Spyware tarnt sich mit Root Kits/Streams

#0
24.06.2005, 01:13
MerlinX
zu Gast
#1 Quelle Pc-Welt:Bereit seit einigen Monaten machen so genannte Rootkits von sich reden ( wir berichteten ). Sie werden von Angreifern benutzt, die damit eingeschleuste Trojanische Pferde tarnen ( wir berichteten ). Auch die Hersteller und Verbreiter von Adware und Spyware haben inzwischen Windows-Rootkits als Tarnkappen für ihre Programmdateien entdeckt.


Eines der größten Ärgernisse von Internet-Nutzern ist die Spyware "Cool Web Search" (CWS), die sich bereits in der Vergangenheit immer wieder als nicht so leicht entfernbar erwiesen hat. Neuere Versionen von CWS enthalten nun Funktionen, die denen von Rootkits zumindest sehr ähnlich sind. Sie sollen verhindern, dass betroffene Anwender die Programmdateien finden, die ihren PC ausbremsen, den Bildschirm mit Pop-ups füllen und ihre Suchanfragen umleiten. Früheren CWS-Versionen waren relativ leicht zu finden, aber nur schwer zu entfernen. Dazu leistete das Programm " CWShredder " oft gute Dienste, das nach der Übernahme von Intermute ( wir berichteten ) nun bei Trend Micro zu finden ist.

Jetzt kommt auch noch eine Art Tarnkappe hinzu. Nach Angaben von Roger Thompson von Computer Associates nutzt CWS so genannte Alternate Data Streams (ADS) des Windows-Dateisystems NTFS, um Teile des Rootkits zu verbergen. Das bedeutet für den Anwender, dass die Dateien weder im Windows Explorer noch mit dem Kommandozeilenbefehl "dir" sichtbar sind. Sie werden von Anti-Spyware-Programmen oder Virenscannern nur gefunden, wenn diese auch mit ADS umgehen können.

Spezielle Rootkit-Detektoren wie der "Rootkit Revealer" von Sysinternals oder "Blacklight" von F-Secure sollen den versteckten Programmen ihre Tarnkappen entreißen. Letztlich setzt sich jedoch auch hier das altbekannte Katz-und-Maus-Spiel zwischen Malware-Programmierern und den "Guten" fort.
Gruß an alle User Merlinx
Dieser Beitrag wurde am 24.06.2005 um 01:58 Uhr von Merlinx editiert.
Seitenanfang Seitenende
24.06.2005, 10:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ja, das stimmt, es wird immer schwerer an die Rootkits zu kommen, ich weiss wovon ich spreche, aber es gibt inzwischen schon Moeglichkeiten, auch diese zu finden.
Allerdings ist es manchmal fuer den einfachen User sehr schwer zu verstehen, wenn ich ihm 5 oder 6 Erkennungstools zumute, nur um sehen zu koennen, wo sich der Ursprung der Verseuchung befindet.

Das werden dann ellenlange Threads und erfordern vom User einiges PC-Wissen.
Es ist nicht mehr wie frueher, wo man AdAware und Spybot empfahl und der Sache war erledigt.

Zitat

Zu jeder Datei können beliebig viele Unter-Streams gespeichert werden. In der Praxis heißt das, dass man jeder Datei beliebig viele andere Dateien zuweisen kann, die nicht sichtbar sind, aber - solange der Vorgang innerhalb von NTFS-Laufwerken stattfindet - zusammen mit der Datei verschoben und kopiert wird. Der Zugriff auf die versteckten Dateifragmente findet mit einem Doppelpunkt statt: beispiel.txt:meinedatei.txt kennzeichnet einen zu der Datei beispiel.txt gehörigen Datenstream namens meinedatei.txt aus. Neben Dateien können auch Ordner zusätzliche Datenströme beinhalten, was das Auffinden von ungewollten ADS erschwert.

Zitat

Sicherheit

Da die ADS-Ströme für den Benutzer unsichtbar sind und noch nicht alle Anti-Virus-Programme in der Lage sind die ADS zu durchsuchen ist zu befürchten, dass Viren diese Funktion nutzen könnten (was tatsächlich auch schon der Fall ist). Daten in ADS sind genau wie normale Dateien ausführbar. Im Autostart können solche ausführbaren Daten mit einem start-Kommando ausgeführt werden.
http://www.computerbase.de/lexikon/Alternate_Data_Streams

