Home » Viren, Trojaner & Malware Forum » Kaspersky oder Rootkit? Was nun? » Themenansicht

Kaspersky oder Rootkit? Was nun?
#0
17.02.2006, 10:35
yastee
Member
Avatar yastee

Beiträge: 14
#1 Hallo Forumgemeinde,

ich benutze die Antivirensoftware von Kaspersky und wollte mal mit den unten aufgührten Programmen nach Rootkits auf meinem PC suchen. Dabei stellte ich fest, dass Kaspersky Software-Prozesse und andere, mir Unbekannte Prozesse, von den Rootkit Suchprogrammen unter Verdacht gestellt werden.

Wie kann ich herausbekommen, ob es sich dabei um einen bösen Rootkit oder um einen Prozess von Kaspersky handelt?

Die Vorwürfe an Kaspersky sind mir klar, und ich kenne auch die Stellungnahme von Kaspersky, aber hier habe ich ein großes Problem, bei der Findung nach Rootkits.

Wie löst ihr das Problem, wenn ihr Scanner von Kaspersky verwendet?

Diese Software habe ich verwendet:
RootkitRevealer
RootKit Hook Analyzer
Ice Sword

Vielen Dank


yastee
Seitenanfang Seitenende
18.02.2006, 16:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 --- Glaskugel an ---

du solltest die Scanreporte hier posten

--- Glaskugel aus ---
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.02.2006, 13:28
yastee
Member

Themenstarter
Avatar yastee

Beiträge: 14
#3 Vielen dank für die Glaskugel Symphonie!
Dachte, dass jemand das Problem vielleicht kenne.

Hier ein Screen von Rootkit Hook Analyzer (Textprotokoll kennt der scheinbar nicht) und der Bericht von RootkitRevealer.



HKLM\SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY 11.01.2006 23:00 9 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 03.01.2006 16:20 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 20.02.2006 13:11 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\RtlWake\LinkedSSID 20.02.2006 13:11 200 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 17.02.2006 12:04 0 bytes Access is denied.
C:\System Volume Information\_restore{56319CE5-708B-4943-86E7-A109C2038B4B}\RP65\A0012800.ini 18.02.2006 23:11 582 bytes Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 03.01.2006 16:34 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 03.01.2006 16:34 111.50 KB Visible in Windows API, but not in MFT or directory index.
D:\briefvorlage.odt:KAVICHS 06.01.2006 20:32 36 bytes Hidden from Windows API.
D:\desktop.ini:KAVICHS 06.01.2006 15:04 196 bytes Hidden from Windows API.

Und viele Ordner mit der selben Meldung wie zuletzt: Hidden from Windows API
Seitenanfang Seitenende
20.02.2006, 14:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo ;)

HKLM\SOFTWARE\RtlWake --> C:\Programme\Realtek
D:\desktop.ini:KAVICHS --> Kaspersky
HKLM\SYSTEM\ControlSet001\Services\sptd -->Sptd.sys is a part of Daemon tools software

alles andere, wie schon gesagt , ist von Kaspersky selbst. Warum nun kaspersky Rootkits verwendet.... da musst du dort mal nachfragen.
http://forum.kaspersky.com/lofiversion/index.php/f27.html

Der PC hat keine Rootkits, von denen man annehmen koennte, dass sie Malware sind ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.02.2006, 14:33
yastee
Member

Themenstarter
Avatar yastee

Beiträge: 14
#5 Also falls nochmal Interesse besteht, hier die Infos, die ich zusammenbekommen konnte:

Das Problem beim "Verstecken" von Softwarefunktionen ist, dass Malware dieselbe Technik nutzen kann, um sich wiederum zu verstecken.
Bestes Beispiel war der Sony-Kopierschutz, der mittels Rootkitfunktion vor dem Entdecken versteckt wurde. Da das keiner wusste, bis es durch den Autor von RootkitRevealer aufgedeckt wurde, konnte sich Malware bereits damit tarnen.

Ich glaube eher, dass Kaspersky die rootkitänliche Funktion ersetzt, weil es katasrophal wäre, wenn Malware diesen für sich benutzen würde.

Leider wird von Malwareautoren meist Technik benutzt, die für nützliche Dinge entwickelt wurde.

Fernwartungstools sind so ein Beispiel. Anstatt das damit Netzwerke gewartet werden, können Botnetzbetreiber diese benutzen, um damit ihre "Zombie-PCs" zu steuern.

Deswegen sollten sich alle Programmierer überlegen, für wen sie überhaupt entwickeln.

Es ist deshalb kein schlechter Ansatz, Rootkittechnologien aus Sicherheitssoftware weitestgehend rauszuhalten, zumindest, wenn es sich nicht um Open Source handelt, die jeder anhand des Quellcodes nachprüfen kann.

Nicht ohne Grund gab es Rootkits zuerst für Unix.
Dieser Beitrag wurde am 23.02.2006 um 13:14 Uhr von yastee editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1