Online: 0x06D6 (1750)

鈩癸笍 Czym jest rootkit?
Laboratorium


fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 14 lat temu (24 sierpnia 2006 o godz. 20:01:49) przez fl3a
Pono膰 nie ka偶dy wie czym s膮 rootkity! I nic dziwnego, poniewa偶 media nie przywi膮zuj膮 wagi do kategoryzacji z艂o艣liwego oprogramowania. Pocz膮wszy od podzia艂u na wirusy, robaki i inne pierdo艂y po podzia艂 na oprogramowanie user mode, kt贸re zdaniem wi臋kszo艣ci specjalist贸w nie powinno nosi膰 miana rootkit贸w. Mowa naturalnie o wszelkich aplikacjach stosuj膮cych API hooking. Skoro nikt nie dba o prawid艂ow膮 kategoryzacje, to niedawno mogli艣my us艂ysze膰 o wirusach wykorzystuj膮cych techniki rootkit贸w, o trojanach posiadaj膮cych funkcje rootkit贸w i wielu innych rzeczach.

Natrafi艂em na kilka ciekawych news贸w. Dla mnie one s膮 艣mieszne i bezcelowe, poniewa偶 prawda jest zabarwiona medialna sensacja. Newsy o z艂o艣liwym oprogramowaniu to jedno, a fakt, 偶e nikt czego艣 takiego nie podsumuje fachowo to co innego. Czy zatem ludki maj膮 zna膰 prawd臋 i kpi膰 z wynalazk贸w odchyle艅c贸w informatycznych czy ba膰 si臋 ich si臋gaj膮c po super zestawy obronne?

Kilka news贸w:
http://www.di.com.pl/news/14591,Darmowe_narzedzie_do_walki_z_rootkitami.html
http://www.haxite.org/index.php3?site=newsy&nx1=newsy_view&id=2917
http://www.arcabit.pl/infobase.html?show=description&id=499 (Trojan.Satiloler.D)
http://www.wiruspc.pl/wykaz/details.php?virus=6923 (Rootkit.Win32.Agent.*)

Musz臋 bardziej poszuka膰 materia艂贸w, 偶eby nie by艂o, 偶e zmy艣lam! Na deser przedstawi臋 fragment Rootkit.Win32.Agent.*. Czy tak powinien wygl膮da膰 rootkit (jest to niby driver...)?
.text:0001177B loc_1177B:聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 ; CODE XREF: sub_1170E+58j
.text:0001177B聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽ebx
.text:0001177C聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 mov聽聽聽聽 ebx, [ebp+arg_0]
.text:0001177F聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽esi
.text:00011780聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽edi
.text:00011781聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 mov聽聽聽聽 ecx, eax
.text:00011783聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 mov聽聽聽聽 edx, ecx
.text:00011785聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 shr聽聽聽聽 ecx, 2
.text:00011788聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 lea聽聽聽聽 esi, [ebp+var_22C]
.text:0001178E聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 lea聽聽聽聽 edi, [ebx+8]
.text:00011791聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 rep movsd
.text:00011793聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽4
.text:00011795聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 mov聽聽聽聽 ecx, edx
.text:00011797聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 and聽聽聽聽 ecx, 3
.text:0001179A聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 rep movsb
.text:0001179C聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 mov聽聽聽聽 esi, ds:ZwQueryVolumeInformationFile
.text:000117A2聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 pop聽聽聽聽 edi
.text:000117A3聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 shr聽聽聽聽 eax, 1
.text:000117A5聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 and聽聽聽聽 word ptr [ebx+eax*2+8], 0
.text:000117AB聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽edi聽聽聽聽聽聽聽聽聽聽聽聽; VolumeInformationClass
.text:000117AC聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽8聽聽聽聽聽聽聽聽聽聽聽聽聽聽; VolumeInformationLength
.text:000117AE聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 lea聽聽聽聽 eax, [ebp+var_28]
.text:000117B1聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽eax聽聽聽聽聽聽聽聽聽聽聽聽; VolumeInformation
.text:000117B2聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 lea聽聽聽聽 eax, [ebp+IoStatusBlock]
.text:000117B5聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽eax聽聽聽聽聽聽聽聽聽聽聽聽; IoStatusBlock
.text:000117B6聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 push聽聽聽聽Handle聽聽聽聽聽聽聽聽 ; FileHandle
.text:000117BC聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 call聽聽聽聽esi; ZwQueryVolumeInformationFile
.text:000117BE聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 test聽聽聽聽eax, eax
.text:000117C0聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 jge聽聽聽聽 short loc_117CA
.text:00011518 aDosdevicesC:聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽; DATA XREF: sub_11538+19o
.text:00011518聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 unicode 0, DosDevices%c:,0
.text:00011084 aFVssvdCodebase db F:vssvdcodebase_projectsproducts_BranchesUWFX5(1.0.16.
.text:00011084聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 db 0)_Releasedf_kmd.pdb,0

