Einzelnen Beitrag anzeigen

Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#51

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:35
Nö, habe mir das meiste zusammenkopiert, auch wenn die Fehler im kopierten Code teils haarsträubend waren und ich deswegen ein paar Korrekturen vornehmen mußte. Aber insgesamt vielleicht 30min mit mehreren Testläufen in einer VM.

Hatte echt keinen Bock den Code von Null an neu zu schreiben

Code:
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-11-15 23:30:37
Windows 5.1.2600 Service Pack 3 
Running: dqhzz1me.exe; Driver: C:\DOCUME~1\User\LOCALS~1\Temp\agtdqpob.sys


---- System - GMER 1.0.15 ----

SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwClose [0xB20ED80E]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwCreateKey [0xB20ED604]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwDeleteKey [0xB20ED4AC]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwDeleteValueKey [0xB20ED4F2]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwEnumerateKey [0xB20ED3F2]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwEnumerateValueKey [0xB20ED34E]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwFlushKey [0xB20ED446]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwLoadKey [0xB20ED972]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwOpenKey [0xB20ED7D0]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwQueryKey [0xB20ED03E]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwQueryValueKey [0xB20ED166]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwSetValueKey [0xB20ED28A]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwUnloadKey [0xB20EDAC2]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeUnstackDetachProcess + 186                          804F77F2 4 Bytes CALL B1D3C371 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!NtDeviceIoControlFile + 26                            8056E4E8 4 Bytes CALL B1D3C751 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!ZwWriteFileGather + 33D2                              80575CAA 4 Bytes CALL B1D3C951 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!ZwReadVirtualMemory + 8                               805A979C 4 Bytes CALL B1D3CC01 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!ZwWriteVirtualMemory + 8                              805A98A6 4 Bytes CALL B1D3CD51 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!NtClose + 19                                          805B1CE1 4 Bytes CALL B1D3C891 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!NtOpenProcess + B                                    805C132F 4 Bytes CALL B1D3C9A1 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!ZwSetLdtEntries + ECA                                805CAAC4 4 Bytes CALL B1D3CEA1 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
?       C:\WINDOWS\system32\Drivers\PROCMON20.SYS                         The system cannot find the file specified. !
?       C:\WINDOWS\system32\Drivers\PROCEXP141.SYS                        The system cannot find the file specified. !
?       C:\WINDOWS\system32\drivers\EagleNT.sys                           The system cannot find the file specified. !

---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\SearchIndexer.exe[544] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \Driver\Kbdclass \Device\KeyboardClass0                            EagleNT.sys
Device \Driver\Kbdclass \Device\KeyboardClass1                            EagleNT.sys
Device \Driver\Mouclass \Device\PointerClass0                             EagleNT.sys
Device \Driver\Mouclass \Device\PointerClass1                             EagleNT.sys

---- EOF - GMER 1.0.15 ----
Wie man sieht benutzt das Ding Hooks direkt im Kernelimage (all mit PAGE beginnenden Zeilen) sowie irgendwas auf den Maus- und den Tastaturgeräten. Damit läßt es sich als Rootkit einordnen.

Code:
PAGE   ntkrnlpa.exe!NtOpenProcess + B  805C132F 4 Bytes
... ist das eigentliche Problem

Er hat auch alles durch Selbststudium gelernt. Studiert hat er irgend so ein Ökozeugs.
... und er hat abgebrochen als er von einem Anti-Spyware-Hersteller angeheuert wurde und ist danach zu einem AV-Hersteller gewechselt.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat