Trojaner-Board - Bootkit Mebratix.B ?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bootkit Mebratix.B ? (https://www.trojaner-board.de/112684-bootkit-mebratix-b.html)

Bootkit Mebratix.B ?

Hallo,

ich bin kein Anfänger was PC Sicherheit anbetrifft und habe seit Jahren nie Probleme mit Malware gehabt. Mehr durch Zufall scanne ich mein System mit dem Tool mbrscan von Security-X - Tools
und das Ergebnis zeigt:

Zitat:

Code:

MBRScan v1.1.1
 

OS             : Windows 7 Service Pack 1 (32 bit)

PROCESSOR      : x86 Family 6 Model 28 Stepping 10, GenuineIntel

BOOT           : Normal Boot

DATE           : 2012/03/30 (ISO 8601) at 15:46:55

________________________________________________________________________________
 

DISK           : Device\Harddisk0\DR0 __SAMSUNG HM160HI (HH10)

BUS_TYPE       : (0x03)  P-ATA

USE_PIO        : NO

MAX_TRANSFER   : 128 Kb

ALIGNMENT_MASK : word aligned

________________________________________________________________________________
 

Device\Harddisk0\DR0        149.1 Go  [Fixed] ==> Mebratix.B MBR Code
 

MBR_MD5   : EA920955947B033B7DDEB46109794FA7

MBR_SHA1  : 12D3983989B0C8B9523D5F0770954CFA39D65B90
 

Device\Harddisk0\Partition1        15.00 Go          0x27 RE Hidden partition 

Device\Harddisk0\Partition2        100.0 Mo          0x07 NTFS / HPFS __ BOOTABLE __

Device\Harddisk0\Partition3        66.97 Go          0x07 NTFS / HPFS

Device\Harddisk0\Partition4        66.98 Go          0x07 NTFS / HPFS

________________________________________________________________________________
 

############################### Additional scan ################################
 

DRIVER  : C:\windows\System32\Drivers\dump_iaStor.sys => Invisible on the disk

ADDRESS : 0x89421000

SIZE    : 872.0 Ko
 

DRIVER  : C:\windows\System32\Drivers\dump_dumpfve.sys => Invisible on the disk

ADDRESS : 0x8D34B000

SIZE    : 68.0 Ko
 

DRIVER  : C:\Users\####\AppData\Local\Temp\aswMBR.sys => Invisible on the disk

ADDRESS : 0xA7CD5000

SIZE    : 48.0 Ko
 

BCD EmsSettings {0CE4991B-E6B3-4B16-B23C-5E0D9250E5D9} => BcdLibraryBoolean_EmsEnabled (16000020)
 

SystemStartOptions :  NOEXECUTE=OPTIN
 

________________________________________________________________________________
 

_______MBR   \Device\Harddisk0\DR0  
 

0x00000000   33 C0 8E D8 8E C0 8E D0 BC 00 7C 8B F4 BF 00 06   3À.Ø.À.Ð¼.|.ô¿..

0x00000010   B9 00 01 FC F3 A5 EA 1B 00 60 00 0E 1F 06 E8 95   ¹..üó¥ê..`....è.

0x00000020   00 07 80 3E 97 01 01 74 75 80 3E 97 01 02 74 00   ...>...tu.>...t.

0x00000030   C6 06 94 01 00 E8 04 01 BE BE 01 B3 04 F6 04 80   Æ....è..¾¾.³.ö..

0x00000040   75 0F 83 C6 10 FE CB 75 F4 CD 18 BE 5D 01 E8 FC   u..Æ.þËuôÍ.¾].èü

0x00000050   00 BB 00 7C 06 53 50 55 8B EC C7 46 02 00 00 5D   .».|.SPU.ìÇF...]

0x00000060   50 55 8B EC C7 46 02 00 00 5D FF 74 0A FF 74 08   PU.ìÇF...].t..t.

0x00000070   06 53 50 55 8B EC C7 46 02 01 00 5D 50 55 8B EC   .SPU.ìÇF...]PU.ì

0x00000080   C7 46 02 10 00 5D 16 1F 8B F4 B4 42 CD 13 83 C4   ÇF...]...ô´BÍ..Ä

0x00000090   10 EB 00 CB C6 06 95 01 00 E8 A0 00 EB 00 BB 00   .ë.ËÆ....è..ë.».

0x000000A0   7C 06 53 B8 01 02 B5 00 B1 05 B6 00 B2 80 CD 13   |.S¸..µ.±.¶.².Í.

