber zu kriegen?

- Warum findet man zu dem Rootkit so wenige Infos von den Herstellern namhafter Antiviren Software bzw. "offizieller Seite?

- Sind noch andere Dateien betroffen oder wie funktioniert ein Rootkit?

- Verbreitet sich das Mistding im Netzwerk oä.?

Seit dem W32.Blaster Wurm 2003/2004 hatte ich keinen derartigen Vorfall mehr und dagegen konnte man sich anfangs nicht schützen wenn ich mich recht erinnere. Das ganze kratzt schon ein wenig an der Ehre.

Kurz noch ein Paar Eckdaten meines Systems:
- Win7 Prof 32bit
- FF neueste Version (update aber nicht immer sofort)

Vielen Dank für eure Antworten im voraus!
-harald

Alt 30.07.2010, 08:47   #2
Shadow
/// Mr. Schatten
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



Zitat:
Zitat von harald007 Beitrag anzeigen
... dem W32.Blaster Wurm 2003/2004 ...
und dagegen konnte man sich anfangs nicht schützen wenn ich mich recht erinnere.

Welchen Fehler habe ich damals begangen, dass keiner meiner PCs, aber auch nicht der direkt betreuten PCs (bei denen ich Admin war) Blaster-Wurm bekommen habe?

Über wenig (oder erst kurz) verbreitete Malware gibt es eben weniger Infos im Netz, ein zweites "Problem" ist gerade bei "frischer Malware", dass 'jeder' AV-Hersteller das Zeug unterschiedlich bezeichnet und noch wenig Treffer im Web die unterschiedlichen Bezeichnungen zusammenführen.
__________________

__________________

Alt 30.07.2010, 12:57   #3
markusg
/// Malware-holic
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



ja whistler wird er nicht überall genannt avira nennt ihn tr/cycler
mal n paar infos, sorry ist englisch
Whistler Bootkit – a new powerful Windows bootkit Blog Archive | NoVirusThanks Research Blog
warum die antivirus hersteller nicht reagieren, keine ahnung, das konzept ist auf jeden fall schon sehr lange bekannt aber irgendwie scheints keinen zu interessieren
__________________

Alt 30.07.2010, 13:34   #4
Shadow
/// Mr. Schatten
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



Zitat:
Zitat von markusg Beitrag anzeigen
... irgendwie scheints keinen zu interessieren
Siehst du m.E. falsch. AV-Hersteller reagieren öffentlich aber natürlich meist nur, wenn ihr Produkt helfen kann. Ansonsten wird halt totgeschwiegen.
(Schweigen bedeutet aber nicht umgekehrt, dass das Programm nicht helfen könnte)
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 30.07.2010, 16:13   #5
markusg
/// Malware-holic
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



also avira, drweb, kaspersky, emsisoft, ikarus, prevx, können es nicht entfernen. ich hab jetzt keine lust da alle durchzutesten aber so weit ich weis kanns symantec auch nicht, obwohl das konzept ja wie gesagt schon lange bekannt ist


Alt 30.07.2010, 23:38   #6
myrtille
/// TB-Ausbilder
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



Kein kommerzielles Programm wird leichtsinning am MBR herumfixen. Da kannste lange warten.

Das ist einfach viel zu gefährlich und es kann viel schief gehen . (Dualboot, Verschlüsselung, OEM MBR, etc) Da brauchste dich nicht wundern wenn keiner groß drüber spricht. dass sie genügend Menschenverstand besitzen nicht blind im MBR rum zu fuschen.

Das Ding basiert auf dem Stoned Bootkit über dass du leicht mehr informationen finden kannst.

lg myrtille
__________________
--> Whistler / Black Internet Rootkit - Infektionsforschung

Alt 31.07.2010, 00:02   #7
harald007
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



Stimmt. Dieser Bootkit remover hat meinen MBR erstmal ganz geschrottet, den hab ich dann aber mittels Win 7 CD wieder hergestellt.

Ist euch was über die Infektionswege bekannt?

Viele Grüße

Alt 01.08.2010, 10:18   #8
Silent sharK
 

Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



Zitat:
Zitat von harald007 Beitrag anzeigen

Ist euch was über die Infektionswege bekannt?

Viele Grüße
Sind meines Erachtens exakt wie bei jeder Malware. Du kannst das am besten mit biologischen Infektionskrankheiten vergleichen. Die Infektionswege sind zwar im Allgemeinen verschieden (Tröpfcheninfektion, etc pp) aber bleiben in Bezug dessen dennoch gleich.

