Rootkit Hook Analyzer

#0
25.09.2006, 01:15
Member
Avatar dreiD

Beiträge: 278
#1 Hallo,

bin absoluter Neuling,was Rootkits angeht. Habe in einem Artikel der PCGH die Empfehlung für das kostenlose Tool "Rootkit Hook Analyzer" gelesen und es runtergeladen.

Zu meinem Entsetzen waren alle 283 Einträge rot, also Rootkits!
Kann mir jemand sagen, was ich jetzt machen kann oder soll??Kennt sich jemand mit dem Tool aus??Es gibt absolut keine Optionen und das Tool soll mir anscheinend die betroffenen Programme verraten.Nur sind das allesamt Programme,wie meine Nvidia-Treiber,WingMan Software,Windows usw. also einfach alles.

Kann das sein??Wie bekomme ich die weg?

Laut Wikipedia habe ich Kernel-Rootkits.

"Kernel Rootkits ersetzen Teile des Betriebssystem-Kerns durch eigenen Code, um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen durch die direkte Manipulation von Kernelspeicher auch ohne LKM aus. Unter Windows werden Kernel Rootkits häufig als neue .sys-Treiber realisiert."


__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
25.09.2006, 08:20
Moderator

Beiträge: 7805
#2 Lade dir mal gmer herunter: http://www.gmer.net/files.php starte es und druecke scan. Wenn es mit dem Scan fertig ist, druecke Copy und fuerge den Inhalt hier in einer antwort von dir ein.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.09.2006, 09:01
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#3 Ok,bitte schön:

GMER 1.0.11.11349 - http://www.gmer.net
Rootkit 2006-09-25 09:01:08
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.11 ----

SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile
SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwTerminateProcess

INT 0x71 ? FEE3229C
INT 0x92 ? FEE313FC
INT 0x93 ? FEE3250C
INT 0xB2 ? FEE30A04

---- Devices - GMER 1.0.11 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys

---- Processes - GMER 1.0.11 ----

Process vsmon.exe (*** hidden *** ) [1412] 826B8488

---- Files - GMER 1.0.11 ----

ADS ...
ADS ...

---- EOF - GMER 1.0.11 ----



Ist jetzt meine Firewall befallen??Und warum sind nicht so viele Einträge rot??Spinnt mein Hook Analyzer?? Wie konnte ich mich überhaupt infizieren?

Achte extrem auf Sicherheit: AntiVir,Firefox,Firewall,NAT-Firewall im Router,Sicherheitsupdates,regelmäßige Scans mit AdAware,Spybot,CWShredder usw.
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
25.09.2006, 09:19
Moderator

Beiträge: 7805
#4 Naja, das sieht mir danach aus, das ZA selber das Rootkit ist, bzw rootkit aehnliches verhalten an den Tag legt. Da muss ich selber mal nachhaken....

BTW: Du solltest sp2 installieren! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.09.2006, 11:06
Moderator

Beiträge: 7805
#5 So, nun weiss ichs, das ist ein normales Verhalten, wenn neuere ZA Versionen installiert sind. Also kein Grund zur Beunruhigung...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.09.2006, 19:15
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#6 Ok,danke...aber gibt es irgendwo einen guten Guide, wo ich lernen kann, solche Logs auszuwerten??Bin kein Neulinge auf dem Gebiet,also kann es ruhig auch was für Fortgeschrittene sein.

Kannst du dir erklären,warum ZA solch ein Verhalten an den Tag legen sollte?
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
25.09.2006, 21:59
Moderator

Beiträge: 7805
#7 Obwohl ich es nicht genau weiss, denke ich, das ZA dieses Rootkitaehnliche Verhalten fuer den selbstschutz nutz, damit es nicht von jeder dahergelaufenen Malware ausgeknipst werden kann.

Bei installiertem KAV6 sieht man ein aehnliches Verhalten.

Achso, Gmer sagt einem selber meistens schon, wenn es wirklich sehr nahe an ein Rootkit geht.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.09.2006, 22:19
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#8 Ok,alles klar...vielen Dank.
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
18.05.2007, 19:49
...neu hier

Beiträge: 2
#9 Hallo

Ich habe mit dem RHA folgenes rotmariertes gefunden.

Service name Syscall Address Hooked Module Product Company Description
--------------------------------------------------------------------------------------------------------------------------------------
NtClose, ZwClose 25 0xAEF17E60 YES SLEE401.sys
NtCreateFile, ZwCreateFile 37 0xAEF17EF5 YES SLEE401.sys
NtOpenFile, ZwOpenFile 116 0xAEF18105 YES SLEE401.sys
NtSetInformationFile, ZwSetInformationFile 224 0xAEF17E90 YES SLEE401.sys


Leider weiss ich auch nicht was ich damit anfangen soll ?
Ist es ein RootKit ? Wie bekomme ich es dann weg ?

Weiss jemand Rat ?

Danke
Seitenanfang Seitenende
18.05.2007, 20:00
Moderator

Beiträge: 7805
#10 Google sagt, das gehoert zu steganos: http://www.buha.info/board/showthread.php?p=184074
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.05.2007, 20:19
...neu hier

Beiträge: 2
#11 Das könnte sein. Ich hatte mal ein Steganos gesichertes Laufwerk.
Davon ist es wohl noch übrig.

Danke für die schnelle Antwort.
Seitenanfang Seitenende