Trojaner-Board - Suche nach Rootkits / Windows 2000

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Suche nach Rootkits / Windows 2000 (https://www.trojaner-board.de/26689-suche-rootkits-windows-2000-a.html)

wolfi

10.02.2006 07:17

Suche nach Rootkits / Windows 2000

Guten Tag,

kann ich Rootkits auch mit den "Bordmitteln" von Windows 2000 finden ?

Viele Grüsse

Wolf

MightyMarc

10.02.2006 10:12

Zitat:

Zitat von wolfi

Guten Tag,
kann ich Rootkits auch mit den "Bordmitteln" von Windows 2000 finden ?

Eher nicht. Rootkits sind so konzipiert, dass sie sich normalerweise vor dem OS und dem User verstecken (oder dies zumindest versuchen).

Ein paar Tools zum Auffinden von Rootkits:

http://www.sysinternals.com/Utilitie...tRevealer.html
http://www.f-secure.de/blacklight/
http://www.chkrootkit.org/
http://www.resplendence.com/hookanalyzer
http://xfocus.net/tools/200509/1085.html

raman

10.02.2006 10:44

Die ganz "harten" Rootkits bkommst du nicht mit Boardmitteln zu gesicht.
Manchmal kannst du welche identifizieren mit netstat -a -b, wenn du weisst, was die informationen bedeuten. Manche Rootkits verstecken, bzw starten nicht, wenn du den Rechner im abgesicherten Modus nutzt.

Aber die Rootkits werden immer mehr und leider immer ausgereifter. Die gerade auftretenden Hax/ckdoor rootkits verhindern das scannen von z.B. Blacklight, aber wenn sowas passiert, muessen alle Alarmglocken laeuten. :)
Das "ulkige" bei diesen Rootkits ist auch, sie verstecken mehr Dateien, als sie eigentlich muessten. Sprich 4 versteckte Dateien gehoeren zum Rootkit, bzw sollen versteckt werden, aber es werden insgesamt ca 10-15 saubere zum Betriebsystem gehoerende Dateien im System32 und Drivers Ordner verborgen....

Hier noch ein Tool fuer ganz nervoese, System Virginity Verifier(svv):
http://www.invisiblethings.org/tools.html

wolfi

10.02.2006 16:51

Zitat:

Zitat von MightyMarc

Welches der o.a. Tools ist denn für einen "Neuling" an sinnvollsten ?

Viele Grüsse
Wolf

Wildone

10.02.2006 16:57

Hallo,
für Neulinge ist F-Secure Blacklight ganz gut geeignet. Aber gelöscht oder umbenannt sollte etwas erst mit Rücksprache werden.
Außerdem rate ich bei Rootkitbefall grundsätzlich zur Neuinstallation des Systems.

Grüße Wildone

wolfi

10.02.2006 17:00

Zitat:

Zitat von Wildone

Ist den nicht alles was dort gefunden wird auch "böse" ? Kann ich denn hier "Rücksprache" halten ;-)?

Wolf

Wildone

10.02.2006 17:34

Hallo,
nein manchmal werden auch normale Dateien gefunden (z.B. C:\WINDOWS\system32\wbem\wbemtest.exe). Und klar kannst du hier Rücksprache halten, dafür sind wir ja hier.

Grüße Wildone

wolfi

11.02.2006 07:08

Zitat:

Zitat von Wildone

Hallo,
nein manchmal werden auch normale Dateien gefunden (z.B. C:\WINDOWS\system32\wbem\wbemtest.exe). Und klar kannst du hier Rücksprache halten, dafür sind wir ja hier.

Grüße Wildone

Wie gelangen denn die Rootkits auf den Rechner ? Über Anhänge bei E-Mails, die geöffnet werden ?

Wolf

MightyMarc

11.02.2006 14:32

Zitat:

Zitat von wolfi

Wie gelangen denn die Rootkits auf den Rechner ? Über Anhänge bei E-Mails, die geöffnet werden ?

Im Endeffekt wie alle anderen Schädlinge auch, also Email, präparierte Webseiten...Imho werden Rootkits gerne über Warez- und Crackseiten verbreitet.

wolfi

11.02.2006 15:10

Was sind denn das für besondere Seiten ?

Ich würde mich über einige Details dazu freuen.

Viele Grüsse

Wolf

Alle Zeitangaben in WEZ +1. Es ist jetzt 21:56 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129