Thursday, September 07, 2006

Gromozon Rootkit

I received a link to an SCMagazine article about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gromozon rootkit this morning, and I found some interesting tidbits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writeup.

The most thorough analysis of this bit of malware can be found in this PDF document. It's interesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities this thing packs:
  • User-mode rootkit
  • Hiding code in EFS files as well as NTFS ADSs
  • Hiding in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppInit_DLLs Registry key
  • Removal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SeDebugPrivilege setting from user accounts to prevent rootkit detection tools from executing properly
  • Creates a new/fake user account
  • Creates a Windows service
  • The PDF document even mentions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of a checksum scanner to prevent ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r anti-rootkit tools from running
Here's Symantec's blog entry on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue.

From a post-mortem perspective, finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ADSs and Registry contents (AppInit_DLLs key, BHO entry, ControlSet00x\Services) as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 added user account would all be useful artifacts, as well provide multiple points for identifying a timeline for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection.

This brings us to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 philosophical discussion of "to wipe or not to wipe, that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question; whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tis nobler in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind to suffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slings and arrows of being repeatedly p0wned, or to take up arms against a sea of vulnerabilities and by patching end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m". While I do agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to be sure that you're free of an infection is to wipe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive and reinstall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS and data from clean, uninfected media, I also firmly believe that doing so blindly is simply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong way to go. Too many times, a rootkit will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumed culprit, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system will be taken offline, wiped, reinstalled and up back into service...and a root cause investigation will never be done. Putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box back into service is likely to get it p0wned all over again. Remember, folks, not every compromise is due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 successful exploit of a vulnerability...0 day or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise. There are plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to get in...weak or no passwords (Administrator, sa, etc.), SQL injection, etc. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole point of incident response...to find out what happened, so you can protect against it happening again.

Gromozon Removal Tools:
Rootkit Detection/Anti-Rootkit Tools (no particular order):
Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definitive site for information on rootkits for Windows systems is Rootkit.com. A good list of anti-rootkit software is at AntiRootkit.com.

2 comments:

Anonymous said...

Of course, if you surf cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web while running as Administrator, as users must to be infected...

- Rossetoecioccolato.

Anonymous said...

Can you please add SpyWall to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of tools that can remove Gromozon.

www.trlokom.com/product/spywall.php

-Jay