Hi,

an Schrauber und die anderen "Geeks der Malware Front" und Kronos .

https://www.mrg-effitas.com/wp-content/uploads/2015/07/In-the-wild-Rootkit-Remediation-Comparative-Analysis-2015-Q3.pdf

Hier wurden 5 Rk Scanner gestestet bei 8 Samples, darunter gut bekannte wie den TDSS.

Der Test wurde gesponsort von Zemana. Das vorab...
Von den 32 max. Punkten erreichte der Testsieger ZAM ganze 24. Gefolgt von HitmanPro mit 17.

Ich habe nun mal 2 Fragen:
MBAM scannt ja auch im normalen Modus nach Rootkits. Ist dieser Scan genauso effektiv/gut wie der explizite durch MBAR?

Was ist denn ein VBR infector bootkit? Habt Ihr sowas hier schon mal bereinigen müssen?

Die Beantwortung der 1.Frage hilft dann nämlich auch, den ganzen Test als sinnvoll zu bezeichnen oder eben nur als eingeschränkt...

Übrigens: EEK´s Abschneiden war eine Katastrophe auf ganzer Linie. Dass file-less Infektionen nicht erkannt werden, war bekannt, aber dass nur 2 Infektionen erkannt werden (und nicht im Ansatz bereinigt), ist schon wirklich enttäuschend!

Edit: Okay, der VBR schliesst sich an den MBR an, und lädt den bootmanager für Windows.
Reicht in diesem Falle nicht ein einfaches Formatieren aus, oder muss zuvor dann auch der MBR überschrieben werden?

Zitat:

Zitat von Avenger77

Was ist denn ein VBR infector bootkit? Habt Ihr sowas hier schon mal bereinigen müssen?

Hier sind knallharte Fakten => https://de.wikipedia.org/wiki/Volume_Boot_Record

Ja, okay.

Ich bin gerade hier dran:
http://www.welivesecurity.com/2011/08/23/hasta-la-vista-bootkit-exploiting-the-vbr/

Hast Du sowas schon mal bereinigt Cosinus?

Ja, ist aber schon lange her. Der Artikel ist ja auch von 2011, vor 3-4 Jahren hatten wir hier viel mehr mit Root- und Bootkits zu tun. Lt. schrauber sind die alle nur noch auf schnelle Kohle aus und verteilen halt (leider noch legale) PUPs...

is ja sehr merkwürdig....

knapp 8 Jahre, geschätzte 60 oder 70 tausend breinigte Rechner und ca 300.000 Posts, Zugang bei 40 Foren, davon 25 im internen Bereich, Zugang zu Foren dessen Namen ich nicht mal öffentlich posten darf, und ich hab noch nie in meinem Leben vom Zemana Rootkitscanner gehört......

Noch nie davon gehört, die sponsorn den Test, und gewinnen? Mysteriös......

Formatieren brauchste da gar nix. Schreib den Käse neu, zieh nen Dump offline und bearbeite es im Hex Editor, wieder einspielen, Ruhe im Karton

Schrauber, dass Du Das schaffst, da habe ich 0,00 Zweifel daran!

Sitze aber ich Dösbattel davor, ziehe ich mir dann über Linux eine Kopie der besagten infizierten Datei, schicke sie Dir, Du machst den Debugger auf, bereinigst den schadhaften Code, schickst sie mir zurück. Anschliessend wird dann die infizierte Datei gelöscht und durch Deine bereinigte Fassung ersetzt, anschliessend noch Begleiterscheinungen wie Reg bereinigt und gut ist, so in etwa?

Die Frage wegen MBAM war deswegen: Wenn bei Befürchtung eines Rk Befalls der MBAM so "gut" ist wie der MBAR, dann wäre es völlig sinnfrei zuerst den einen einzusetzen und danach den zweiten. Da Ihr das hier auch so in der Reihenfolge nicht macht, kann man sich ja den Rest über die Aussagekraft des Tests ja denken sinngemäß: Ich suche mir mein Testfeld so aus, dass der eine Scanner nur eine ganz bestimmte Familie erfasst und der andere (MBAM) gar nicht darauf ausgelegt ist, speziell für Rk zu scannen.

