Hi Board,

Ich hatte heute einen \\?\globalroot\systemroot\system32\UAC... ( undsoweiter ) und habe den relativ schnell gekillt, allerdings das System gleich mit.
nachdem das Rootkit weg war, liefen die meisten services nicht mehr, habe dann die kiste neu aufgesetzt ( geht bei uns dank image recht fix ).

Jetzt wüsste ich gerne einiges über dieses Dings, unser Virenscanner ( Antivir professional ) hat den noch nicht mal erkannt, war zufall dass ich das kit gefunden habe.

umgebung: wir haben fast ausschliesslich linux- ( verschiedene distris ) und Unixserver ( Solaris 8 und HPUX 11), die xp-clients hängen an einem samba, roaming profiles auf SAN.

1. verteilt sich das ding selbsttätig?
2. wie?
3. was soll die \\?\ variable genau?, ich habe dummerweise die hostfile nicht angeschaut in der hektik. sollte das nicht %systemroot% heissen?
helft mir mal bitte mit windows etwas auf die sprünge wieso die \\?\ variable für ein rootkit funktioniert... ich finde nix, und im explorer oder auf der konsole komme ich mit diesem link gar nirgends hin.
4. kann sich der auch unter einem normalen domänenbenutzer installieren oder nur mit rootrechten?
5. wie siehts mit den roaming profiles auf dem samba aus? die clients setze ich zur not einfach neu auf, den samba eher nicht, und die profile sollten auch clean sein, die kann ich nicht einfach löschen. ich habe einen linux antivir-scanner auf dem samba, aber der findet auch nix.
6. wie stoppe ich diese speziellen rootkits? reicht es, den usern die lokalen adminrechte zu entziehen?

Hallo und

Alle Fragen werd ich zu Deiner vollsten Zufriedenheit vllt nicht beantworten können aber ich geb mir Mühe

Zitat:

1. verteilt sich das ding selbsttätig?

Höchstwahrscheinlich nicht, soweit ich weiß setzt dieses Rootkit sicherheitsrelevante Programme außer Gefecht. Ich würde mich aber nicht drauf verlassen...

Zitat:

2. wie?

Angenommen es hätte einen derartigen Funktionsmechanismus, müsste es direkt erreichbare verwundbare Dienste in LAN finden. Dann kann es zB wie damals der Sasser oder Blaster um 2003/2004 Rechner automatisch übers Netzwerk infizieren.

hast Du denn schon an einem anderen Rechner im LAN das gleiche Rootkit entdeckt?

Zitat:

3. was soll die \\?\ variable genau?, ich habe dummerweise die hostfile nicht angeschaut in der hektik. sollte das nicht %systemroot% heissen?
helft mir mal bitte mit windows etwas auf die sprünge wieso die \\?\ variable für ein rootkit funktioniert...

Das scheint was mit .NET zu tun zu haben

An für ist %systemroot% aber schon richtig.

Zitat:

4. kann sich der auch unter einem normalen domänenbenutzer installieren oder nur mit rootrechten?

Normale Domänen-Benutzer haben nur einfache Benutzerrechte (es sei denn man hat einem Nutzer auf einer Workstation explizit Adminrechte gegeben) und können demnach nichts an Systembereichen ändern.

Zitat:

5. ich habe einen linux antivir-scanner auf dem samba, aber der findet auch nix.

Dieses Rootkit ist ein spezielles Windows-Rootkit- Linux kann ohne weiteres keinen Windows-Binärcode ausführen.

Zitat:

6. wie stoppe ich diese speziellen rootkits? reicht es, den usern die lokalen adminrechte zu entziehen?

Unbedingt. Benutzer, die nur mit dem Computer arbeiten, sollten nicht einfach Adminrechte bekommen. Es sei denn es geht parttout nicht anders, wenn zB eine uralte schlampige Applikation noch im Einsatz ist (die nur mit Adminrechten läuft) und es keinen Ersatz gibt.

Hi,

zu den Namen, das ist die unc naming convention: link

lg myrtille

Ach der UNC-Pfad
Ist mir aber neu, den auch so zu benutzen, um auf seine lokale Maschine zu kommen

ok, aber dass der unc-pfad \\?\ für den localhost benutzt ist mir neu.

die meldung ""Get-ChildItem : Paths that begin with \\?\GlobalRoot are internal to the kernel and should not be opened by managed applications."" lässt eigentlich schon tief blicken, dass windows sich hier schon wieder eine extrawurst gebacken hat, andererseits erklärt es warum ich von einer oberfläche mit diesem pfad nix anfangen kann.

soweit ich das jetzt verstanden habe verteilt es sich nicht selbsttätig ( zumindest ist kein exploit bekannt über den es sich zugang und rootrechte auf einer entfernten maschine verschaffen kann ), es kann sich nur mit rootrechten installieren ( sofern es keinen exploit nutzt ) und eine entsprechende applikation mit der dieser virus installiert wurde, kann im internet-cache oder auf dem share offensichtlich von antivir ( sowohl windows- als auch linuxversion ) nicht erkannt werden, ergo ist es am wahrscheinlichsten dass ein user mit adminrechten sich den im netz eingefangen hat als der virenscanner noch kein entsprechendes update hatte und sich das rootkit, erst mal installiert, so gut tarnen kann dass der antivir es nicht findet...

danke, das hilft mir jetzt erstmal weiter das zu verstehen.

aber einfacher wirds auch nicht.
ich kann nicht allen usern die rootrechte entziehen, es sind entwickler mit notebooks die sich allen möglichen kram installieren und die auch teilweise über die halbe erdkugel weit entfernt sind und deswegen nicht wirklich oft ins büro kommen...
ich kann auch die .net umgebung deswegen nicht zudrehen, selbst falls das möglich sein sollte, die entwickeln damit.
sieht aus als müsste ich mir irgendwas anderes einfallen lassen, aber im moment bin ich etwas ratlos was ich mit den windowskisten anstellen soll.

vielleicht rudimentäres linux mit virtualbox ( also quasi ein kleines pendant zu einem esx-server, das die virtuellen chiperweiterungen nicht braucht ), die windowsumgebung in der box laufen lassen und ständig per snapshot sichern?
aber ob das dann so funzt... muss mal testen. wäre die einfachste möglichkeit für den ernstfall das kit zu entfernen ( einfach gesicherten snapshot einspielen und das kit ist weg ), braucht aber natürlich ressourcen und die frage ist ob dann die ganzen vpn-geschichten so funktionieren. ob z.B. cad-grafik dann noch hinhaut ist auch eine andere frage.
sieht auf jeden fall so aus als ob hier die üblichen standardmethoden nicht mehr greifen.