Szukaj膮c informacji o robakach wykorzystuj膮cych rootkity - mydoom i inne znalaz艂em opis drivera podpi臋tego pod mydooma - m_hook.sys. Wykorzystuje on zwyk艂y SSDT hooking, co wida膰 w opisie z Gmera - http://www.gmer.net/rootkits.php?lang=pl. ZwQuerySystemInformation - hookuj膮c t膮 us艂ug臋 zapewnia sobie niewidoczno艣膰 procesu robaka. Hehe, to nawet m贸j marny PoC UM poka偶e taki proces. :P

haker.com.pl

astRX
15:16 08-01-2007
Zobacz profil
 Napisane 14 lat temu (24 sierpnia 2006 o godz. 22:44:59) przez astRX
Dla mniej obeznanych user贸w do eliminacji rootkit贸w polecam darmow膮 wersj臋 BlackLight.
http://www.f-secure.com/blacklight

Za艣 dla nieco bardziej obeznanych:
http://www.sysinternals.com/Utilities/RootkitRevealer.html
(tym wykryto rootkita sony)

haker.com.pl

fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 14 lat temu (25 sierpnia 2006 o godz. 17:51:02) przez fl3a
To ja dodam do kompletu:
http://www.xfocus.net/tools/200605/IceSword1.18en.rar
http://www.xfocus.net/tools/200606/darkspy105_en.rar
http://invisiblethings.org/tools/svv/svv-2.3-bin.zip
http://www.gmer.net/gmer110.zip

Naturalnie b臋d臋 zach臋ca艂 do u偶ywania krajowych produkt贸w (dwa ostatnie). ;)

Jak komu艣 trafi si臋 jaki艣 ciekawy okaz (niechciana infekcja), to ch臋tnie przeanalizuj臋 go publicznie. :)

haker.com.pl

asa
15:46 01-01-2007
Zobacz profil
 Napisane 13 lat temu (31 grudnia 2006 o godz. 18:38:12) przez asa
To ja mam problem z rootkitem chyba. Ot贸偶 mam takie co艣 w tray i co jakie艣 5, 10 minut si臋 pojawia info.

haker.com.pl

Pepi
23:40 31-12-2006
Zobacz profil
 Napisane 13 lat temu (31 grudnia 2006 o godz. 23:40:15) przez Pepi
buuu fl3a tymi anty rootkitami psujesz mi robot臋 :P

haker.com.pl

fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 13 lat temu (01 stycznia 2007 o godz. 13:15:34) przez fl3a
asa, przejrzyj te tematy, a zapewne znajdziesz rozwi膮zanie swojego problemu...
Fa艂szywe tapety Pulpitu i dymki w trayu
http://www.searchengines.pl/phpbb203/index.php?showtopic=31936
Rootkit Windows Security Center
http://www.searchengines.pl/phpbb203/index.php?showtopic=47691
Pozosta艂e...
http://www.searchengines.pl/phpbb203/index.php?showforum=99

Je艣li b臋dziesz mia艂 problem z usuni臋ciem szkodnika, to zr贸b logi programami:
gmer, RkU i HijackThis, a nast臋pnie wklej je tu lub podaj link do nich. W programach typu anty-rootkit najwa偶niejszy jest log proces贸w oraz code hook w przypadku RkU. Je艣li b臋dzie m贸g艂, to zamie艣膰 gdzie艣 szkodnika w celu p贸藕niejszej analizy.

Pepi: to czym Ty si臋 zajmujesz? Anti rootkit jest tylko narz臋dziem, kt贸re aby pokaza膰 prawd臋 samo musi si臋 broni膰 (sysinternals RkU vs IceSword). Je艣li zdo艂asz uruchomi膰 sw贸j kod przed uruchomieniem narz臋dzia jeste艣 panem i w艂adc膮. Krok wstecz i wspomniane narz臋dzia staj膮 si臋 bezu偶yteczne...

haker.com.pl

asa
15:46 01-01-2007
Zobacz profil
 Napisane 13 lat temu (01 stycznia 2007 o godz. 15:46:40) przez asa
Logfile of HijackThis v1.99.1
Scan saved at 12:19:33, on 2007-01-01
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAntiVir PersonalEdition Classicsched.exe
C:Program FilesAntiVir PersonalEdition Classicavguard.exe
C:WINDOWSExplorer.EXE
C:Program FilesAntiVir PersonalEdition Classicavgnt.exe
C:Program FilesAshampooAshampoo FireWallFireWall.exe
C:Program FilesUnlockerUnlockerAssistant.exe
C:Program FilesSlySoftCloneCDCloneCDTray.exe
C:Program FilesGadu-Gadugg.exe
C:Program FilesNeostrada TPNeostradaTP.exe
C:Program FilesNeostrada TPComComp.exe
C:Program FilesNeostrada TPWatch.exe
C:Program FileseMuleemule.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wuauclt.exe
D:MojePliki sciagnietehijackthis.com