ZAM soll gegen alle Malware helfen, und ist recht neu. Der Dev von HMP hat schon öffentlich die "gewisse Ähnlichkeit" ("hust") zu seinem Tool moniert...

Ich kenne die Internals von MBAR nicht (muss mal wieder im Forum reinschauen.....) aber ich glaube das ist nochmals spezieller, auch wenn MBAM selbst auch nen Rootkitscan hat.

Ich habe da so meine Bedenken, alleine zeitlich schon: Der MBAR rödelt bei mir incl. der heurist. Suche schon 30 Minuten, der MBAM braucht für den Scan nach allem anderen zusammen nur unwesentlich länger.

Und dass EEK so "abgeloost" hat, ist jetzt binnen kurzer Zeit bereits das 2.Mal, dass ein Emsis. Produkt nicht so gut abgeschnitten hat, kann langsam auch kein Zufall mehr sein .

ich hab mir den test jetzt mal genauer angeschaut. neben den bereits erwähnten intressanten dingen wie "testsieger ist sponsor" und so, fallen mir da ein paar sachen auf:

real-world-test? mit samples aus 2010? und verlinkten malware-beschreibungen aus 2010? interesting.....

allgemein ist die auswahl der zu vergleichenden tools auch cool:
Zemana (kennt irgendwie keiner)
MBAM (antimalware, und nebenbei bissl rootkit)
EEK (der wissentlich keine Rootkits entfernt, das weiß jeder dass wir das niemals automatisiert machen, dann kommt ne Meldung bitte kostenlos beim Support melden)
und TDSSKiller, der nur speziell nach gewissen Arten sucht

und:
Alles Freeware Produkte, ausser Zemana, die gibt nicht Freeware.

alles in Allem macht der komplette Test irgendwie keinen Sinn. Jetzt mal aus objektiver, fachlicher Sicht.

Dass EEK das nicht erkennt, finde ich auch nicht soooo schlimm, schlimmer ist das komplette Testfeld-wie Du sagst. EAM schützt vor dem Poweliks ja laut offiz. Forum dadurch, dass es zwar net den Speicherbefall erkennt, dafür aber die Registry Änderung, und allerspätestens die folgende Veränderung bei dllhost.exe.
Elise hat die Tage einen Link (Beta Version) zu einem speziellen AR Tool bei Emsisoft einem User gepostet.
Hey, wenn ich doch so einen Test mache, dann frage ich doch beim Hersteller nach: "Was habt Ihr denn für spezielle Tools dafür?".
Kaspersky erkennt nur eine Familie, MBAM ist nicht speziell genug. --> fallen schon mal 3 raus. Wo wir dabei sind, was ist mit dem üblichen Verdächtigen GMER (vielleicht zu gut?)?
War da vielleicht Kronos bei der Auswahl am Werk?

ZAM ist derzeit schon Freeware (zumindest für die Analyse), kannst Du testen, die MD5´s der Samples des Tests sind übrigens auch zugänglich. ZAM benutzt mehrere Cloud-Scanner wie HMP früher (letzterer nur noch 2, Bitdef. und Kasp.)

hab ZAM gerade installiert und getestet

Zitat:

Zitat von schrauber

hab ZAM gerade installiert und getestet

Super, berichte mal.

Hier die Samples für Dich:

Carberp.exe 11bba9b2333559b727caf22896092217
Gapz.exe 33d154d84e830aa18973b04e64879466
Phasebot.exe 12dccdec47928e5298055996415a94f2
Poweliks.exe cfa0c5abe024043c014d71eb0fcb5584
Rovnix.exe 56db6a59aebbb977b67c7470b493379c
TDL4.exe 4a052246c5551e83d2d55f80e72f03eb
Wmighost.exe 0df40b226a4913a57668b83b7c7b443c
ZeroAccess.exe 1010e9ee806c26f367ba5ce068214502

von meinem samples wurden 2 von 12 erkannt. und alle daten gehen direkt in die cloud, komplett.....

Na dann

Was meinst Du mit "alle"? "Alle" = 100% ?
.doc .pdf .jpg ?