Rootkit oorzaak Windows XP Blue Screen of Death
Windows XP systemen die na het installeren van de laatste Microsoft beveiligingsupdates crashen, zijn geïnfecteerd met een beruchte rootkit, dat vertelt Erik Loman van Surfright tegenover Security.nl. Volgens de softwaregigant zou bij een beperkt aantal klanten de systemen na patchdinsdag niet meer werken. Uit voorzorg besloot Microsoft daarom de vermoedelijke boosdoener, update MS10-015, terug te trekken. Patrick Barnes kwam als eerste met de suggestie dat een besmette driver waarschijnlijk de oorzaak van de crashende systemen is. "De rootkit in kwestie is de TDL3 rootkit", aldus Loman. Het Nederlandse beveiligingsbedrijf, bekend van Hitman Pro, waarschuwde al eerder voor de malware. Een eigenschap van de TDL3 rootkit is dat het de hard disk driver infecteert, vaak atapi.sys. Ook Barnes kwam tot deze conclusie en ontdekte dat het vervangen van dit bestand door een schoon exemplaar, de problemen wat betreft het crashen van het systeem oplost.
Verspreiding
"Het feit dat zoveel mensen last hebben van de patch-of-death zegt duidelijk iets over de verspreiding van deze TDL3 rootkit", zegt Loman. Sinds december vorig jaar trof Hitman Pro de rootkit al op 16.000 computers aan. Daarvan gebruikte 74,8% een volledig bijgewerkte virusscanner. "Geen enkele virusscanner is momenteel in staat de infectie te ontdekken wanneer de rootkit actief is op het systeem, de volledige stealth van de rootkit is dan in werking", gaat de beveiligingsexpert verder. De reden dat virusscanners de rootkit niet ontdekken, is omdat die het schone driver bestand aan Windows aanbiedt. "De meeste anti-virus software is hiermee om de tuin te leiden."
Ook is volgens Loman de zogenaamde dropper lastig te herkennen, omdat deze telkens wijzigt en anti-virusbedrijven hier hun definities op moeten aanpassen. Naast detectie is ook het verwijderen een groot probleem. "Geen enkele virusscanner is hiertoe in staat", aldus Loman. Hij merkt op dat er zeer weinig over deze rootkit bij de verschillende anti-virusbedrijven is te vinden. "Puur omdat ze het niet zien."
Verwijdertool
Sommige anti-virusbedrijven zoals PrevX zouden wel over een verwijdertool beschikken om de rootkit te verwijderen. Het bedrijf houdt die voor zichzelf, omdat men bang is dat de auteurs van de TDL3 rootkit achter de verwijderingstactieken komen en deze in een update van de rootkit kunnen tegengaan. Naast atapi.sys zag Surfright de infectie ook in meer dan dertig andere .sys bestanden. Volgens Loman kan het programma Combofix de infectie verwijderen, maar werkt dat alleen als gebruikers over de atapi.sys driver beschikken. "Heb je een Intel, Nvidia, AMD of andere hard disk driver, dan werkt Combofix niet."
Herkenning
Hoewel de meeste mensen niet weten dat ze besmet zijn met de rootkit, zijn er wel signalen om een infectie te herkennen. Zo past de rootkit DNS resultaten aan, waardoor gebruikers naar andere, vaak gevaarlijke, websites worden doorgestuurd. Ook installeert de rootkit regelmatig een nep-virusscanner. Is dit het geval, dan kunnen gebruikers Hitman Pro gebruiken, dat gratis malware scant en de eerste 30 dagen die ook verwijdert. "Doordat we de hard disk veel dieper lezen en meerdere virusscanners combineren, wordt de TDL3 infectie wel herkend. De virusscanners zelf kunnen de TDL3 niet ontdekken vanwege de stealth mode die de rootkit gebruikt. Iets waar Hitman Pro tot nog toe geen moeite mee heeft."
Update 15/2 11:05
Inmiddels is er ook een filmpje online verschenen dat de combinatie van de rootkit en beveiligingsupdate, met als gevolg een blauw scherm, demonstreert:
Reacties (31)
Geen problemen mee gehad op de pc's hier dus mag ik mij gelukkig prijzen dat ik die rootkit nergens had.
Vraagje: Is HitMan dan zoveel beter geworden dan vroeger? Of is het nog steeds een aaneenkoppeling van verschillende programmas? Een 'must have' op de pc of toch liever niet?
Op één van de pc's staat er KillBox : http://killbox.net/ nog niet echt meer nodig gehad maar toch handig dacht ik.
Vraagje: Is HitMan dan zoveel beter geworden dan vroeger? Of is het nog steeds een aaneenkoppeling van verschillende programmas? Een 'must have' op de pc of toch liever niet?
Op één van de pc's staat er KillBox : http://killbox.net/ nog niet echt meer nodig gehad maar toch handig dacht ik.
13-02-2010, 10:53 door
Bitwiper
Door Redactie: Patrick Barnes kwam als eerste met de suggestie dat een besmette driver waarschijnlijk de oorzaak van de crashende systemen is.
