Spezielle Virus-Def/Details finden + Rootkit

lego · 8. Mai 2007 um 21:13

Hallo!

Ich habe auf einem sich seltsam verhaltenden Rechner einer Kollegin (Windows XP Prof. SP2) nach einem Scan mit der Knoppix-CT-Version aus der CT 21/2006 einen Virus gefunden.

Scan mit höchster Priorität und mit Sophos, F-Secure und Bitdefender.

F-Secure fand folgenden Virus in einem Mail-Attachment, Word-Datei (genaue Meldung ganz unten dazu):

Trojan-Dropper.MSWord.1Table.ea

Unter genau dieser Bezeichnung fand ich im Netz keinerlei Details außer einem relativ neuen Eintrag in einem chinesischem Forum, was heißt neu, genau von heute! Der Virus selbst kam als Mailanhang bereits im März 2005 auf den Rechner nach dem Alter der Datei als auch nach dem Briefkopf bzw. dem Datum des Word-Dokuments selbst.

Ich habe eine aktuelle Test-Version von F-Secure Antivirus herunter geladen und mit dieser einen USB-Stick samt der Word-Datei auf einem Windows-Testrechner überprüft mit dem selben Ergebnis der Virenbezeichnung, aber F-Secure rückt keinerlei Details heraus speziell zu diesem Namen dazu.Warum nicht?

Lässt man die Endung weg (.ea), erhält man etliche Suchergebnisse, die zu Thread-Details führen aus dem Frühjahr/Sommer 2005, sei es von iDefense oder dem UK National Infrastructure Security Coordination Centre …

Ob der Virus nun auch ausgeführt wurde über eine Word-Lücke und Code für Backdoors oder Rootkits aus dem Netz nachgeladen hat, diese noch laufen, ich danach noch suchen werde und so weiter sei egal, die Kollegin wird den Rechner komplett neu aufsetzen oder aufsetzen lassen …

Meine Fragen:

1:
Kennt jemand noch „Zaubertricks“ um nach genau dieser Virusbezeichnung und Details zu dem Virus selbst zu suchen außer meinen bereits beschriebenen/angedeuteten Wegen mittels Suchmaschinen und „Malware description Database“ bei div. Antivirus-Software-Firmen?

2:
Welche gute und schlechte Erfahrungen habt Ihr gemacht mit welcher Anti-Rootkit-Software?

Beste Grüße und Dank vorab für alle Diskussionen, Peter

#################
F-Secure Anti-Virus for Linux Servers version 4.65 build 5428
Copyright © 1999-2004 F-Secure Corporation. All Rights Reserved.

Scan started at Di 08 Mai 2007 13:12:49 CEST
Database version: 2007-05-08_05

/mnt/scan/Program Files/Qualcomm/attach/Tsinghua_letter.doc: Infected: Trojan-Dropper.MSWord.1Table.ea [AVP]
/mnt/scan/Program Files/Qualcomm/Eudora/attach/Tsinghua_letter.doc: Infected: Trojan-Dropper.MSWord.1Table.ea [AVP]

Anonym_028940377b35 · 8. Mai 2007 um 23:36

Hallo Peter

Trojan-Dropper.MSWord.1Table.ea

Meine Fragen:

1:
Kennt jemand noch „Zaubertricks“ um nach genau dieser
Virusbezeichnung und Details zu dem Virus selbst zu suchen
außer meinen bereits beschriebenen/angedeuteten Wegen mittels
Suchmaschinen und „Malware description Database“ bei div.
Antivirus-Software-Firmen?

Man kann es allenfalls versuchen, nur Teile des Namens zu suchen. Dummerweise vergeben die diversen Antivirenprogramm-Hersteller auch verschiedene Namen. Allenfalls hilft es, mal nur nach ‚Trojan-Dropper.MSWord‘ zu suchen.

2:
Welche gute und schlechte Erfahrungen habt Ihr gemacht mit
welcher Anti-Rootkit-Software?

Naja, ich keine. Wenn es denn ein Rootkit ist und wenn das ‚Trojan-Dropper‘ zutrifft, wirst Du mit sowas auch nicht wirklich glücklich, denn vielleicht kannst Du ja diesen Rootkit entfernen. Aber Du weisst nicht, ob er in der Zeit, in der er allenfalls aktiv war, bereits etwas nachgeladen hat und wenn ja, was das genau war…

Falls die Datei aber nur empfangen wurde und nur im Postfach liegt, die betreffende Datei aber nie gestartet wurde, ist die Malware wohl nicht ausgeführt worden.