Zitat

Dateiname:Stream-Name

Über die Windows-Eingabeforderung kann der Anwender relativ einfach Streams anlegen und beschreiben:

echo "gemeingeheim" >> beispiel.txt:teststream.txt

Allerdings lässt sich der Stream weder mit dem DOS-Kommando dir noch mit dem Windows Explorer anzeigen. Alles was man sieht, ist die Datei beispiel.txt, der Stream ist quasi unsichtbar. Selbst wenn der Anwender oder eine Applikation mehrere MByte in den Stream schreibt, bleibt die Größe der Datei unverändert. Sogar an ein Verzeichnis lässt sich ein ADS binden. Streams eignen sich so hervorragend, um Daten zu verstecken. Inkonsistenzen der Summe der gespeicherten Dateien und dem noch verfügbaren Speicherplatz auf der Festplatte können auf versteckte Streams hinweisen.

Simsalabim

Um zumindest den Inhalt eines Streams mit Windows-Bordmitteln wieder sichtbar zu machen, ist Notepad nützlich -- sofern der Name des Streams bekannt ist.

notepad beispiel.txt:teststream.txt

Allerdings muss man dazu wissen, an welcher Datei der Stream überhaupt hängt. Genau diese Informatonen liefern diverse frei verfügbar Tools, die alle vorhandenen ADS eines Verzeichnisses auflisten [3,4,5,10].

Da Streams beliebige Daten aufnehmen können, sind sie auch geeignet, um ausführbare Dateien zu verstecken:

type geheimes_tool.exe > c:\boot.ini:foo.exe

Mit dem simplen Befehl

start c:\boot.ini:foo.exe

erwacht das Programm zum Leben. Der Aufruf kann über ein Programm oder Skript (WSH) erfolgen. Sogar der Aufruf durch die Run-Keys in Registry, bespielsweise beim Neustart, ist möglich. Diese Möglichkeit nutzen auch Viren, Würmer und Trojaner, um sich beim Hochfahren des Systems zu aktivieren.

Dass sich Schädlinge in ADS einnisten können, wissen die Hersteller von Antivirensoftware seit mehreren Jahren [6,7]. Der im August 2003 aufgetauchte und immer noch aktive Mass-Mailing-Wurm W32.Dumaru nutzt diese Möglichkeit auch praktisch aus, ebenso wie einige Agobot-Varianten [8] sowie Ad- und Spyware, etwa der IE-Hijacker.
http://www.heise.de/security/artikel/52139

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2005, 13:38
Member
Avatar Malkesh

Beiträge: 669
#3 Sehr interessant, hat jemand von euch Informationen welche Anti-Viren-Hersteller schon ADS scannen und welche nicht?
Ich denke das wäre in Hinsicht auf solche Malware gut zu wissen (für die Zukunft, wenn vllt die aktuelle Lizenz ausläuft etc)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
24.06.2005, 14:35
Member

Beiträge: 3306
#4 Steht in dem Heise-Artikel:
http://www.heise.de/security/artikel/52139/2

Wie so oft: Norton kann es nicht, alle Scanner mit Kaspersky Engine schon. Und wie gesagt das ist schon jahrelang bekannt ;)
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
24.06.2005, 15:11
Member
Avatar Malkesh

Beiträge: 669
#5 Hoppla, den Link zu dem Heise Artikel hab ich ganz übersehen, vielen Dank asdrubael *g*

So wie's ausschaut können das mittlerweile ja doch fast alle gängigen, nur das Trend Micro es nicht kann hat mich etwas überrascht. Beim Norton hab ich gar nix anderes erwartet ;)

Bei Trend Micro scheint man sich aber durch etwas Fummelei helfen zu können:

Zitat

Die Gründe warum Trend Micro, NAV, BitDefender, F-Prot und die Virus Utilities den Virus nicht erkannten sind vielfältig. Bei Trend Micros Produkt muss der Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ TmFilter\Parameters\TrapHiddenDataStream in der Registry auf 1 stehen, um Ströme On-Demand zu durchsuchen -- aus Performance-Gründen ist das bislang standardmäßig ausgeschaltet. Zukünftige Versionen von TIS sollen immerhin ADS per Default On-Access durchsuchen.
Das mit den Performance-Gründen versteh ich nicht, zur Not kann man ja eine Funktion in der GUI einbauen zum An- und Abschalten der Funktion (wie z.B. bei Computer Associates)? Denn Otto-Normal-User weiß sicher nicht wie er in der Registry rumfummeln muss nur weil er den maximalen Schutz aus seinem Scanner herauskitzeln möchte.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 24.06.2005 um 15:15 Uhr von Malkesh editiert.
Seitenanfang Seitenende