Dat is de halve waarheid. Patrick W. Barnes kreeg een Asus EEE PC in handen en beredeneerde aan de hand van de BSOD melding dat er wel eens een probleem met atapi.sys kon zijn, en verving die (door de schijf aan een schoon systeem te hangen). De defecte atapi.sys zette hij op z'n website. Die heb ik gedownload waarop m'n antivirus alarm sloeg. Die heb ik uitgezet en de file nogmaals gedownload, en direct aangeboden aan virustotal.Dat heb ik exact 8 seconden (!) eerder gedaan dan Patrick die er ondertussen door iemand anders op gewezen was dat atapi.sys mogelijk geinfecteerd was (zie https://patrickwbarnes.com/blog/2010/02/microsoft-update-kb977165-triggering-widespread-bsod/.
Op http://isc.sans.org/diary.html?storyid=8209 kun je lezen dat ik de eerste was die opperde dat het om een rootkit zou gaan (Feb 11 2010, 22:13 GMT), en dat later (Feb 11 2010, 22:48 GMT) Patrick schrijft:
I concur with Bitwiper's conclusion. It appears that, following this update, the references made by the malware-infected atapi.sys are broken, resulting in the crash.
Dus absoluut alle credits voor Patrick voor het vaststellen dat het -in dit geval- vervangen van atapi.sys het probleem oploste, maar voor zover ik weet ben ik de eerste die het probleem met rootkits in verband bracht.Overigens heb ik dat ook op deze site gedaan, zie mijn reacties in http://www.security.nl/artikel/32390/1/Microsoft_patch_laat_Windows_XP__crashen.html op 11 feb om 23:34 en later meerdere bijdragen in http://www.security.nl/artikel/32403/1/Microsoft_trekt_XP_patch-of-death_terug.html.
In die laatste thread meldde ik gisteravond al dat ook Microsoft het probleem ondertussen in elk geval ten dele aan malware toeschrijft.
13-02-2010, 11:33 door
Bitwiper
Trouwens, voordat ook iemand anders zegt als eerste te melden dat het wellicht achteraf een slecht idee was van Microsoft om MS10-015 tijdelijk terug te trekken kopieer ik mijn melding daarover vanaf de Sans site (zie http://isc.sans.org/diary.html?storyid=8209) ook maar even hier:
Door Bitwiper op Fri Feb 12 2010, 20:41 GMTBy the way, *if* the BSOD's are caused by rootkits that are incompatible with MS10-015, then the BSOD problem will probably automagically vanish.
Currently the rootkit makers have plenty of time to adapt their malware to MS10-015 on PC's they pwn around the world - until Microsoft resumes its auto-update. This may significantly extend the 'second-life' of a lot of zombie PC's...
M.a.w. Microsoft zou de update zo snel mogelijk weer via automatic updates moeten verspreiden. Da's het beste voor het Internet en uiteindelijk zullen de meeste bezitters van rootkitted PC's daar graag ASAP weet van willen hebben en er wat aan willen doen.Currently the rootkit makers have plenty of time to adapt their malware to MS10-015 on PC's they pwn around the world - until Microsoft resumes its auto-update. This may significantly extend the 'second-life' of a lot of zombie PC's...
Maar inmiddels hebben we hier weer flink Microsoft zitten afzeiken. Nou zie je eens wat de betrouwbaarheid van de informatie bij security.nl waard is. En dan heb ik het niet over die stompzinnige reacties hier, maar over de toon van de berichtgeving van de redactie.
13-02-2010, 12:00 door
anoniem lafbekje
chapeau of zeau
Whahaha, je zult als prof. windows beheerder maar openbaar gevloekt hebben op de pleister voor KB977615(IIRC), en dan blijkt een dag later dat de onder jouw verantwoording gestelde xp-installaties een r00tk!t hebben. Wat een giller. Daar moet toch een carnavals tekstje op te bedenken zijn...
13-02-2010, 13:20 door
Spiff has left the building
Mijn complimenten, Bitwiper !!
En aan Anoniem, 10.18 uur, die vroeg, "Is HitMan dan zoveel beter geworden dan vroeger? Of is het nog steeds een aaneenkoppeling van verschillende programmas? Een 'must have' op de pc of toch liever niet?"
Hitman Pro 3 is een geheel ander programma dan de oude Hitman Pro 1 en 2.
Zie de informatie op:
http://www.surfright.nl/nl/HitmanPro
en
http://files.surfright.nl/productbeschrijving-hitman-pro-3_5-versie-1_2.pdf
Of het een 'must have' is, daarover verschillen natuurlijk de meningen, maar er zijn veel tevreden gebruikers.
En aan Anoniem, 10.18 uur, die vroeg, "Is HitMan dan zoveel beter geworden dan vroeger? Of is het nog steeds een aaneenkoppeling van verschillende programmas? Een 'must have' op de pc of toch liever niet?"
Hitman Pro 3 is een geheel ander programma dan de oude Hitman Pro 1 en 2.
Zie de informatie op:
http://www.surfright.nl/nl/HitmanPro
en
http://files.surfright.nl/productbeschrijving-hitman-pro-3_5-versie-1_2.pdf
Of het een 'must have' is, daarover verschillen natuurlijk de meningen, maar er zijn veel tevreden gebruikers.
13-02-2010, 13:29 door
ej__
Petje af voor bitwiper!
EJ
EJ
Door Anoniem: Maar inmiddels hebben we hier weer flink Microsoft zitten afzeiken. Nou zie je eens wat de betrouwbaarheid van de informatie bij security.nl waard is. En dan heb ik het niet over die stompzinnige reacties hier, maar over de toon van de berichtgeving van de redactie.
Voor de onderbouwing van je klacht zou ik graag het volgende zien:
- quotes uit het artikel die de afzeiktoon waar je over klaagt illustreren
- quotes uit de reacties (van voor de jouwe) die de stompzinnigheid illustreren
Ik herken het namelijk niet. Misschien vind je mij dan stompzinnig, maar ik kan werkelijk niet in de tekst of de reacties terugvinden waar je over klaagt. Laat eens via een goede onderbouwing zien wat jouw informatie eigenlijk waard is.
Malware werkt beter dan welke virus scanner dan ook. Je zou zegen dat die maker van Anti-virus beter met een nieuw manieer van beveiligen op de markt zouden moet komen. Door midel van whitelisting en het uitschakelen van download´s van bepaald website die niet op whitelist bevinden. Maar ook vertrouwelijk website bieden de gebruiker leuken troep aan, als voorbeeld een commercial site brahma http://www.brahma.com.ar/ een screensaver die een hacker misschien weer zou kunnen gebruiken om je pc teinfecteren. Ze horen gewoon niks aanbieden dan alleen informatie over hun product maar geen download van van bijvoorbeeld een *.pdf, *.scr, *.XLS *.ppt Dit zelfde geld ook voor de ING bank, en ze moet ook eens stop met *wij mogen wel javascript toepassen op je pc want wij zijn veiligen website of wij mogen wel download toepassen op u pc.
13-02-2010, 19:03 door
[Account Verwijderd]
[Verwijderd]
13-02-2010, 19:05 door
[Account Verwijderd]
[Verwijderd]
13-02-2010, 20:49 door
Bitwiper
Door eloow: Kind kan de was doen bij 2
Dank voor de kritiek, maar dat is achteraf wel makkelijk redeneren. Mijn doel is niet de volledige eer te claimen, maar omgekeerd vind ik het wat flauw dat Patrick W. Barnes vergeet mij te noemen in dit verhaal.Patrick W. Barnes had namelijk helemaal niet door dat het om een virusinfectie ging toen hij de besmette atapi.sys van de Asus EEE PC haalde die hij in handen kreeg, anders had hij deze heus niet op z'n website gezet. Ofwel hij heeft daarbij gebruik gemaakt van een linux bak, of een pc met brakke of helemaal geen antivirus.
Daarbij komt dat Patrick en veel mensen dachten (en nog steeds denken) dat atapi.sys onderdeel uitmaakt van MS10-015 en dat de updated driver kennelijk niet goed werkt met sommige hardware. Op zich een logische gedachte, maar incorrect.
Omdat ik bijzonder geïntereseerd was in deze kwetsbaarheid, en wilde weten welke binaries er door vervangen werden, had ik al eerder op http://support.microsoft.com/kb/977165 gezien dat het uitsluitend om kernelbestanden ging (bovendien zou ik, op basis van m'n ervaring, sowieso een diskdriver niet met deze kwetsbaarheid in verband hebben gebracht; wel had ik ntvdm.exe in het rijtje verwacht, en die wordt nou net niet vervangen door MS10-015, maar dat terzijde).
Na het alarm van virustotal wist ik dat het om malware ging, maar nog niet dat het een rootkit betrof; daar ben ik over gaan lezen. Vervolgens heb ik beredeneerd dat die rootkit kennelijk hooks plaatst op undocumented pointers of variabelen/constanten etc. en dat die door de patch kennelijk van (geheugen-) plaats veranderd zijn. Ik ken geen kinderen die dat soort was doen.
Nadat berichten over besmette atapi.sys bestanden verschenen waren er nog steeds mensen die de oorzaak niet begrepen, sommigen dachten dat Microsoft met MS10-015 atapi.sys vervangen had en dat dit mis was gegaan doordat niet de bij boot gebruikte atapi.sys overschreven was, maar de backup die door de rootkit getoond wordt zodra het systeem actief is. Zie bijv. http://tech.slashdot.org/comments.pl?sid=1547942&cid=31116436:
So, for all we know, Microsoft did check the file before replacing it, but the rootkit told the OS it was unmodified.
Daarnaast, hoewel velen er op deze site totaal geen problemen mee hebben om maar wat te blaten, heb ik een "naam" (okay ik gebruik een alias, maar toch) te verliezen als ik wat roep, zeker op een gerenommeerde site als sans.org. Daarom heb ik het voorzichtig gebracht op http://isc.sans.org/diary.html?storyid=8209: posted by Bitwiper, Thu Feb 11 2010, 22:13 GMTPatrick, just before your post I downloaded the atapi.sys from your site because nothing at Microsoft's site indicates that this driver would be replaced by MS10-015. My AV screamed. I turned it off and, more or less simultaneously with you, uploaded the file to virustotal, see http://www.virustotal.com/analisis/85aa49f587f69f30560f02151af2900f3dc71d39d1357727ab41b11ef828a7ff-1265925521
I wouldn't be surprised if the new kernel files, replaced by the MS10-015 patch, change (pointer) tables that are being exploited by certain types of malware (rootkits in particular), which cease to work 'correctly' after the patch.
en, na meer googlen en verder nadenken, me gerealiseerd dat (in tegenstelling tot wat iedereen op dat moment nog dacht) er helemaal niets mis is met MS10-015 zelf, ook niet op specifieke systemen (notabene Microsoft zelf vermoedde dat toen ze de patch terugtrok): I wouldn't be surprised if the new kernel files, replaced by the MS10-015 patch, change (pointer) tables that are being exploited by certain types of malware (rootkits in particular), which cease to work 'correctly' after the patch.
posted by Bitwiper, Thu Feb 11 2010, 22:38 GMTBased on the malware observation above, my best guess is that either malware, or legitimate software, that modifies (probably undocumented) in-memory kernel data, functions or (pointer-) tables, is causing XP systems to crash after applying MS10-015.