CU
Peter

Schorsch_de7743 · 9. Mai 2007 um 03:34

Kennt jemand noch „Zaubertricks“ um nach genau dieser
Virusbezeichnung und Details zu dem Virus selbst zu suchen
außer meinen bereits beschriebenen/angedeuteten Wegen mittels
Suchmaschinen und „Malware description Database“ bei div.
Antivirus-Software-Firmen?

Z. B. einen Upload der Datei bei Virustotal.com. Möglicherweise wirst du unter einem der Namen, die andere Scanner für diesen Schädling verwenden, eher fündig.

Gruss
Schorsch

Richard_Spreng_0e4467 · 9. Mai 2007 um 10:53

Welche gute und schlechte Erfahrungen habt Ihr gemacht mit
welcher Anti-Rootkit-Software?

Wenn überhaupt sollte man nur die für den Rootkit spezifisch programmierten Removal-Tools verwenden. SmitFraudFix kann generisch gegen einige harmlose Malware, die nur fehlerhafte Meldungen ausspuckt oder Browser-Hijacking betreibt (z.B. VirusBurst), eingesetzt werden. Gegen SmitFraud selbst ist er nicht empfehlenswert.
Wie bei jeder Malware ist auch und besonders beim Rootkit die Entfernung nur dann eine Option, wenn man sicher prüfen kann, was auf dem System vor sich geht.

Die Benutzung unspezifischer Anti-Rootkit-Software scheitert an der Unterscheidung zwischen gewollten und ungewollten Rootkits. Dateisystem- und Registry-Rootkits sind fester Bestandteil vieler DRM- oder Lizenzmanagement-Produkte. Für den Anwender ist es nicht möglich diese von evtl. vorhandener Malware zu unterscheiden.

lego · 9. Mai 2007 um 13:28

Hallo Peter,

Man kann es allenfalls versuchen, nur Teile des Namens zu
suchen. Dummerweise vergeben die diversen
Antivirenprogramm-Hersteller auch verschiedene Namen.

ja, leider …

Allenfalls hilft es, mal nur nach ‚Trojan-Dropper.MSWord‘ zu
suchen.

Welche gute und schlechte Erfahrungen habt Ihr gemacht mit
welcher Anti-Rootkit-Software?

Naja, ich keine. Wenn es denn ein Rootkit ist und wenn das
‚Trojan-Dropper‘ zutrifft, wirst Du mit sowas auch nicht
wirklich glücklich, denn vielleicht kannst Du ja diesen
Rootkit entfernen. Aber Du weisst nicht, ob er in der Zeit, in
der er allenfalls aktiv war, bereits etwas nachgeladen hat und
wenn ja, was das genau war…

ja, wenn dann lud der Trojaner etwas nach über eine Word-Lücke, soviel ist sicher, der Trojaner ist nach meinem bestem Wissen von mir entfernt worden, aber selbst wenn es nur ein Trojaner wäre, vom dem ich das genutzte Loch kennen würde und wüsste, dass dies auf dem Rechner nie existiert hätte (Konjunktiv!) auf einer Maschine, die nicht mir gehört und auf der der Trojaner seit 2 Jahren liegt … würde ich komplette Neuinstallation empfehlen und davon völlig abgesehen, Rootkits sicher zu entfernen im Sinne von Sicherheit gibt es nicht …

Falls die Datei aber nur empfangen wurde und nur im Postfach
liegt, die betreffende Datei aber nie gestartet wurde, ist die
Malware wohl nicht ausgeführt worden.

Genau das kann man leider nicht behaupten

beste gruesse und danke, peter

lego · 9. Mai 2007 um 14:01

Hallo Richard,

Wenn überhaupt sollte man nur die für den Rootkit spezifisch
programmierten Removal-Tools verwenden. SmitFraudFix kann
generisch gegen einige harmlose Malware, die nur fehlerhafte
Meldungen ausspuckt oder Browser-Hijacking betreibt (z.B.
VirusBurst), eingesetzt werden. Gegen SmitFraud selbst ist er
nicht empfehlenswert.

Smitfraudfix kannte ich noch nicht, danke!

