Kaspersky nimmt Rootkit auseinander

Wie jetzt auf viruslist.com veröffentlicht wurde, hat Kaspersky Mitte dieses Jahres ein neues Rootkit entdeckt bzw. analysiert. Das bereits 2006 (!) veröffentlichte Rootkit blieb nahezu 2 Jahre unentdeckt. Die Frage ist, warum? Eigentlich sind die Antiviren Hersteller relativ flott im aufspüren neuer Viren, Würmer und Rootkits. Sie nutzen dazu sogenannten Honeypots (also quasi eine „Falle“ für Viren).
Das Rustock.С genannte Rootkit konnte sich jedoch erfolgreich vor all diesen Maßnahmen verstecken. Dies liegt vor allem an der extremen „Obfuskierung“ des Codes.

Die Spezialisten von Kaspersky benötigten volle 5 Tage für die Entschlüsselung des Codes. Dieser war zusätzlich mit verschiedenen Schlüsseln verschlüsselt worden.
Die Analyse der Datei brachte an die 600 gepackten Dateien zum Vorschein, und alle mussten untersucht werden. Auch wurden diverse Modifikationen entdeckt, so gab es mehrere Varianten vom selben Rootkit (C1-C4).

Das zugehörige Botnet, welches durch dieses Rootkit aufgebaut wurde, war eines der größten Netze weltweit, so Kaspersky. Es wurde hauptsächlich für den Versand von Spammails genutzt, so konnte es zu seiner „Blütezeit“ bis zu 30 Milliarden Spammails am Tag senden!

Ein Beispiel für die starke „Verwurstung“ des Codes:

Aus einer Codezeile (Assembler) für einen einfachen Move-Befehl:

mov [eax], ecx

wurde folgendes:

push ebx
mov ebx, 0x03451b8c
sub ebx,eax
sub ebx, 0x03451b8c
neg ebx
mov [ebx], ecx
pop ebx

Für weitere gut Informationen lohnt ein Blick auf viruslist.com und kaspersky.com.

4 Gedanken zu „Kaspersky nimmt Rootkit auseinander

  • 9. Oktober 2008 um 05:19
    Permalink

    Hallo,
    die Malware weswegen dich auch mein Bruder angerufen hatte, habe ich vorher schon bei Avira & Co eingereicht und als ich nach sage und schreibe 4 Wochen erneut vorbei geguckt habe, war es bei denen immer noch nicht in den Signaturen.

    Als ich daraufhin Avira erneut benachrichtigt habe, bekam ich die Meldung, dass sie nicht allen Nutzern antworten könnten und ob es jetzt in den Signaturen ist weiß ich noch nicht.

    Jedenfalls habe ich noch einen gefragt, der sich mit Reverese Engeneering beschäftigt hat und der hat die Datei analysiert und wie ich mir schon dachte festgestellt, dass sich die Malware ebenfalls durch eine ziemliche Verschlüsselung gegen alle Dienste gewährt hat. Demnach schließe ich, dass Avira entweder die Datei nicht in den Index aufnehmen wollte, weil es denen zu viel Arbeit war oder die Aufnahme aus irgendwelchen anderen Gründen nicht durchgeführt wurde.

    Sehr löblich für Kaspersky, wenn sie sich damit so intensiv beschäftigt haben, wobei es sich ja lohnt, wenn das durch die Presse geht :P

    Antworten
  • 9. Oktober 2008 um 16:35
    Permalink

    Hallo, NOD32 hatte ich auch schon mal getestet in der Tesversion fand ich auch sehr gut ;) Bin momentan aber mit meinem Avast sehr zufrieden, schnelle Server, Updates und viele Scannermodule. Dann noch den McAfee SiteAdvisor für die Suchergebnisse, jedoch muss man zu dem sagen, dass er bei Seiten die total clean sind auch öfters versagt. Beispielsweise bei Programmen wo standardmäßig eine Veränderung der Startseite (CheckBox) angeklickt ist und die testen natürlich sofort mit den Standardeinstellungen und schon wird die Seite als gefährlich eingestuft. Aber trotzdem ganz hilfreich.

    Am Ende ist eh die brain.exe das Wichtigste ;)

    Antworten
  • 9. Oktober 2008 um 18:22
    Permalink

    brain.exe sollte immer laufen ;) Die schützt auch besser als jeder Scanner…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.