0x000000B0   C6 06 94 01 01 CB B8 00 F0 8E C0 33 C0 8B F0 BB   Æ....Ë¸.ð.À3À.ð»

0x000000C0   FF FF 26 81 3C 53 77 74 08 83 C6 01 4B 75 F3 EB   ..&.<Swt..Æ.Kuóë

0x000000D0   1A 26 81 7C 02 53 6D 74 02 EB EE 26 81 7C 04 69   .&.|.Smt.ëî&.|.i

0x000000E0   40 74 02 EB E4 83 C6 06 E8 01 00 C3 1E 57 26 8B   @t.ëä.Æ.è..Ã.W&.

0x000000F0   14 26 8A 44 03 EE 26 8B 44 07 8E D8 26 8B 44 05   .&.D.î&.D..Ø&.D.

0x00000100   8B F8 C7 05 43 58 C7 45 02 5C 00 26 8A 44 02 EE   .øÇ.CXÇE.\.&.D.î

0x00000110   B1 02 8A 65 05 80 FC FF 74 13 80 FC 80 76 0E C7   ±..e..ü.t..ü.v.Ç

0x00000120   45 02 5D 00 80 EC 80 88 65 05 EE B1 01 26 8B 14   E.]..ì..e.î±.&..

0x00000130   26 8A 44 04 EE 5F 1F 88 0E 97 01 C3 BB 00 06 B8   &.D.î_.....Ã»..¸

0x00000140   01 03 B5 00 B1 01 B6 00 B2 80 CD 13 C3 AC 3C 00   ..µ.±.¶.².Í.Ã¬<.

0x00000150   74 0A B4 0E B7 00 B3 07 CD 10 EB F1 C3 4D 69 73   t.´.·.³.Í.ëñÃMis

0x00000160   73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73   sing operating s

0x00000170   79 73 74 65 6D 00 00 00 00 00 00 00 00 00 00 00   ystem...........

0x00000180   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000190   46 44 53 54 00 00 3E 02 00 27 00 00 BC 0A 8D 7E   FDST..>..'..¼..~

0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst

0x000001B0   65 6D 00 00 00 63 7B 9A 3B 35 45 13 00 00 00 20   em...c{.;5E.... 

0x000001C0   21 00 27 FE FF FF 00 08 00 00 00 00 E0 01 80 FE   !.'þ........à..þ

0x000001D0   FF FF 07 FE FF FF 00 08 E0 01 00 20 03 00 00 FE   ...þ....à.. ...þ

0x000001E0   FF FF 07 FE FF FF 00 28 E3 01 00 28 5F 08 00 FE   ...þ...(ã..(_..þ

0x000001F0   FF FF 07 FE FF FF 00 50 42 0A 00 40 5F 08 55 AA   ...þ...PB..@_.Uª

Virus Total scan vom MBR.dump:
https://www.virustotal.com/file/c451...b3d5/analysis/

Scans mit anderen mbr check tool zeigen unknown MBR Code, TDSS Killer zeigt keine Fünde.

Könnte mir ein Experte dazu nur seine Meinung sagen? Vielen Dank.

lg.
DH.

Ich kenn das Tool nicht. Was sagt aswMBR? unknown oder wie stuft es den ein?

Zitat:

Zitat von cosinus (Beitrag 804596)

Ich kenn das Tool nicht. Was sagt aswMBR? unknown oder wie stuft es den ein?

Danke für deine Antwort, Cosinus.

Ja, als "unknown":

