Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Mini-Rootkit: Unsichtbarer Kerneltreiber

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

 
Alt 04.08.2014, 12:46   #1
Microwave
 
Mini-Rootkit: Unsichtbarer Kerneltreiber - Standard

Mini-Rootkit: Unsichtbarer Kerneltreiber



Hi Antitrojaner,

Ich habe es endlich mal wieder geschafft, ein neues Spielzeug unter x64 zusammen zu basteln, nämlich einen unsichtbaren Treiber.
Nach Laden des Treibers entlädt sich dieser wieder, (nicht ohne die Liste mit den "unloaded drivers" vorgängig zu manipulieren), der Code werkelt jedoch munter weiter im Hintergrund, bis der PC heruntergefahren ist.

Auch ziemlich ausgeklügelte Anti-Rootkits können nicht aufdecken, dass etwas läuft, was genau das ist und vorallem, wer dafür verantwortlich ist.
Da ich mit Datei- und Speicheroperationen, insbesondere NtCreateSection usw. noch nicht fit genug bin, wird die Treiberdatei derzeit noch nicht versteckt - das kommt dann in der Version 2.0. Wird diese gelöscht, ist das Rootkit verschwunden.
Eine Steigerung wäre einzig noch die Verwendung von feinstem Direct-IO...vielleicht in V3.0 dann.

Da das Kernelmodul auch im abgesicherten Modus gestartet wird, bleiben zur Enthüllung - (Starteinträge) nur eine Offline-Analyse oder ein exakt passendes Vorgehen, was das Prozesse-Abschiessen betrifft.
Dass der Treiber "geladen" ist, lässt sich relativ leicht im Debug-Output (DebugView) erkennen.
Falls auch nach dem ersten Neustart nichts erkennbar ist, muss das Häklein bei "Enable Verbose Kernel Output" gesetzt werden.

Nur soviel vorneweg:
- Wir sind hier auf AMD64 - Hooks dürft ihr also vergeblich suchen.
- Ausserdem wollte ich auch keine (gefakten) Geräteobjekte erstellen, daher werdet ihr Callbacks ebenfalls erfolglos suchen.
- Die LoadImageNotifyRoutine ist zu bekannt, danach sucht ja eh jeder.
Und doch scheint der Starteintrag perfekt? versteckt zu sein...


Installation:
1.) Kernelmodul "PayLoad.sys" nach C: kopieren
2.) Im cmd-Fenster "bcdedit /set {current} testsigning YES" eingeben
3.) In der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services einen neuen Schlüssel "drvtriks" mit folgenden Werten erstellen:
ImagePath - REG_EXPAND_SZ - \??\C:\PayLoad.sys
Type - DWORD - 0x00000001
Start - DWORD - 0x00000001
Alternativ die beigelegte Registrierungsdatei (im Archiv) importieren.
NICHT via Service-Manager "sc.exe" installieren, das wird nicht funktionieren.

4.) PC neustarten, ODER im cmd "fltmc load drvtriks" eingeben.
5.) PC immer wieder herunterfahren und neustarten und den Debug-Output kontrollieren...


Getestet wurde auf Windows7 SP1 x64 und Windows 8.1 x64. Prinzipbedingt sollten auch Windows 7 SP0 und Windows 8 kein Problem darstellen.
Viel Spass!

Für 100%ige Entfernung die PayLoad.sys-Datei löschen, oder den PC plötzlich abstürzen lassen (Z.B. im Taskmanager den kritischen Prozess "smss.exe" beenden).


Grüsse - Microwave

P.S. RAR-Passwort: ring0-kit

 

Themen zu Mini-Rootkit: Unsichtbarer Kerneltreiber
abstürze, abstürzen, amd, anti, beenden, code, folge, gelöscht, herunterfahren, hintergrund, laden, lädt, löschen, neustart, neustarten, plötzlich, problem, registry, services, smss.exe, suche, system, taskmanager, windows, windows 7




Ähnliche Themen: Mini-Rootkit: Unsichtbarer Kerneltreiber


  1. Galaxy S4 mini tot! Auf einmal kein Lebenszeichen mehr. Was nun?
    Smartphone, Tablet & Handy Security - 17.10.2015 (2)
  2. W-Lan Probleme mit Android 4.4.2 @ Samsung Galaxy S4 Mini
    Smartphone, Tablet & Handy Security - 18.08.2015 (5)
  3. Tausende Apps scheffeln mit unsichtbarer Werbung Geld
    Nachrichten - 28.07.2015 (0)
  4. Samsung S3 mini als Wechseldatenträger?
    Smartphone, Tablet & Handy Security - 27.12.2014 (5)
  5. Samsung Galaxy S ||| Mini Internetprobleme
    Smartphone, Tablet & Handy Security - 14.02.2014 (0)
  6. Mini-Patchday bei Microsoft
    Nachrichten - 07.09.2012 (0)
  7. Unsichtbarer Modus
    Lob, Kritik und Wünsche - 02.02.2009 (2)
  8. klif mini filter fre_wnet_x86/rootkit problem
    Plagegeister aller Art und deren Bekämpfung - 31.01.2009 (0)
  9. unsichtbarer virus
    Plagegeister aller Art und deren Bekämpfung - 24.12.2008 (1)
  10. mini sd karte wird nicht erkannt
    Mülltonne - 03.11.2008 (0)
  11. ausgebl.-mini.-Tasmgr im Autostart
    Alles rund um Windows - 18.02.2008 (2)
  12. Unsichtbarer Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2007 (10)
  13. Mini (USB) Distributionen
    Alles rund um Mac OSX & Linux - 18.02.2006 (2)
  14. unsichtbarer Plagegeist
    Log-Analyse und Auswertung - 24.10.2004 (42)

Zum Thema Mini-Rootkit: Unsichtbarer Kerneltreiber - Hi Antitrojaner, Ich habe es endlich mal wieder geschafft, ein neues Spielzeug unter x64 zusammen zu basteln, nämlich einen unsichtbaren Treiber. Nach Laden des Treibers entlädt sich dieser wieder, (nicht - Mini-Rootkit: Unsichtbarer Kerneltreiber...
Archiv
Du betrachtest: Mini-Rootkit: Unsichtbarer Kerneltreiber auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.