Wie bei jeder Malware ist auch und besonders beim Rootkit die
Entfernung nur dann eine Option, wenn man sicher prüfen kann,
was auf dem System vor sich geht.

ja, deswegen meine Empfehlung an die Kollegin ausschliesslich schnellstmöglich komplette Neuinstallation durchzuführen

Die Benutzung unspezifischer Anti-Rootkit-Software scheitert
an der Unterscheidung zwischen gewollten und ungewollten
Rootkits. Dateisystem- und Registry-Rootkits sind fester
Bestandteil vieler DRM- oder Lizenzmanagement-Produkte.

…"

ja

"…

Für
den Anwender ist es nicht möglich diese von evtl. vorhandener
Malware zu unterscheiden.

ja,

thx, beste gruesse, peter

lego · 9. Mai 2007 um 14:02

Hallo Schorsch!

Z. B. einen Upload der Datei bei Virustotal.com.
Möglicherweise wirst du unter einem der Namen, die andere
Scanner für diesen Schädling verwenden, eher fündig.

vor_den_kopf_schlag!

Danke, die Angebote div. Webseiten sind mir völlig entfallen gewesen:

Als Ergebniss spuckte diese Seite nur zwei von vielen Scannern aus, die die Datei als infiziert mit Trojan-Dropper.MSWord.1Table.ea befanden, nämlich Kaspersky und wieder F-Secure, wo F-Secure sowohl auf der Knoppicillin als F-Secure Anti-Virus for Linux Servers auch in der Trial-Windows-Version bei meinen Tests wohl auch mit einer Kaspersky-Liste sucht.

beste gruesse, peter

AhnLab-V3 2007.5.9.0 05.09.2007 no virus found
AntiVir 7.4.0.15 05.09.2007 no virus found
Authentium 4.93.8 05.08.2007 no virus found
Avast 4.7.997.0 05.09.2007 no virus found
AVG 7.5.0.467 05.08.2007 no virus found
BitDefender 7.2 05.09.2007 no virus found
CAT-QuickHeal 9.00 05.08.2007 no virus found
ClamAV devel-20070416 05.09.2007 no virus found
DrWeb 4.33 05.09.2007 no virus found
eSafe 7.0.15.0 05.08.2007 no virus found
eTrust-Vet 30.7.3621 05.09.2007 no virus found
Ewido 4.0 05.09.2007 no virus found
FileAdvisor 1 05.09.2007 no virus found
Fortinet 2.85.0.0 05.09.2007 no virus found
F-Prot 4.3.2.48 05.08.2007 no virus found
F-Secure 6.70.13030.0 05.09.2007 Trojan-Dropper.MSWord.1Table.ea
Ikarus T3.1.1.7 05.09.2007 Trojan-Dropper.MSWord.1Table.ea
Kaspersky 4.0.2.24 05.09.2007 Trojan-Dropper.MSWord.1Table.ea
McAfee 5026 05.08.2007 no virus found
Microsoft 1.2503 05.09.2007 no virus found
NOD32v2 2251 05.09.2007 no virus found
Norman 5.80.02 05.09.2007 no virus found
Panda 9.0.0.4 05.09.2007 no virus found
Prevx1 V2 05.09.2007 no virus found
Sophos 4.17.0 05.08.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.09.2007 no virus found
TheHacker 6.1.6.110 05.08.2007 no virus found
VBA32 3.12.0 05.08.2007 no virus found
VirusBuster 4.3.7:9 05.08.2007 no virus found
Webwasher-Gateway 6.0.1 05.09.2007 no virus found

File size: 33280 bytes
MD5: a758a64da79f89cef79802c4780bd364
SHA1: 918c8f8a268f41ade4dbcf1f755d78d9f13da358

Hinterw_ldler_37172f · 9. Mai 2007 um 14:15

Hallo!

Ich habe auf einem sich seltsam verhaltenden Rechner einer
Kollegin (Windows XP Prof. SP2) nach einem Scan mit der
Knoppix-CT-Version aus der CT 21/2006 einen Virus gefunden.

Scan mit höchster Priorität und mit Sophos, F-Secure und
Bitdefender.

