Neue Version von Avira AntiRootkit Tool

Überraschenderweise gibt es von dem Avira AntiRootkit Tool eine neue Beta-Version 1.0.1.16.



Der Hersteller hat bereits angekündigt, den Rootkit-Detektor diesen Monat in seine Anti-Virus Produkte zu integrieren, daher dürfte es vermutlich die letzte Stand-Alone Version sein.

Die Installation ist etwas verwirrend: Die neueste Beta ließ sich hier nur installieren, wenn man sie über die bereits installierte, ältere Version drüberinstalliert (mit der Option "Repair" im Installer).

Irgendwelche Verbesserungen sind nicht festzustellen. Demnächst werde ich mal nachsehen, wie Avira AntiVir mit Rootkits klarkommt.


Links

• Test Avira AntiRootkit Tool 1.0.1.5 (Beta 3). C-Ko
• Avira Betatestprogramm (Registrierung erforderlich)
• Aviras kostenloser Virenscanner mit Rootkit-Erkennung. Golem
  

Sie sind viele und wir sind wenige

Es gibt schon wieder eine neue Version von Rootkit Unhooker mit ein paar Bugfixes.

Dieser Thread bei Wilders ist jetzt offenbar der offizielle Verkündigungskanal. Dort wurde auch ein neuer Mirror bekanntgegeben.

Die rku.xell.ru-Website von Rootkit Unhooker scheint jetzt endgültig (?) erledigt zu sein. Neulich kam noch eine Fehlermeldung, jetzt ist die ganze xell.ru-Domain tot. Möglicherweise viel sie einem DDoS zu Opfer, wie dereinst die Website von GMER.

Update: Ein DDoS Angriff auf die alte Website wurde bestätigt. Ausgeführt angeblich durch ein russisches Botnet. Mal sehen, wie lange die neue Website hält.


Auch auf einem anderen Schlachtfeld hat es einen Teilrückzug gegeben: Das gute alte Sysinternals-Forum ist wegen eines massiven Spam-Angriffs auf unbestimmte Zeit geschlossen (seit zwei Wochen nur noch Lesezugriff, kein Posten neuer Artikel mehr möglich).


P.S.: Die Bandbreite und das fiese Captcha von Google/Blogger.com dürften die Armee der Finsterniss zum Weinen bringen. Ha!


Links

• RKU Verkündigungsthread. Wilders Security Forums.
• Aktuelle Rootkit Unhooker Homepage
• Mirror der Rootkit Unhooker Homepage
• Kaspersky: Sicherheitssoftware-Anbieter könnten Kampf verlieren. Heise.

Rootkit Unhooker neu, umgezogen

Es gibt seit einer Woche oder so die neue Version 3.30 von Rootkit Unhooker. Hat einige interne Verbesserungen, neue Erkennungsmethoden und zeigt jetzt auch Notifier Hooks an. Keine Ahnung, was das mit Rootkits zu tun hat, ist aber die einzige mir bekannte Software die sowas kann.

Man kann es möglicherweise benutzen um zu sehen, ob ein Rootkit-Detektor "schummelt". Manche Detektoren haben gar keine richtige Erkennung, sondern benutzen Notifier Hooks (das geht nur so lange gut, wie der Anti-Rootkit-Treiber vor dem Rootkit geladen wird).


Neuerungen in Version 3.30 build 150/400 (23.03.2007)

• added: DKOH detection (not unhookable) for common kernel objects
• added: EAT (Export Address Table) hooks detection and unhooking for Kernel Mode
• added: ability to dump kernel memory region
• added: AntiRkU (and similar tools) bypassing
• added: Notify Routines viewer / remover (createprocess, createthread, loadimage)
• updated: ILHA v2.5 (new inline detection abilities)

Seit ein paar Tagen (?) ist die Homepage weg und sie sind wieder bei dem alten narod.ru Hoster (warum?).


Links

• Neue Rootkit Unhooker Homepage, Download

ZoneAlarm Angst

Personal Firewalls sind immer wieder für eine Überraschung gut: Ich habe in ZoneAlarm Pro Version 6.5.737 eine "interessante" Funktion entdekt. Ich dachte zuerst an ein besonders fieses Rootkit, aber das gelb-rote ZoneAlarm-Logo in der Tray Taskbar Notification Area zog sofort den Verdacht auf sich.

Normalerweise taucht der NT-Kernel ntoskrnl.exe genau einmal in der Liste der geladenen Treiber auf (logisch):


Beim Durchsehen eines Windows XP Systems mit besagter Personal Firewall habe ich folgendes gefunden:


Unter der Adresse 0x400000 liegt offensichtlich eine Kopie des Kernels. WTF?? Eine nähere Betrachtung zeigt, dass es keine Kopie ist. Der Kernel taucht in der Liste tatsächlich doppelt auf, unter zwei verschiedenen Adressen. ZoneAlarm pfuscht offensichtlich irgendwas im Kernel herum (neben dem üblichen Haufen SSDT- und IAT Hooks).

Die Anzeigen stammen von Process Explorer, der doppelte Eintrag wird von anderen Programmen aber genauso gefunden, inkl. Microsofts drivers.exe.

0x400000 ist übrigens die normale Image Base für User-Mode Exes.

Wieso ZoneAlarm sowas macht, ist das Rätsel der Woche.


P.S.: Ja, ich weiss das heute der 1. April ist.


Links

• Das Rootkit, das aus dem Firewall kam. C-Ko
• ZoneAlarm von Hand deinstallieren. C-Ko