Ten slotte heb ik vandaag, na mijn bijdrage van 11:33 hierboven, een mail gestuurd naar Microsoft met het verzoek om MS10-015 ASAP weer via automatic updates te verspreiden. Daar heb ik nog wat andere suggesties aan toegevoegd maar dat vertel ik misschien nog wel een andere keer.Dank aan anderen voor de positieve racties!
13-02-2010, 21:05 door
[Account Verwijderd]
[Verwijderd]
13-02-2010, 21:17 door
Bitwiper
Door Anoniem: Geen problemen mee gehad op de pc's hier dus mag ik mij gelukkig prijzen dat ik die rootkit nergens had.
Vraagje: Is HitMan dan zoveel beter geworden dan vroeger? Of is het nog steeds een aaneenkoppeling van verschillende programmas? Een 'must have' op de pc of toch liever niet?
Op ??n van de pc's staat er KillBox : http://killbox.net/ nog niet echt meer nodig gehad maar toch handig dacht ik.
Of HitMan in staat is om alle varianten van de Tdss rootkit, en waarschijnlijk andere malware die de BSOD's veroorzaakt, te herkennen en verwijderen, weet ik niet.Vraagje: Is HitMan dan zoveel beter geworden dan vroeger? Of is het nog steeds een aaneenkoppeling van verschillende programmas? Een 'must have' op de pc of toch liever niet?
Op ??n van de pc's staat er KillBox : http://killbox.net/ nog niet echt meer nodig gehad maar toch handig dacht ik.
Misschien heeft iemand iets aan de volgende melding http://tech.slashdot.org/comments.pl?sid=1547942&cid=31115984:
by cyprezzz on Friday February 12, 2010, @01:11PM (USA local time)I've seen this Tdss-rootkit on many machines. Usually it infects a disk driver like atapi.sys or iastor.sys. Typically an infected machine will boot in normal mode, but NOT in safe mode (blue screens). If Windows will boot, running ComboFix has removed the rootkit for me every time. The author of ComboFix is a genius.
13-02-2010, 21:43 door
Spiff has left the building
Het door Redactie genoemde download-adres voor ComboFix,
http://www.combofix.org/download.php
wordt niet goed gewaardeerd door WOT-gebruikers:
http://www.mywot.com/en/scorecard/combofix.org
Veel meldingen van malware, fishing, en meer onprettigs.
Wellicht een beter download-adres voor ComboFix is BleepingComputer.com:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
http://www.combofix.org/download.php
wordt niet goed gewaardeerd door WOT-gebruikers:
http://www.mywot.com/en/scorecard/combofix.org
Veel meldingen van malware, fishing, en meer onprettigs.
Wellicht een beter download-adres voor ComboFix is BleepingComputer.com:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
13-02-2010, 22:05 door
[Account Verwijderd]
[Verwijderd]
13-02-2010, 22:35 door
Bitwiper
Door Spiff:
Het door Redactie genoemde download-adres voor ComboFix,
http://www.combofix.org/download.php
wordt niet goed gewaardeerd door WOT-gebruikers:
http://www.mywot.com/en/scorecard/combofix.org
Veel meldingen van malware, fishing, en meer onprettigs.
Wellicht een beter download-adres voor ComboFix is BleepingComputer.com:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
Spiff, je hebt absoluut gelijk dat het beter is om software van de site van de maker te downloaden.Het door Redactie genoemde download-adres voor ComboFix,
http://www.combofix.org/download.php
wordt niet goed gewaardeerd door WOT-gebruikers:
http://www.mywot.com/en/scorecard/combofix.org
Veel meldingen van malware, fishing, en meer onprettigs.
Wellicht een beter download-adres voor ComboFix is BleepingComputer.com:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
Ik vroeg me even af of we ASAP de redactie op deze fout moesten wijzen, maar daar lijkt geen superhaast bij te zijn; als ik nu met Firefox in http://www.combofix.org/download.php op "link1:ComboFix.exe" klik (die verwijst naar http://www.combofix.org/downloadlink.php), dan word ik doorgestuurd naar http://www.bleepingcomputer.com/combofix/how-to-use-combofix.
Het IP-adres van www.combofix.org is 72.167.183.34, en volgens http://whois.domaintools.com/72.167.183.34 worden er 1962 (gezellig!) domains gehost op dit adres. Er bestaat dus wel een risico, want wie weet wat er gebeurt op een ander tijdstip, maar in elk geval op dit moment lijkt de link me wel safe.
De site zelf, met IP=208.43.87.2, lijkt een stuk veiliger: http://www.domaintools.com/reverse-ip/?hostname=208.43.87.2:
There are 3 domains hosted on this IP address.