F-Secure fand folgenden Virus in einem Mail-Attachment,
Word-Datei (genaue Meldung ganz unten dazu):

Trojan-Dropper.MSWord.1Table.ea
[…]
/mnt/scan/Program Files/Qualcomm/attach/Tsinghua_letter.doc:
Infected: Trojan-Dropper.MSWord.1Table.ea [AVP]
/mnt/scan/Program
Files/Qualcomm/Eudora/attach/Tsinghua_letter.doc: Infected:
Trojan-Dropper.MSWord.1Table.ea [AVP]

Grundsätzlich:
Freunde und Geschäftspartner schicken dir keine infizierten Anhänge in Mails. Warum löschst du das Ding nicht einfach und bittest den Absender mit deiner Begründung dir diese nochmals, aber diesmal frei von Malware zu schicken. Teile ihnen mit, das du auch ASCII akzeptierst.

Zudem tippe ich auf einen Script in eine Wordtabelle. An einen Rootkit glaube ich nicht so recht. Ob es eine Malware ist, sollte sich auf einem isolierten System feststellen lassen oder bei Jotty oder Virustotal erweisen. Ich verdächtige sogar ein paar chinesische Schriftzeichen, welche die Scanner als Malware interpredieren. Die Dateibezeichnung Tsinghua_letter.doc weist darauf hin.

Dies wäre meine Variante einer Lösung.

der hinterwäldler

lego · 9. Mai 2007 um 18:31

Hallo Hinterwäldler,

ich schätze schon Deine sonstigen Beiträge, nur manchmal schiesst Du über das Ziel hinaus. Hier aktuell zum Beispiel dadurch, dass Du meiner Ansicht nach meinen Artikel gar nicht sorgfältig gelesen hast, denn:

Grundsätzlich:
Freunde und Geschäftspartner schicken dir keine infizierten
Anhänge in Mails.

Ja! Es sei denn, dass der Freund/Geschäftspartner bzw. hier, was bisher niemand wissen konnte, weil es keine Rolle spielte für meine Fragestellung, die Person lediglich an einer wiss. Konferenz teilnehmen wollte, unwissenderweise an einem infizierten Rechner arbeitet oder aber tatsächlich wissentlich-boshaft ein Backdoor öffnen wollte.

Warum löschst du das Ding nicht einfach und
bittest den Absender mit deiner Begründung dir diese nochmals,
aber diesmal frei von Malware zu schicken. Teile ihnen mit,
das du auch ASCII akzeptierst.

Jajaja,

nur ist die Email samt infektiösem Attachment mittlerweile 26 Monate alt laut Dateien auf dem Recher und laut Datum des Briefs im Word- und PDF-Dokument, wie ich schrieb: März 2005

Arbeitsrechner einer Kollegin, die ich erst seit 3 Monaten kenne, die den Rechner von ihrem Institut erst nach März 2005 gestellt bekam. Den Trojaner habe ich wohl entfernt, aber niemand wird und braucht den Teilnehmer der Konferenz von damals jetzt noch anzuschreiben …

Zudem tippe ich auf einen Script in eine Wordtabelle.

Der Trojanertyp war auf eine (ehemals!) bestehende Word-Lücke ausgelegt und in der Lage irgendetwas nach zu laden, zum Beispiel ein Rootkit mit Backdoorfunktionalität, schrieb ich alles bereits.

An einen
Rootkit glaube ich nicht so recht.

Der Trojaner könnte ein solches nachgeladen haben, er selbst war keins, schrieb ich bereits.

Ob es eine Malware ist,
sollte sich auf einem isolierten System feststellen lassen
oder bei Jotty oder Virustotal erweisen.

Ja, ist es, habe ich getan.

Ich verdächtige sogar
ein paar chinesische Schriftzeichen, welche die Scanner als
Malware interpredieren. Die Dateibezeichnung
Tsinghua_letter.doc weist darauf hin.

Nein, der Emailabsender mit der Malware ist zwar Chinese an einer chinesischen Universität, aber der Brief ist schlichtweg in Englisch abgefaßt worden und vermutlich mit einer englischen Microoft-Word-Version auf/unter einem „englischen“ Windows XP. Obwohl, vielleicht könnte Dein Verdacht diesbzgl. trotzdem zutreffen.

Dies wäre meine Variante einer Lösung.

Die Lösung ist, dass der Trojaner mit der Wordlücke selbst unter einem isolierten System gefunden und darunter entfernt wurde und die Systemwiederherstellung von Windows-XP vorher bereits ausgeschaltet worde, anschliessend wurde noch einmal geprüft unter einem isolierten System, sowohl der Trojaner selbst als auch, ob er noch auf dem betroffenen Rechner drauf ist. Unabhängig ob der Trojaner ausgeführt wurde und evtl. weitere Malware nachgeladen hat und diese noch aktiv ist oder nicht wird der Rechner komplett neu aufgesetzt.

beste gruesse und maximalen erfolg im kampf gegen alle daus mit besserer trefferquote in zukunft

peter

Peter_TOO · 10. Mai 2007 um 15:21

Hallo Auchfalls!

Manchmal gibt es auch Fehlalarme !

Ich habe bei mir 3 Beispielprogramme, aus einem Buch, welche die Verwendung von FPT unter C zeigen.

Die sind als Sourcecode vorhanden und wurden mal, vor so 15 Jahren, compiliert.
AntiVir schlägt bei diesen 3 Dateien Alarm.

Vermutlich hat irgendein Viren-Programmierer das selbe Buch wie ich gekauft…

Das Dilemma bei der Signatur-Erstellung ist, dass man eine möglichst kurze Code-Sequenz als Signatur auswählen muss, damit nicht schon kleinste Änderungen am Virus die Signatur aushebeln. Andererseits muss sie so lang sein, dass nicht gleich jedes Programm als Virus „erkannt“ wird.

Oft werden typische Unterprogramme, wie in meinem Fall der Aufruf von FTP-Funktionen, dazu hergenommen. Allerdings wird nicht jeder Aufruf einer FTP-Funktion von einem Virus ausgelöst …

MfG Peter(TOO)

Hinterw_ldler_37172f · 10. Mai 2007 um 19:36

Hallo Peter

Ich verdächtige sogar
ein paar chinesische Schriftzeichen, welche die Scanner als
Malware interpredieren. Die Dateibezeichnung
Tsinghua_letter.doc weist darauf hin.

Nein, der Emailabsender mit der Malware ist zwar Chinese an
einer chinesischen Universität, aber der Brief ist schlichtweg
in Englisch abgefaßt worden

Das ist belanglos. Man kann in einem Worddokument problemlos Notizen unsichtbar machen. Das funktioniert sogar im RTF-Format. Wenn du ein wenig damit experimentieren willst, kannst du mal diesen Editor http://www.hinterwaeldlers-home.de/programme.html in der Version 2.1 downloaden.

der hinterwäldler

lego · 17. Mai 2007 um 08:59

Hallo Auchfalls!

war einige Tage unterwegs und unsere Einladenden waren selbst nur Gäste, keinerlei Zeit oder praktikable Möglichkeiten ins Netz zu kommen, hatte ganz schön Stoffhunger.

Mittlerweile vermute ich auch eher einen Fehlalarm, denn an jenem Tag fand ich zu diesem Trojaner nur einen Eintrag im w-w-w mit gängigen Suchmaschinen,jetzt sind es schon ein halbes Dutzend und alle verweisen nur auf eine benutze Antivirensign. von Kaspersky.

Warum sollte ein zwei Jahre alter Trojaner erst jetzt so aktiv werden?

Eine mögl. Erklärung brauche ich gar nicht neu zu formulieren, vielen Dank und Grüße, Peter

Manchmal gibt es auch Fehlalarme !

…

Das Dilemma bei der Signatur-Erstellung ist, dass man eine
möglichst kurze Code-Sequenz als Signatur auswählen muss,
damit nicht schon kleinste Änderungen am Virus die Signatur
aushebeln. Andererseits muss sie so lang sein, dass nicht
gleich jedes Programm als Virus „erkannt“ wird.

lego · 17. Mai 2007 um 09:03

Hallo Hinterwäldler!

Das ist belanglos. Man kann in einem Worddokument problemlos
Notizen unsichtbar machen. Das funktioniert sogar im
RTF-Format. Wenn du ein wenig damit experimentieren willst,
kannst du mal diesen Editor
http://www.hinterwaeldlers-home.de/programme.html in der
Version 2.1 downloaden.

Siehe auch meine Antwort an PeterToo,

ich glaube mittlerweile an eine falsche Signatur, wenn ich in 4 Wochen noch Lust habe, werde ich vielleicht noch einmal mit dem Word-Dokument auf Spurensuche gehen.

Läuft Dein Editor auch unter Debian Etch wie wine oder ähnlich?

Viele Grüße und Dank, Peter