Nö, habe mir das meiste zusammenkopiert, auch wenn die Fehler im kopierten Code teils haarsträubend waren und ich deswegen ein paar Korrekturen vornehmen mußte. Aber insgesamt vielleicht 30min mit mehreren Testläufen in einer VM.
Hatte echt keinen Bock den Code von Null an neu zu schreiben
Code:
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-11-15 23:30:37
Windows 5.1.2600 Service Pack 3
Running: dqhzz1me.exe; Driver: C:\DOCUME~1\User\LOCALS~1\Temp\agtdqpob.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwClose [0xB20ED80E]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwCreateKey [0xB20ED604]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwDeleteKey [0xB20ED4AC]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwDeleteValueKey [0xB20ED4F2]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwEnumerateKey [0xB20ED3F2]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwEnumerateValueKey [0xB20ED34E]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwFlushKey [0xB20ED446]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwLoadKey [0xB20ED972]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwOpenKey [0xB20ED7D0]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwQueryKey [0xB20ED03E]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwQueryValueKey [0xB20ED166]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwSetValueKey [0xB20ED28A]
SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwUnloadKey [0xB20EDAC2]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!KeUnstackDetachProcess + 186 804F77F2 4 Bytes CALL B1D3C371 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE ntkrnlpa.exe!NtDeviceIoControlFile + 26 8056E4E8 4 Bytes CALL B1D3C751 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE ntkrnlpa.exe!ZwWriteFileGather + 33D2 80575CAA 4 Bytes CALL B1D3C951 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE ntkrnlpa.exe!ZwReadVirtualMemory + 8 805A979C 4 Bytes CALL B1D3CC01 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE ntkrnlpa.exe!ZwWriteVirtualMemory + 8 805A98A6 4 Bytes CALL B1D3CD51 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE ntkrnlpa.exe!NtClose + 19 805B1CE1 4 Bytes CALL B1D3C891 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE ntkrnlpa.exe!NtOpenProcess + B 805C132F 4 Bytes CALL B1D3C9A1 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE ntkrnlpa.exe!ZwSetLdtEntries + ECA 805CAAC4 4 Bytes CALL B1D3CEA1 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
? C:\WINDOWS\system32\Drivers\PROCMON20.SYS The system cannot find the file specified. !
? C:\WINDOWS\system32\Drivers\PROCEXP141.SYS The system cannot find the file specified. !
? C:\WINDOWS\system32\drivers\EagleNT.sys The system cannot find the file specified. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\SearchIndexer.exe[544] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device \Driver\Kbdclass \Device\KeyboardClass0 EagleNT.sys
Device \Driver\Kbdclass \Device\KeyboardClass1 EagleNT.sys
Device \Driver\Mouclass \Device\PointerClass0 EagleNT.sys
Device \Driver\Mouclass \Device\PointerClass1 EagleNT.sys
---- EOF - GMER 1.0.15 ----
Wie man sieht benutzt das Ding Hooks direkt im Kernelimage (all mit PAGE beginnenden Zeilen) sowie irgendwas auf den Maus- und den Tastaturgeräten. Damit läßt es sich als Rootkit einordnen.
Code:
PAGE ntkrnlpa.exe!NtOpenProcess + B 805C132F 4 Bytes
... ist das eigentliche Problem
Er hat auch alles durch Selbststudium gelernt. Studiert hat er irgend so ein Ökozeugs.
... und
er hat abgebrochen als er von einem Anti-Spyware-Hersteller angeheuert wurde und ist danach zu einem
AV-Hersteller gewechselt.