1. Bleepigncomputer.com
2. Bleepingcomputer.com
3. Bleepingcomputer.org
(leuk die eerste, kennelijk anticiperen ze op een veel gemaakte tikfout).1. Bleepigncomputer.com
2. Bleepingcomputer.com
3. Bleepingcomputer.org
Heb je een mailtje naar redactie@ gestuurd om te melden dat ze beter niet naar combofix.org kunnen verwijzen?
13-02-2010, 22:48 door
Spiff has left the building
Door Bitwiper: Heb je een mailtje naar redactie@ gestuurd om te melden dat ze beter niet naar combofix.org kunnen verwijzen?
Nee, nog niet.Ik zal dat nu toch maar eventjes doen.
Dankjewel voor het meedenken.
[admin] Zowel BitWiper als Spiff bedankt voor jullie bijdrage. De link is aangepast [/admin]
13-02-2010, 23:17 door
Spiff has left the building
BleepingComputer vermeldt overigens op
http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
de volgende tekst in de Nederlandstalige disclaimer voor ComboFix:
" Volgende websites hebben geen enkele binding met ComboFix:
http://www.combofix.org/
http://www.combofixdownload.com/ "
http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
de volgende tekst in de Nederlandstalige disclaimer voor ComboFix:
" Volgende websites hebben geen enkele binding met ComboFix:
http://www.combofix.org/
http://www.combofixdownload.com/ "
14-02-2010, 00:29 door
Bitwiper
Omdat ik nog nooit naar ComboFix gekeken had, heb ik deze maar gedownload. Well what the ****, slaat de virusscanner weer aan (net als eerder deze week bij de atapi.sys die ik downloadde)! Niet schrikken: hoogstwaarschijnlijk false alarm.
Ik zit momenteel te tikken op de PC in de woonkamer (eigenlijk is ie van m'n vrouw) en daarop draait McAfee. Die verwijderde direct Combofix.exe.part (de nog partiële download door Firefox) en ook nog iets uit de cache van Firefox, beide onder vermelding van Artemis!040A234E22F0 (Trojan). AV uitgezet, file nogmaals gedownload en aangeboden aan virustotal. Hij bleek gisteren al te zijn aangeboden (ik neem alleen de alarmen over): http://www.virustotal.com/analisis/a8be2e383e1e690a1edc7ff11189ca61d2ef8609df1a5d858f60cda31ea07e1f-1266031135
Interessant: met 7-Zip ComboFix.exe uitgepakt en alle bestanden in de submap gescanned met McAfee: 156 files scanned, 0 infected! ComboFix bestaat dus uit een hoop losse bestandjes, waaronder meerdere executables en batchfiles.
De Artemis techniek van McAfee berust op het converteren van een (of enkele) hashes van het bestand in een DNS-lookup die er bijv. zo uitziet: 0.220ff001.11.14b5.1703.3e9b.10.0.tsz19kk1g7s49th5cndctrisv6.avqs.mcafee.com
Afhankelijk van het antwoord weet de scanner op de PC of het bestand in McAfee's online database voorkomt, maar waarom ComboFix malware zou zijn kan ik niet vinden. Overigens is 040A234E22F0 die de scanner achter "Artemis!" vermeldt, hetzelfde als de eerste 6 bytes van de md5sum van het bestand.
De reden dat nogal wat scanners aanslaan op NirCmd (een van de vele fraaie en handige gratis tooltjes van Nir Sofer, zie http://www.nirsoft.net/utils/nircmd.html) komt waarschijnlijk omdat je daarmee processen kunt verstoppen (ook zijn Nir's tools, net als sommige malware, met UPX gecomprimeerd).
De enige serieuze meldingen lijken "Backdoor/RBot.oqm" en "Trj/Nabload.DPS" te zijn.
Door te zoeken naar "Backdoor/RBot.oqm" vond ik ook een oudere virustotal melding van Combofix.exe (2010.01.22 10:24:03 (UTC); Result: 6/41 (14.63%); zie http://www.virustotal.com/analisis/38a14fd2d410ee81402b49e7a89ad9bbf482dac9ab1ba5313df9cf68e64f3f17-1264155843, verder geen echt nuttige (voor mij leesbare, dwz niet-Chineze) info.
http://www.pandasecurity.com/homeusers/security-info/216993/information/Nabload.DPS onder de Tech Details tab:
Ik hou het op false positives, maar zou ComboFix niet voor de grap draaien op een schoon systeem, en na het draaien zou ik de PC aan een goede virusscan met een ander pakket onderwerpen (bij voorkeur door van een CD met daarop AV software te booten).
Overigens wel heel stom, van http://www.bleepingcomputer.com/combofix/how-to-use-combofix
Ik zit momenteel te tikken op de PC in de woonkamer (eigenlijk is ie van m'n vrouw) en daarop draait McAfee. Die verwijderde direct Combofix.exe.part (de nog partiële download door Firefox) en ook nog iets uit de cache van Firefox, beide onder vermelding van Artemis!040A234E22F0 (Trojan). AV uitgezet, file nogmaals gedownload en aangeboden aan virustotal. Hij bleek gisteren al te zijn aangeboden (ik neem alleen de alarmen over): http://www.virustotal.com/analisis/a8be2e383e1e690a1edc7ff11189ca61d2ef8609df1a5d858f60cda31ea07e1f-1266031135
File ComboFix.exe.20100212_1910 received on 2010.02.13 03:18:55 (UTC)
Current status: finished
Result: 9/41 (21.95%)
ClamAV_________0.96.0.0-git____ 2010.02.13____ Pua.Hideexec
Comodo________ 3917_________ 2010.02.13____ ApplicUnsaf.Win32.Hide.~AB
F-Secure________9.0.15370.0____2010.02.13____ Suspicious:W32/Riskware!Online
Jiangmin________13.0.900______ 2010.02.08____ Backdoor/RBot.oqm
McAfee+Artemis__ 5890_________ 2010.02.12____ Artemis!040A234E22F0
Panda__________10.0.2.2 ______ 2010.02.12____ Trj/Nabload.DPS
PCTools________ 7.0.3.5________2010.02.12____ Application.NirCmd
Sophos_________ 4.50.0________2010.02.13____ NirCmd
Symantec_______ 20091.2.0.41___2010.02.13____ Suspicious.Insight
Additional information
File size: 3857112 bytes
MD5 : 040a234e22f0c5349ae4a08124e1484d
SHA1 : 00454647022e615155f55e874d35d1db97d4d074
SHA256: a8be2e383e1e690a1edc7ff11189ca61d2ef8609df1a5d858f60cda31ea07e1f
Opnieuw laten scannen, zie http://www.virustotal.com/analisis/a8be2e383e1e690a1edc7ff11189ca61d2ef8609df1a5d858f60cda31ea07e1f-1266098253, Aditional Information is identiek aan hierboven:Current status: finished
Result: 9/41 (21.95%)
ClamAV_________0.96.0.0-git____ 2010.02.13____ Pua.Hideexec
Comodo________ 3917_________ 2010.02.13____ ApplicUnsaf.Win32.Hide.~AB
F-Secure________9.0.15370.0____2010.02.13____ Suspicious:W32/Riskware!Online
Jiangmin________13.0.900______ 2010.02.08____ Backdoor/RBot.oqm
McAfee+Artemis__ 5890_________ 2010.02.12____ Artemis!040A234E22F0
Panda__________10.0.2.2 ______ 2010.02.12____ Trj/Nabload.DPS
PCTools________ 7.0.3.5________2010.02.12____ Application.NirCmd
Sophos_________ 4.50.0________2010.02.13____ NirCmd
Symantec_______ 20091.2.0.41___2010.02.13____ Suspicious.Insight
Additional information
File size: 3857112 bytes
MD5 : 040a234e22f0c5349ae4a08124e1484d
SHA1 : 00454647022e615155f55e874d35d1db97d4d074
SHA256: a8be2e383e1e690a1edc7ff11189ca61d2ef8609df1a5d858f60cda31ea07e1f
File ComboFix.exe received on 2010.02.13 21:57:33 (UTC)
Current status: finished
Result: 10/41 (24.39%)
ClamAV_________0.96.0.0-git____ 2010.02.13____ Pua.Hideexec
Comodo________ 3924_________ 2010.02.13____ ApplicUnsaf.Win32.Hide.~AB
F-Secure________9.0.15370.0____2010.02.13____ Suspicious:W32/Riskware!Online
Fortinet_________ 4.0.14.0_______2010.02.13____ PossibleThreat
Jiangmin________13.0.900______ 2010.02.08____ Backdoor/RBot.oqm
McAfee+Artemis___5891_________ 2010.02.13____ Artemis!040A234E22F0
Panda__________10.0.2.2_______ 2010.02.13____ Trj/Nabload.DPS
PCTools________ 7.0.3.5________ 2010.02.13____ Application.NirCmd
Sophos_________ 4.50.0________ 2010.02.13____ NirCmd
Symantec_______ 20091.2.0.41___ 2010.02.13____ Suspicious.Insight
Opvallend is dat Fortinet erbij gekomen is (met een erg vage melding).Current status: finished
Result: 10/41 (24.39%)
ClamAV_________0.96.0.0-git____ 2010.02.13____ Pua.Hideexec
Comodo________ 3924_________ 2010.02.13____ ApplicUnsaf.Win32.Hide.~AB
F-Secure________9.0.15370.0____2010.02.13____ Suspicious:W32/Riskware!Online
Fortinet_________ 4.0.14.0_______2010.02.13____ PossibleThreat
Jiangmin________13.0.900______ 2010.02.08____ Backdoor/RBot.oqm
McAfee+Artemis___5891_________ 2010.02.13____ Artemis!040A234E22F0
Panda__________10.0.2.2_______ 2010.02.13____ Trj/Nabload.DPS
PCTools________ 7.0.3.5________ 2010.02.13____ Application.NirCmd
Sophos_________ 4.50.0________ 2010.02.13____ NirCmd
Symantec_______ 20091.2.0.41___ 2010.02.13____ Suspicious.Insight
Interessant: met 7-Zip ComboFix.exe uitgepakt en alle bestanden in de submap gescanned met McAfee: 156 files scanned, 0 infected! ComboFix bestaat dus uit een hoop losse bestandjes, waaronder meerdere executables en batchfiles.
De Artemis techniek van McAfee berust op het converteren van een (of enkele) hashes van het bestand in een DNS-lookup die er bijv. zo uitziet: 0.220ff001.11.14b5.1703.3e9b.10.0.tsz19kk1g7s49th5cndctrisv6.avqs.mcafee.com
Afhankelijk van het antwoord weet de scanner op de PC of het bestand in McAfee's online database voorkomt, maar waarom ComboFix malware zou zijn kan ik niet vinden. Overigens is 040A234E22F0 die de scanner achter "Artemis!" vermeldt, hetzelfde als de eerste 6 bytes van de md5sum van het bestand.
De reden dat nogal wat scanners aanslaan op NirCmd (een van de vele fraaie en handige gratis tooltjes van Nir Sofer, zie http://www.nirsoft.net/utils/nircmd.html) komt waarschijnlijk omdat je daarmee processen kunt verstoppen (ook zijn Nir's tools, net als sommige malware, met UPX gecomprimeerd).
De enige serieuze meldingen lijken "Backdoor/RBot.oqm" en "Trj/Nabload.DPS" te zijn.
Door te zoeken naar "Backdoor/RBot.oqm" vond ik ook een oudere virustotal melding van Combofix.exe (2010.01.22 10:24:03 (UTC); Result: 6/41 (14.63%); zie http://www.virustotal.com/analisis/38a14fd2d410ee81402b49e7a89ad9bbf482dac9ab1ba5313df9cf68e64f3f17-1264155843, verder geen echt nuttige (voor mij leesbare, dwz niet-Chineze) info.
http://www.pandasecurity.com/homeusers/security-info/216993/information/Nabload.DPS onder de Tech Details tab:
Nabload.DPS has the following additional characteristics:
* It is 1429504 bytes in size.
Geen van de 156 bestanden in ComboFix.exe komt daar in de buurt (het grootste bestand, 929.465 bytes lang, is een batchfile).* It is 1429504 bytes in size.
Ik hou het op false positives, maar zou ComboFix niet voor de grap draaien op een schoon systeem, en na het draaien zou ik de PC aan een goede virusscan met een ander pakket onderwerpen (bij voorkeur door van een CD met daarop AV software te booten).
Overigens wel heel stom, van http://www.bleepingcomputer.com/combofix/how-to-use-combofix
Once you double-click on the icon, you may see a screen similar to the one below.
[plaatje: Windows Open File Security Warning]
Windows is issuing this prompt because ComboFix does not have a digital signature. This is perfectly normal and safe and you can click on the Run button to continue. If you are using Windows Vista, and receive UAC prompt asking if you would like to continue running the program, you should press the Continue button.
Het is natuurlijk allesbehalve safe. Juist omdat er ComboFix.exe vanaf verschillende websites kan worden aangeboden zou de auteur er goed aan doen om z'n software van een digitale handtekening te voorzien, temeer daar je deze als admin moet draaien.[plaatje: Windows Open File Security Warning]
Windows is issuing this prompt because ComboFix does not have a digital signature. This is perfectly normal and safe and you can click on the Run button to continue. If you are using Windows Vista, and receive UAC prompt asking if you would like to continue running the program, you should press the Continue button.
14-02-2010, 01:31 door
Mazzaroth
Combofix is overigens niet aan te raden zonder malware expert erbij en het kan ook je hele systeem mollen :) maar dat weten jullie vast al...
14-02-2010, 08:40 door
[Account Verwijderd]
[Verwijderd]
14-02-2010, 20:36 door
Bitwiper
Onderussen heeft Symantec een blog online (dank daarvoor!) die mijn aanname bevestigt dat rootkit malware de BSOD's veroorzaakt, doordat deze API calls via "hard-coded relative virtual addresses (RVAs) into the kernel module" hooked: http://www.symantec.com/connect/blogs/tidserv-and-ms10-015
Drivers welke door de TDL3 variant van de Tidserv trojan (welke afstamt van, of is gerelateerd aan, de TDSS rootkit familie) zijn volgens Symantec: atapi.sys, iastor.sys, idechndr.sys, ndis.sys, nvata.sys and vmscsi.sys.
Mijn bron voor die link (met dank aan de auteur PROROOTECT): http://forum.sysinternals.com/forum_posts.asp?TID=21266&PID=116141#116141. Die posting bevat ook een link naar een youtube filmpje waarin te zien is dat een PC (VM), welke eerst met rootkit TLD3.241 wordt geïnfecteerd, crashed met een BSOD nadat MS10-015 is geïnstalleerd (Hitman Pro is er ook in te zien).
Die sysinternals thread bevat een heleboel verwijzingen naar virustotal resultaten. Duidelijk wordt daaruit dat we onvoldoende op AntiVirus kunnen vertrouwen op het moment dat zo'n rootkit-infector onze PC binnenkomt. Je bent kansloos zodra de meeste van de TDSS rootkit varianten jouw PC hebben overgenomen: bijna geen enkele AntiVirus is in staat om vast te stellen dat je PC is gecompromitteerd zolang de rootkit actief is.
Deze rootkit infectors worden (volgens posters in de sysinternals thread) onder meer verspreid via fake antivirus (maar ook cracks, serialgens, pr0n players, codecs), maar het zou mij niet verbazen als deze ook via gecompromitteerde webservers/bannerservers middels MSIE/Flash exploits worden verspreid, of via gemanipuleerde PDF's/office docs worden gespammed via e-mail.