Zitat:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-03-30 22:19:31
-----------------------------
22:19:31.308 OS Version: Windows 6.1.7601 Service Pack 1
22:19:31.308 Number of processors: 2 586 0x1C0A
22:19:31.313 ComputerName: ### UserName: ###
22:19:34.435 Initialize success
22:19:35.486 AVAST engine defs: 12033000
22:19:37.463 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
22:19:37.472 Disk 0 Vendor: SAMSUNG_ HH10 Size: 152627MB BusType: 3
22:19:37.502 Disk 0 MBR read successfully
22:19:37.509 Disk 0 MBR scan
22:19:37.520 Disk 0 unknown MBR code
22:19:37.535 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 15360 MB offset 2048
22:19:37.564 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 31459328
22:19:37.600 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 68581 MB offset 31664128
22:19:37.642 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 68584 MB offset 172118016
22:19:37.660 Disk 0 scanning sectors +312578048
22:19:37.758 Disk 0 scanning C:\windows\system32\drivers
22:19:57.075 Service scanning
22:20:15.897 Service pxkbf C:\windows\System32\drivers\pxkbf.sys **LOCKED** 32
22:20:15.972 Service pxscan C:\windows\System32\drivers\pxscan.sys **LOCKED** 32
22:20:28.047 Modules scanning
22:20:45.885 Disk 0 trace - called modules:
22:20:45.917 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll
22:20:45.921 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84e736f0]
22:20:45.924 3 CLASSPNP.SYS[86d7059e] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x84410038]
22:20:46.400 AVAST engine scan C:\windows
22:20:49.827 AVAST engine scan C:\windows\system32
22:24:42.393 AVAST engine scan C:\windows\system32\drivers
22:24:59.686 AVAST engine scan C:\Users\###
22:25:56.234 Disk 0 MBR has been saved successfully to "C:\Users\###\Desktop\MBR.dat"
22:25:56.279 The log file has been saved successfully to "C:\Users\###\Desktop\aswMBR.txt"

NoVirusThanks Antirootkit meldet:

Zitat:

==========================================================================================================================
NoVirusThanks Anti-Rootkit v1.2 (FREE EDITION)
Microsoft Windows Version 6.1 Build: 7601 Service Pack: 1
Detected CPUs: (2)
Scanning Commenced... 3/30/2012 10:30:51 PM
==========================================================================================================================
>>>Master Boot Record (MBR)<<<
==========================================================================================================================

Warning: Master Boot Record (MBR) appears to be modified and could be the result of an infection!

==========================================================================================================================
Scan Complete... 3/30/2012 10:30:51 PM
==========================================================================================================================

Sonst melden keine anderen Tools eine Bootkit Infektion. Ein Upload des dump datei an Avira hat bisher noch keine Rückmeldung ergeben. Sie analysieren noch.

Ok. Aber bei einem unbekannten MBR im Log von aswMBR lass ich fast immer fixen ;) (es sei denn da ist noch ein Linux parallel installiert oder die Platte wurde vollverschlüsselt zB mit Truecrypt)

Hast du einen besonderen Bootloader drin ist ist das einfach von einer Standard-Windows-DVD installiert? :confused:
Ich könnte mir auch vorstellen, dass auf einem vom Hersteller vorinstallierten Windows ein anderer MBR sein kann.

Zitat:

22:20:15.897 Service pxkbf C:\windows\System32\drivers\pxkbf.sys **LOCKED** 32
22:20:15.972 Service pxscan C:\windows\System32\drivers\pxscan.sys **LOCKED** 32

Hast du was von PrevX installiert?

Ansonsten könntest du mal dein MBR backuppen (ok sollte aswMBR schon gemacht haben) und evtl. noch alle anderen Daten.
Dann machste einfach mal einen Fix mit aswMBR und dann neue Logs mit deinem Tool und dann nochmal mit aswMBR. Wäre das ein Vorschlag?

Zitat:

Zitat von cosinus (Beitrag 804907)

Ok. Aber bei einem unbekannten MBR im Log von aswMBR lass ich fast immer fixen ;) (es sei denn da ist noch ein Linux parallel installiert oder die Platte wurde vollverschlüsselt zB mit Truecrypt)
Hast du einen besonderen Bootloader drin ist ist das einfach von einer Standard-Windows-DVD installiert? :confused:

Hier die neusten Info über eine wahrlich interessante Entwicklung in der Sache.

Avira hat, nach sage und schreibe 3 Tage Analyse, mir diese Rückmeldung gegeben:

Zitat:

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
26724218 Dump_Hdd0_DR0.mbr 512 Byte MALWARE

Please find a detailed report concerning each individual sample below:
Filename Result
Dump_Hdd0_DR0.mbr MALWARE

The file 'Dump_Hdd0_DR0.mbr' has been determined to be 'MALWARE'. Our analysts named the threat BOO/Dosump.A. The term "BOO/" denotes a boot sector or master boot sector virus. Detection will be added to our virus definition file (VDF) with one of the next updates.

VBA32, der einzige AV-Hersteller, der bei VT diese Datei als Boot Virus bezeichnet, hat mir in einer E-Mail mitgeteilt, dass es sich ihrerseits um einen Fehlalarm handelt:

Zitat:

This is false positive detection of heuristic engine.
Files are clean, detection will be removed.

Wenn das Malware ist, bedeutet das, dass es sich hier um was ganz neues handelt, da kein Scanner (ausser MBRScan und VBA32) hier eine Malware Code meldete und Avira 3 Tage brauchte um zu einem Resultat zu kommen.

