25. August 2006

Sophos Anti-Rootkit

Ich hatte heute endlich mal Zeit mir einen Haufen neue Software anzusehen.

Besonders gespannt war ich auf das neue Sophos Anti-Rootkit. Die Software ist so neu, dass es noch keine ISA (Implementationsspezifische Angriffe) geben sollte. Das kommt insbesondere dem Kampf gegen das notorische Rustock.B Rootkit / Spambot zu Gute, welches ISAs gegen viele gängige Detektoren hat.



Schnelltest Sophos Anti-Rootkit 1.0

  • Das Sophos Anti-Rootkit ist ein Ein-Klick Scanner und Rootkit-Entferner wie BlackLight und BitDefender Rootkit Uncover.
  • Relativ schnell (solange das Vanquish Rootkit nicht geladen ist).
  • Kommt mit einer Kommandozeilen-Version.
  • Die Suche nach versteckten Prozessen, Registry-Schlüsseln und Dateien läß sich einzeln auswählen.
  • Kann versteckte Prozesse nicht beenden, nur anzeigen (manchmal).
  • Beim nächsten Reboot werden die ausgewählten Dateien gelöscht.
  • Stürzte einmal ab im Test.




Sophos Anti-Rootkit 1.0 vs Rootkits

System: Windows XP Pro SP2

  • FUTo_enh Prozess: Findet "irgendwas" Verstecktes, sagt aber nicht was (siehe Bild).
  • FUTo_enh Treiber: Findet nichts.
  • RkUnhooker Test Rootkit 1.2: Findet nichts.
  • BadRKdemo: Findet nichts.
  • Rustock.B (lzx32.sys): Findet versteckte Registry-Schlüssel und Dateien, Treiber nicht.
  • AFX Rootkit 2005: Findet es und kann es entfernen.
  • Hacker Defender 100: Findet es und kann es entfernen.
  • Vanquish 0.2.1: Findet es, wird aber unbenutzbar langsam (Test abgebrochen).

(Ausführlicher Test von Rustock.B folgt)

Fazit
Schräg. Findet Versteckte Prozesse, ohne zu sagen welche es sind. Schrottige Erkennungsleistung gegen das Open-Source Standardrootkit FUTo_enh. Erkennung von versteckten Treibern kommt nicht an DarkSpy, Rootkit Unhooker oder IceSword heran. Nur die alten Rootkits Hacker Defender 100, AFX und Vanquish werden zuverlässig erkannt und beseitigt. Miese Online-Hilfe. Die Freeware Rootkit Unhooker hat eine viel bessere Anleitung.

Die Software wirkt sehr hastig zusammengebastelt. Bei den kommerziellen Scannern scheint BlackLight einen uneinholbaren Vorsprung zu haben.

Sophos Anti-Rootkit Homepage

2 Kommentare:

DonMuErte hat gesagt…

Doch doch, Prozesse, die mit FUTo vernebelt wurden, werden erkannt - jedenfalls manchmal. Ich kann nicht genau sagen warum, aber nach meinen Tests liegt die Wahrscheinlichkeit dafür bei ungefähr 50%. Wesentlich schlechter ist aber das Ergebnis für die angebotene Entfernung des AD-Streams von Rustock.A. Von schätzungsweise 10 Versuchen hat es genau einmal funktioniert - auch hier das große Fragezeichen über meinem Kopf.
Wurde alles unter WinXP mit SP2 probiert.

Eine Treibersuche ist gar nicht implementiert, von daher ist das ziemlich logisch, dass es in diesem Bereich mit keinem anderen Scanner konkurrieren kann.


regards

jörg hat gesagt…

Oh Mann. Da wollte wohl jemand unbedingt ein Anti-Rootkit im Programm haben. Ich hoffe sie versuchen nicht diesen Schrott zu verkaufen.