Im Digitalen ist es genauso, entweder du führst die Malware direkt aus, indem sie sich für ein nützliches Programm ausgibt (Trojaner), per Drive-by Download auf einer manipulierten Website, durch z.B. Shellcode in manipulierten PDF-Dateien oder wird einfach von bereits vorhandener Malware nachgeladen.

Welchen von den Infektionswegen der Schädling nun nimmt, müsstest du im Web nachforschen oder selbst auf einer VM testen.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 02.08.2010, 23:47   #9
BIOTEC
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



Übler Rootkit!

Schätze mal, das der durch Sicherheitslücken im IE sich da irgendwie ins System gehangen hat!

Solls ja auch geben!

Mein Brother hat sich sein XP komplett versaut, obwohl er nie irgendwas installiert hat...

Muss man richtig aufpassen im Netz, wo man da so rumklickt!

Alt 08.08.2010, 19:48   #10
MalwareHero
 
Whistler / Black Internet Rootkit - Infektionsforschung - Standard

Whistler / Black Internet Rootkit - Infektionsforschung



Ich hab hier was "Lustiges" in der wiki gefunden, ob das was mit dem Namen von dem Whistler Bootkit zu tun hat?!

Zitat:
"During development, the project was codenamed "Whistler", after Whistler, British Columbia, as many Microsoft employees skied at the Whistler-Blackcomb ski resort."
(über das Entwiklungsprojekt von XP. Kann aber auch wohl hier für den Namen von "Whistler Bookit" zutreffen!?)

In dem Fall wäre das:
Whistler Blackcomb - Official Ski Resort Website - Whistler, BC, Canada
die Heimat des "Whistler Bootkits" Name.

Lustig irgendwie...
__________________
Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes.
(Jean Rostand)

Antwort

Themen zu Whistler / Black Internet Rootkit - Infektionsforschung
aufrufe, black, black internet, clean, dateien, explorer, folge, forum, frage, funktioniert, internet, internet explorer, keine programme, lautstärke, netzwerk, neu, notebook, programme, remover, rootkit, seite, software, sound, surfen, system, update, warum, whistler, win7, windows, wurm



Ähnliche Themen: Whistler / Black Internet Rootkit - Infektionsforschung


  1. Hackerkonferenz Black Hat: "Der Traum vom freien Internet stirbt"
    Nachrichten - 06.08.2015 (0)
  2. Windows 7: Rootkit durch Avast Internet Security blockiert und in Virus Container verschoben
    Log-Analyse und Auswertung - 31.05.2014 (26)
  3. Trojaner/rootkit Win 7 64bit, lädt alle 2 Minuten neue 16bit exe Datei aus dem Internet
    Plagegeister aller Art und deren Bekämpfung - 13.07.2013 (8)
  4. Rootkit.Boot.Whistler.a auf Systembootsektoren
    Log-Analyse und Auswertung - 15.11.2012 (10)
  5. w7 64 bit/rootkit whistler, durch ein kaspersky tool entfernt. combofix durchlaufen lassen
    Log-Analyse und Auswertung - 20.11.2011 (24)
  6. [doppelt]rootkit w7 64 bit whistler, durch ein kaps tool entfernt.
    Mülltonne - 17.11.2011 (3)
  7. rootkit w7 64 bit whistler
    Alles rund um Windows - 15.11.2011 (1)
  8. TR/Rootkit.gen3 - Google/Internet (?) leitet Anfragen auf seltsame URLs
    Log-Analyse und Auswertung - 19.06.2011 (1)
  9. TR/Rootkit.Gen3 + TR/Trash.Gen: Internet geht nicht mehr
    Log-Analyse und Auswertung - 25.04.2011 (7)
  10. Whistler in MBR
    Plagegeister aller Art und deren Bekämpfung - 13.04.2011 (5)
  11. Whistler / Black Internet - Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2010 (3)
  12. Rootkit auf PC und Internet Störungen.
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (11)
  13. Meine Lösung für Sinowal.F und Whistler/Black Internet
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (0)
  14. Whistler Black Internet
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (34)
  15. Whistler Black Internet Befall
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (2)
  16. Whistler/ Black Internet - MBR code lässt sich nicht ändern -.-
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (18)

Zum Thema Whistler / Black Internet Rootkit - Infektionsforschung - Hallo Leute, also ich hatte seit gestern Nacht die folgenden des öfteren beschriebenen Symptome: - mehrere versteckte Internet Explorer Instanzen geöffnet, benutze jedoch nur Firefox - Ab und zu Sound - Whistler / Black Internet Rootkit - Infektionsforschung...
Archiv
Du betrachtest: Whistler / Black Internet Rootkit - Infektionsforschung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.