Ich halte euch auf dem Laufenden.
MBR ist mit Avast gefixt worden.

Zitat:

Zitat von cosinus

Hast du einen besonderen Bootloader drin ist ist das einfach von einer Standard-Windows-DVD installiert?

Diese Fragen hast du noch nicht wirklich beantwortet, oder doch?

"unknown MBR code" ist aber ein Hinweis auf einen manipulierten MBR, der kann muss aber nicht schädlich wenn "unknown"

Zitat:

Zitat von cosinus (Beitrag 808259)

Diese Fragen hast du noch nicht wirklich beantwortet, oder doch?

"unknown MBR code" ist aber ein Hinweis auf einen manipulierten MBR, der kann muss aber nicht schädlich wenn "unknown"

Nicht soweit mir bekannt ist. Ich habe diesen PC "bekommen", also nicht neu gekauft. Auf dem PC war Windows 7 vorinstalliert, zusammen mit einer "Recovery Partition".

Das Spiel geht weiter: Avira hat jetzt ihr Analyse Ergebnis zurückgezogen und das File wieder ins Labor geschickt. "Under analysis". :rolleyes:

VBA32 meint das wäre ein Samsung Bootloader und nichts weiter.

Ich denke eigentlich auch, das ist keine Malware. Es gab keinerlei Anzeichen für einen infizierten PC. Nichts, Zero, Nothing.

Tja nichts genaues weiß man nicht :balla: :(
Es wäre aber nicht das erst mal, dass herstellerseitig vorinstalliert irgendein Virus auf der Platte ausgeliefert wird :stirn:

Zitat:

Zitat von cosinus (Beitrag 808909)

Tja nichts genaues weiß man nicht :balla: :(
Es wäre aber nicht das erst mal, dass herstellerseitig vorinstalliert irgendein Virus auf der Platte ausgeliefert wird :stirn:

Ich denke, jetzt weiss man Genaues :lach:

http://www.trojaner-board.de/113134-...-dosump-a.html
und konsorten.

Diese und ähnliche Threads sind meine Schuld :-(
Meine MBR dump datei hat avira dazu verleitet dieses Fehlalarm rauszuspucken und allen Leuten mit diesem besonderen Samsung Bootloader Angst und Schrecken einzujagen. :stirn:

Sorry, aber ich denke manchmal wissen die Leute bei Avira selbst nicht was sie machen. :balla:

Also: Fehlalarm die ganze Geschichte, wie VBA32 schon sagten.

Frohe Ostern Avira :juul:

Ach du Sch...ande, ich habs schon fast befürchtet :stirn:

Zitat:

Diese und ähnliche Threads sind meine Schuld :-(

Hast du eine "Machtposition" oder sowas :rofl:
Ein Fehlalarm in einer mbr.dmp von dir und zu Avira geschickt und schon bauen die da ungeprüft Signaturen zu? :wtf:

Zitat:

Zitat von cosinus

Ich könnte mir auch vorstellen, dass auf einem vom Hersteller vorinstallierten Windows ein anderer MBR sein kann.

Das war dann wohl richtig. Unglaublich, dass 512 Byte Code wo nur ein Teil vom Hersteller ist solche Fehlalarme auslösen können :balla:

Zitat:

Zitat von cosinus (Beitrag 809586)

Ach du Sch...ande, ich habs schon fast befürchtet :stirn:

Hast du eine "Machtposition" oder sowas :rofl:
Ein Fehlalarm in einer mbr.dmp von dir und zu Avira geschickt und schon bauen die da ungeprüft Signaturen zu? :wtf:

Das war dann wohl richtig. Unglaublich, dass 512 Byte Code wo nur ein Teil vom Hersteller ist solche Fehlalarme auslösen können :balla:

Nö, Machtposition habe ich nur hier auf Trojaner Board :blabla:

Avira am 3 April:

Zitat:

Detection will be added to our virus definition file (VDF) with one of the next updates.

Kurz danach kammen diese Threads mit "Boo/Dosump" Alarmen rein.

VBA32 liess sich auch von Aviras Malware Meldung nicht überzeugen:

Zitat:

Hello,
The bootloader doing nothing special but searches for so called SABI(SAMSUNG Advanced Bios Interface) table.
No malicious code/behavior found.
If you could send us dump of first 64k of hard disk, I'll try to give you more detailed information.

:applaus: