Zitat:

Zitat von dennissteins

Sucht euch den grössten und kompetentesten Skeptiker inter euch aus, von mir aus auch zwei.

Ich bin weder ausgenommen gross noch uebermaessig kompetent aber (fast schon un)ziemlich neugierig, koennte ich trotzdem eine Kopie bekommen? Ich wuerde sogar ein gezipptes verschluesseltes Archiv per Mail annehmen.

Ansonsten wuerde ich bemaengeln, dass Du bisher noch nicht wirklich hilfreich warst, was aber auch einfach nur in dem Wust untergegangen sein kann. Ich wuerde trotzdem gerne mal einen Screenshot der Win-Nutzer sehen wollen.
Eventuell auch mit Gruppenzugehoerigkeit.

Hast Du den bereits mehrfach erwaehnten Bruteforce-Schutz unter Win eingerichtet? Ich persoenlich bevorzuge eine Sperrzeit von 3 Minuten und eine vernuenftige Anzahl an Versuchen. Das duerfte erfolgreiche Angriffe der simplen Art in den Bereich von vielen tausend Jahren befoerdern.
Selbst ein Woerterbuchangriff wuerde noch eine einstellige Anzahl Jahre brauchen bei einem sehr einfachen Passwort. Vorausgesetzt der Angreifer kennt die Anzahl der eingestellten Versuche. Sonst kann er nur 1 Passwort alle 3+ Minuten probieren ansonsten schnappt der Schutz zu.

Fuer Linux bin ich der falsche Ansprechpartner.

Und strip das System erstmal auf das Minimum, wenn Du unbedingt bei diesem System bleiben willst. Aber wie bereits mehrfach erwaehnt, ein Ausbau der Platte waere der erste vernuenftige Schritt.

Fuer Kaffee und Kuchen bin ich zu weit weg, sorry. Haette ich aber auch gerne in Anspruch genommen.

AV Tools sind nur wenig geeignet bei einer unbekannten Infektion, da duerfen es schon Logger und Debugger sein.

Wie reagiert das System auf VMs? Welcher Prozessor ist verbaut? Grafikkarte?
Wie funktioniert das System bei minimalstem Speicherausbau?

Fragen ueber Fragen...

Aber fangen wir nochmal mit der ersten an, welche Nutzer sind im Win registriert?

Wenn sich das Ding im Netz vermehrt, dann muss es ja einen Loader haben, welcher zumindestens kurzfristig irgendwo zur Ausfuehrung liegen muss.

Und da bin ich wieder skeptisch, das Teil kann im Urzustand gar nicht alle Faehigkeiten zur Verfuegung haben. Die derzeit heftigsten Teile sind in Module aufgesplittet, welche verschluesselt vorliegen und erst bei einem definierten Zustand das Passwort aus dem Zustand generieren. Die aktivieren sich stufenweise. Und werden auch nicht unbedingt alle zur selben Zeit vom "Urlader" gleich geladen und aktiviert.

Entspricht ein Rechner nicht haargenau der Zielgruppe, wird der Zustand nie erreicht und damit das Passwort nicht generiert. Der Zustand ist quasi das Passwort.

Quasi vorstellbar wie ein Handy mit eingespeicherter Nummer. Wenn man das Handy nicht in die Hand gedrueckt bekommt, weiss man nicht wen und unter welcher Nummer man anrufen soll. Man kann zwar alle Telefone der Welt durchprobieren aber dann ist vermutlich der Gespraechspartner schon lange lange nicht mehr zu erreichen. Und man weiss nicht einmal, wenn man tatsaechlich den mysterioesen Gespraechspartner am anderen Ende hat, ob er es denn ueberhaupt ist.

Soweit ich weiss, sind diese Dinger noch nicht vollstaendig entschluesselt worden also vorerst nur Datenklumpen.

Im Uebrigen ist bei Vielen der hochentwickelten Schaedlinge eine Heuristik dabei, ob es sich in einer Testumgebung befindet. Dann bleiben sie inaktiv. Desweiteren sind Zeitverzoegerungen zur Vermeidung von Entdeckung sehr populaer. Alles in Allem passt die Beschreibung von dem was passiert in keine der ueblichen Kategorien.

Aber die Italiener sind ja gehackt worden, da kann schon einiges freigesetzt worden sein.

Ein neuaufgesetztes System ohne groessere Abwehrmasznahmen sieht auf jeden Fall nach einer Testumgebung aus. Mach doch mal den Test ob es dann ruhig bleibt.

Hast Du ueberhaupt schon einengen koennen, wie genau es sich verbreitet (hat)?

Netz / Datentraeger / (Hardware)?

Ist Autostart fuer externe Datentraeger eingeschaltet?
Hier kommt jetzt die Diskussion iX vs Win zum Tragen, wenn es keinen Hypervisor benutzt, muss es Linux auf eine herkoemmliche Art infizieren (nur wie?). Wie lange dauert es, bis ein Linuxsystem gekapert erscheint? Die selbe Frage waere natuerlich auch beim Win-System relevant.

Handys wurden erwaehnt, sind die auch betroffen? Und wenn ja, in welcher Art und Weise?

Wenn es reingekommen ist, wieso kommt es nicht raus?

Etwas so hochentwickeltes und hochinfektioeses muesste doch schon laengst draussen unterwegs sein, unter anderem bei den beiden erwaehnten IT-Firmen, die sich das angeschaut haben.

Wenn es aber Hypervisor-basiert ist, wie konnte dann eine hoehere Systemauslastung ohne Strommessgeraet festgestellt werden? Und vor allem, ohne das Wissen, wie Auslastung/ Verbrauch vor der Infektion waren?!

Zitat:

Zitat von bombinho

Ich hatte gerade ein Dejavu als ich "Virus infiziert mehrere Systeme ..." las.
Jetzt sage mir doch nochmal jemand, dass sich Geschichte nicht wiederholt.

Das klingt ganz nach einer Weiterentwicklung des damaligen Schaedlings.

Zitat:

Wer wissen will, was Mythos und was Wahrheit ist ueber Nemesis, wird bei https://www.fireeye.com/blog/threat-...ot-record.html eine sehr gute Uebersicht finden. Allerdings in Englisch. Dafuer aber mit vielen nuetzlichen Informationen.

Und die Beschreibung von dennisssteins vermuteten Schaedling und die FireEye Beschreibung von Nemesis haben fast nichts gemeinsam.

@bombinho
Den Link hatte ich schon in einen meiner ersten Post zum Thread gepostet....Es ist aussichtslos.
Die meisten hier wollen auch gar nicht erst konzentriert lesen, sich auf etwas einlassen was sie nicht kennen, sich mit Bedrohungen auseinander setzten, die den eigenen Horizont/Verständnis sprengen oder darüber hinaus gehen.

Das bestätigt auch mein Angebot: niemand der Skeptiker, die als erstes hier rein geschrieen haben "höchstens im Labor" usw. ist bereit sich ersthaft damit auseinanderzusetzen. Wundert mich schon sehr, einerseits existiert die Malware bei uns laut deren Ansicht gar nicht, andererseits wird ein direkter Kontakt, der vieles klären könnte per se vermieden. Passt hinten und vorne nicht.

Und mit dem Argument Zeitverschwendung kann mir auch niemand kommen, die 5-10 Min. Lebenszeit...

Verstehen kann ich es trotzdem, wäre mich vor diesem Problem ähnlich gegangen.

@bombinho
bekommst später eine PM, bezüglich deiner Fragen. Acker mal den Thread durch, da beantwortet sich schon einiges.

Hier hätten 90% der völlig überflüssigen Diskussionen um die Fähigkeiten von Rootkits gesparrt werden können, wenn man hin und wieder News der AV-Gemeinde verfolgt:

Kleiner Ausschnitt:

https://blog.gdata.de/2014/02/23822-uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln

https://blog.gdata.de/2014/05/23812-uroburos-rootkit-belgisches-aussenministerium-befallen

hxxp://www.pcworld.com/article/2948092/security/hacking-teams-malware-uses-uefi-rootkit-to-survive-os-reinstalls.html

https://www.helpnetsecurity.com/2011/09/14/bios-rootkit-found-in-the-wild/

hxxp://resources.infosecinstitute.com/nsa-bios-backdoor-god-mode-malware-deitybounce/

DEB CON
https://www.youtube.com/watch?v=QDSlWa9xQuA


PAPERS
https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPaper_EN_v1.pdf

hxxp://www.intelsecurity.com/advanced-threat-research/content/AttackingHypervisorsViaFirmware_bhusa15_dc23.pdf

Mein Tipp (v.a. an die Nachwuchs-Virenjäger): mal nach "Rutkowska" googeln.

@Cosinus
Sehr gerne würde ich Fragen beantworten, wenn der Thread nicht permanent von überflüssigen Diskussionen vollgespamt werden würde.

Zitat:

Zitat von dennissteins

@Cosinus
Sehr gerne würde ich Fragen beantworten, wenn der Thread nicht permanent von überflüssigen Diskussionen vollgespamt werden würde.

Absoluter Dünnschiss wieder von dir. Die Fragen wurden schon ganz am Anfang gestellt und als es mir zu müßig wurde hab ich in den Diskussionsbereich verschoben. Erst dann konnten sich hier andere überhaupt beteiligen.