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = [url]http://search.bearshare.com/sidebar.html?src=ssb[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = [url]http://search.bearshare.com/sidebar.html?src=ssb[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = [url]http://search.bearshare.com/sidebar.html?src=ssb[/url]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [url]http://www.neostrada.pl[/url]
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = [url]http://search.bearshare.com/sidebar.html?src=ssb[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = [url]http://red.clientapps.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com[/url]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Lacza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:PROGRA~1NEOSTR~1SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:PROGRA~1FlashGetjccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:PROGRA~1FlashGetfgiebar.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:Program FilesVideo ActiveX Objectiesplugin.dll (file missing)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O4 - HKLM..Run: [avgnt] C:Program FilesAntiVir PersonalEdition Classicavgnt.exe /min
O4 - HKLM..Run: [Ashampoo FireWall] C:Program FilesAshampooAshampoo FireWallFireWall.exe -TRAY
O4 - HKLM..Run: [UnlockerAssistant] C:Program FilesUnlockerUnlockerAssistant.exe -H
O4 - HKLM..Run: [CloneCDTray] C:Program FilesSlySoftCloneCDCloneCDTray.exe /s
O4 - HKCU..Run: [ccleaner] C:Program FilesCCleanerccleaner.exe /AUTO
O4 - HKCU..Run: [Gadu-Gadu] C:Program FilesGadu-Gadugg.exe /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Sciagnij przy pomocy FlashGeta - C:Program FilesFlashGetjc_link.htm
O8 - Extra context menu item: Sciagnij wszystko przy pomocy FlashGeta - C:Program FilesFlashGetjc_all.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra Tools menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1FlashGetflashget.exe
O9 - Extra Tools menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1FlashGetflashget.exe
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O17 - HKLMSystemCCSServicesTcpip..{6A474E25-49D4-459E-8E0F-CE0C35294A51}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLMSystemCS1ServicesTcpip..{6A474E25-49D4-459E-8E0F-CE0C35294A51}: NameServer = 194.204.152.34 217.98.63.164
O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - C:WINDOWSsystem32cthkpcv.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:Program FilesAntiVir PersonalEdition Classicavguard.exe

haker.com.pl

fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 13 lat temu (01 stycznia 2007 o godz. 16:04:45) przez fl3a
Nic podejrzanego...

haker.com.pl

TripleX
13:53 07-01-2007
Zobacz profil
 Napisane 13 lat temu (07 stycznia 2007 o godz. 13:53:06) przez TripleX
smss.exe
http://wirusy.antivirenkit.pl/pl/opis/Net-Worm.Win32.Afire.c.html

haker.com.pl

fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 13 lat temu (07 stycznia 2007 o godz. 20:59:44) przez fl3a
C:\WINDOWS\System32\smss.exe - Windows NT Session Manager

Jesli znajdziemy pliki o nazwie z tej listy:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
w katalogu innym ni偶 System32, to w贸wczas mamy do czynienia ze szkodnikiem!

W Windows 2000 zamiast katalogu WINDOWS mamy katalog o nazwie WINNT reszta jest bez zmian!

Tu mo偶na znale藕膰 inne programy typu AntiRootkit:
http://www.antirootkit.com/software/index.htm.
Jednak program programowi nier贸wny! Mo偶liwe, 偶e wkr贸tce powstanie zestawienie por贸wnuj膮ce Anti-Rootkity w starciu ze znanymi rootkitami...

WINDOWS ROOTKITS FREE COUNTERMEASURES Part 1: Introduction to Rootkits
http://kareldjag.over-blog.com/5-archive-12-2005.html

haker.com.pl

© 2020 by haker.com.pl. Wszelkie prawa zastrze偶one.

Wszystkie tre艣ci umieszczone na tej witrynie s膮 chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawarto艣ci tej witryny bez zgody autora. Wszelkie opublikowane tutaj tre艣ci (w tym kody 藕r贸d艂owe i inne) s艂u偶膮 wy艂膮cznie celom informacyjnym oraz edukacyjnym. W艂a艣ciciele tej witryny nie ponosz膮 odpowiedzialno艣ci za ewentualne niezgodne z prawem wykorzystanie zasob贸w dost臋pnych w witrynie. U偶ytkownik tej witryny o艣wiadcza, 偶e z zamieszczonych tutaj danych korzysta na w艂asn膮 odpowiedzialno艣膰. Wszelkie znaki towarowe i nazwy zastrze偶one zosta艂y u偶yte jedynie w celach informacyjnych i nale偶膮 wy艂膮cznie do ich prawnych w艂a艣cicieli. Korzystaj膮c z zasob贸w witryny haker.com.pl o艣wiadczasz, 偶e akceptujesz powy偶sze warunki oraz polityk臋 prywatno艣ci.