Whistler / Black Internet Rootkit - Infektionsforschung
 

Hallo Leute,

also ich hatte seit gestern Nacht die folgenden des öfteren beschriebenen Symptome:

- mehrere versteckte Internet Explorer Instanzen geöffnet, benutze jedoch nur Firefox
- Ab und zu Sound Aktivitäten in den Instanzen, nachgewiesen durch Bewegungen des Pegelmessers in der Lautstärken Regelung

Ansonsten bemerkte ich keine Symptome. Durch die oben aufgeführetn bin ich unter anderem auf dieses Forum gestoßen und hab erlesen das es sich wohl um den "Whistler / Black Internet" Rootkit handeln muss. Diesen habe ich mithilfe des Programms "Bootkit Remover" entfernt bzw. den MBR gefixt.

Nun scheint wieder alles in Ordnung zu sein. Jedoch ergeben sich ein paar Fragen auf die ich mir hier eine paar Antworten erhoffe :)

- Wie kann man sich mit dem Rootkit infizieren? Ich habe definitiv keine Programme installiert die nicht "clean" sind. In der besagten Zeit haben ich das Notebook nur zum surfen benutzt. Auch wenn nicht nur ausschließlich auf sagen wir mal weniger Seriösen Seiten. :D Trotzdem kann das doch nicht durch einfache Seitenaufrufe installiert werden oder?

- Ich werde das Notebook komplett platt machen und Windows neu installieren, da dieses auch wieder im Firmennetzwerk betrieben werden soll und mir die Gefahr zu groß ist. Bei einer Neuinstallation wird der MBR ja meiner Information nach neu geschrieben so das dieses wohl die einzig 100%ige Möglichkeit ist das System sauber zu kriegen?

- Warum findet man zu dem Rootkit so wenige Infos von den Herstellern namhafter Antiviren Software bzw. "offizieller Seite?

- Sind noch andere Dateien betroffen oder wie funktioniert ein Rootkit?

- Verbreitet sich das Mistding im Netzwerk oä.?

Seit dem W32.Blaster Wurm 2003/2004 hatte ich keinen derartigen Vorfall mehr und dagegen konnte man sich anfangs nicht schützen wenn ich mich recht erinnere. Das ganze kratzt schon ein wenig an der Ehre. :D

Kurz noch ein Paar Eckdaten meines Systems:
- Win7 Prof 32bit
- FF neueste Version (update aber nicht immer sofort)

Vielen Dank für eure Antworten im voraus!
-harald

:eek:
Welchen Fehler habe ich damals begangen, dass keiner meiner PCs, aber auch nicht der direkt betreuten PCs (bei denen ich Admin war) Blaster-Wurm bekommen habe? :(

Über wenig (oder erst kurz) verbreitete Malware gibt es eben weniger Infos im Netz, ein zweites "Problem" ist gerade bei "frischer Malware", dass 'jeder' AV-Hersteller das Zeug unterschiedlich bezeichnet und noch wenig Treffer im Web die unterschiedlichen Bezeichnungen zusammenführen.

ja whistler wird er nicht überall genannt avira nennt ihn tr/cycler
mal n paar infos, sorry ist englisch
Whistler Bootkit – a new powerful Windows bootkit Blog Archive | NoVirusThanks Research Blog
warum die antivirus hersteller nicht reagieren, keine ahnung, das konzept ist auf jeden fall schon sehr lange bekannt aber irgendwie scheints keinen zu interessieren

Siehst du m.E. falsch. AV-Hersteller reagieren öffentlich aber natürlich meist nur, wenn ihr Produkt helfen kann. Ansonsten wird halt totgeschwiegen.
(Schweigen bedeutet aber nicht umgekehrt, dass das Programm nicht helfen könnte)

also avira, drweb, kaspersky, emsisoft, ikarus, prevx, können es nicht entfernen. ich hab jetzt keine lust da alle durchzutesten aber so weit ich weis kanns symantec auch nicht, obwohl das konzept ja wie gesagt schon lange bekannt ist

Kein kommerzielles Programm wird leichtsinning am MBR herumfixen. Da kannste lange warten.

Das ist einfach viel zu gefährlich und es kann viel schief gehen . (Dualboot, Verschlüsselung, OEM MBR, etc) Da brauchste dich nicht wundern wenn keiner groß drüber spricht. dass sie genügend Menschenverstand besitzen nicht blind im MBR rum zu fuschen.

Das Ding basiert auf dem Stoned Bootkit über dass du leicht mehr informationen finden kannst.

lg myrtille

Stimmt. Dieser Bootkit remover hat meinen MBR erstmal ganz geschrottet, den hab ich dann aber mittels Win 7 CD wieder hergestellt.

Ist euch was über die Infektionswege bekannt?

Viele Grüße

Sind meines Erachtens exakt wie bei jeder Malware. Du kannst das am besten mit biologischen Infektionskrankheiten vergleichen. Die Infektionswege sind zwar im Allgemeinen verschieden (Tröpfcheninfektion, etc pp) aber bleiben in Bezug dessen dennoch gleich.

Im Digitalen ist es genauso, entweder du führst die Malware direkt aus, indem sie sich für ein nützliches Programm ausgibt (Trojaner), per Drive-by Download auf einer manipulierten Website, durch z.B. Shellcode in manipulierten PDF-Dateien oder wird einfach von bereits vorhandener Malware nachgeladen.

Welchen von den Infektionswegen der Schädling nun nimmt, müsstest du im Web nachforschen oder selbst auf einer VM testen.

Übler Rootkit!

Schätze mal, das der durch Sicherheitslücken im IE sich da irgendwie ins System gehangen hat!

Solls ja auch geben!

Mein Brother hat sich sein XP komplett versaut, obwohl er nie irgendwas installiert hat...

Muss man richtig aufpassen im Netz, wo man da so rumklickt!

Ich hab hier was "Lustiges" in der wiki gefunden, ob das was mit dem Namen von dem Whistler Bootkit zu tun hat?!

(über das Entwiklungsprojekt von XP. Kann aber auch wohl hier für den Namen von "Whistler Bookit" zutreffen!?)

In dem Fall wäre das:
Whistler Blackcomb - Official Ski Resort Website - Whistler, BC, Canada
die Heimat des "Whistler Bootkits" Name.

Lustig irgendwie...:)