Drivers welke door de TDL3 variant van de Tidserv trojan (welke afstamt van, of is gerelateerd aan, de TDSS rootkit familie) zijn volgens Symantec: atapi.sys, iastor.sys, idechndr.sys, ndis.sys, nvata.sys and vmscsi.sys.
Mijn bron voor die link (met dank aan de auteur PROROOTECT): http://forum.sysinternals.com/forum_posts.asp?TID=21266&PID=116141#116141. Die posting bevat ook een link naar een youtube filmpje waarin te zien is dat een PC (VM), welke eerst met rootkit TLD3.241 wordt geïnfecteerd, crashed met een BSOD nadat MS10-015 is geïnstalleerd (Hitman Pro is er ook in te zien).
Die sysinternals thread bevat een heleboel verwijzingen naar virustotal resultaten. Duidelijk wordt daaruit dat we onvoldoende op AntiVirus kunnen vertrouwen op het moment dat zo'n rootkit-infector onze PC binnenkomt. Je bent kansloos zodra de meeste van de TDSS rootkit varianten jouw PC hebben overgenomen: bijna geen enkele AntiVirus is in staat om vast te stellen dat je PC is gecompromitteerd zolang de rootkit actief is.
Deze rootkit infectors worden (volgens posters in de sysinternals thread) onder meer verspreid via fake antivirus (maar ook cracks, serialgens, pr0n players, codecs), maar het zou mij niet verbazen als deze ook via gecompromitteerde webservers/bannerservers middels MSIE/Flash exploits worden verspreid, of via gemanipuleerde PDF's/office docs worden gespammed via e-mail.
@Bitwiper: Ik vond het een voorrecht jouw posts hier te mogen lezen over dit probleem.
Ook je inzicht dat het beter was de patch niet in te trekken en het probleem dus te laten optreden is goed doordacht. Tenzij je geen XP cd meer hebt dan (of nooit gehad). Maar zoals ik je post van 20:36 begrijp is een herinstall de enige zekere methode om van zo'n rootkit af te komen.
Ik heb nog pc's draaien met Avast anti-virus. Hiermee kan je een bootscan doen (op het niveau van scandisk vermoed ik). Zou dit rootkits niet detecteren ook al zijn ze al actief?
Ook heb ik zelf ooit .exe compressors gebruikt, niet voor de compressie, maar om te verbergen hoe ik iets gehackt had. De bedoeling is dat de code binnenin niet zichtbaar is, ook niet voor virus scanners helaas.
Ook je inzicht dat het beter was de patch niet in te trekken en het probleem dus te laten optreden is goed doordacht. Tenzij je geen XP cd meer hebt dan (of nooit gehad). Maar zoals ik je post van 20:36 begrijp is een herinstall de enige zekere methode om van zo'n rootkit af te komen.
Ik heb nog pc's draaien met Avast anti-virus. Hiermee kan je een bootscan doen (op het niveau van scandisk vermoed ik). Zou dit rootkits niet detecteren ook al zijn ze al actief?
Ook heb ik zelf ooit .exe compressors gebruikt, niet voor de compressie, maar om te verbergen hoe ik iets gehackt had. De bedoeling is dat de code binnenin niet zichtbaar is, ook niet voor virus scanners helaas.
15-02-2010, 07:20 door
Ilja. _V V
Hitman Pro 3.5 is van http://www.surfright.nl/nl/downloads.
De scanner is freeware, de verwijderaar is in eerste instantie 30 dagen op proef.
Hitman Pro 3.5 is een zgn. "CloudScanner".
Mijn vorige installatie ervan heeft wel bekende zaken gevonden. Ga nu testen of het iets vind, maar na 17 jaar: Onwaarschijnlijk... ;-)
Hoop ik...
Done:.. Niets gevonden...
De scanner is freeware, de verwijderaar is in eerste instantie 30 dagen op proef.
Hitman Pro 3.5 is een zgn. "CloudScanner".
Mijn vorige installatie ervan heeft wel bekende zaken gevonden. Ga nu testen of het iets vind, maar na 17 jaar: Onwaarschijnlijk... ;-)
Hoop ik...
Done:.. Niets gevonden...
15-02-2010, 09:35 door
Bitwiper
Vanochtend kreeg ik via automatic updates KB977165 (MS10-015) aangeboden (in de dialoogbox http://go.microsoft.com/fwlink/?LinkID=179062). Zien anderen dit ook?
(@Anoniem van 21:05 hierboven, dank voor de positieve reactie :)
(@Anoniem van 21:05 hierboven, dank voor de positieve reactie :)
@Bitwiper 09:35: Ik had patch eerst overgeslagen, maar volgens mijn SMS berichten stond hij (KB977615) er (Windows XP SP3 32 bit Engels) zaterdag de 13e om 19:23 op!
Ik was vrij opgelucht dat ik niet opnieuw alles moest installeren dus heb vrij snel na het succes geSMSed.
Achteraf had ik liever meteen de patch erop gezet, maar toen wist ik al van de BSOD.
Ik was vrij opgelucht dat ik niet opnieuw alles moest installeren dus heb vrij snel na het succes geSMSed.
Achteraf had ik liever meteen de patch erop gezet, maar toen wist ik al van de BSOD.
15-02-2010, 17:24 door
spatieman
ergo.
BSOD = rootkit = pc hebt andere eigenaren.
BSOD = rootkit = pc hebt andere eigenaren.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
