Manchmal ist es sehr schade, nicht Chinesisch und Russisch zu beherrschen. Die Teile des Internets, die ausschließlich in dieser Sprache gehalten sind, haben hier und da besonders interessante Inhalte. Google war der Freund und half beim Übersetzen. Teils kam ein wirklich sehr verkrüppeltes Deutsch zustande, so dass der ursprüngliche Sinn des Textes zu einem großen Teil unterging. Nun ja, es konnten hier und da ein paar kleine Tierchen gefunden werden, darunter eine interessante Art der Hausratte.

Diese durchaus pflegeleichte, wenn auch wegen der Schriftzeichen vorerst nicht zu verstehenden Ratte, besitzt außerordentlich interessante Fähigkeiten. Die Opa-Ratte wurde bisher ein wenig erforscht und hatte ein paar telepathische Fähigkeiten weniger. Die aktuelle Art der Ratte hat ein paar kleine Psi-Fähigkeiten. Die Matrix oder besser die VM wird zuverlässig von der einen erkannt und in kleine Stücke zerrissen. Die VM klappt beim Auslaufen der Ratte in sich zusammen und das Hostsystem kommentiert diesen Vorgang mit einem Schweigen. Hatte sich das Tierchen aus der VM herausgeschlichen und nagt nun an den Bits und Bytes des Hostsystems?

Entdeckt wurde nichts, es scheint, dass eine Speicherspielei mit einem kräftigen Segmentgehüpfe zum Zusammenbruch der VM führt. Möglicherweise ist dies ein Feature, leider sind meine Fähigkeiten der genauen Analyse noch zu begrenzt, um wirklich etwas genaues sagen zu können. Allerdings wurde eine weitere Version entdeckt, die die gleiche Versionsnummer trägt. Diese ist an wenigen Stellen leicht verändert worden und startet zumindest.

Die Datenausführungsverhinderung bombt, wenn sie aktiv geschaltet ist, generell alle Prozesse der Hausratte aus dem Speicher. DA abgeschaltet allerdings startet die Variante und die VM bleibt auf den Beinen. So rate ich, es war ein Feature. Die Hausratte besitzt die üblich zu erwarteten Fähigkeiten. Mit dem „Scotty-Modus“ verschwindet sich von ihrem Urspungsort ins tiefere System und verweilt dort recht unerkannt. Allerdings lassen sich die Dateien vom Betriebssystem auffinden und löschen, also scheint keine intensive Root-Kit-Technik eingebaut zu sein. Allerdings taucht das Tierlein nicht in der Prozessliste auf, was stark zu erwarten war. Generell heftet sie sich an Prozesse, um störungsfrei nach draußen funken zu können. Gewisse Firewalls, die einen hohen Bekanntheitsgrad haben, lassen die Ratte nach draußen sprechen, ohne Alarm auszulösen. Der Vorgang lässt sich aber gut im Wireshark sehen. Da die Pakete der Ratte entsprechend innen signiert sind, lässt sich die ganze Ratten-Generation mindestens mit einem Deep-Paket-Filter einsperren. Somit kommt der Angreifer nicht an die Daten des Computers. Forefront arbeitet in Firmenumgebung in diesem Fall hervorragend. Natürlich existieren auch andere Lösungen aus dem OpenSource Bereich. Auch snort lässt sich mit einem Filter so ausstatten, dass es Alarm auslösen kann.

Die Übertragung von Sound, Webcam und Bildschirmübertragungen sind ganz interessant, besonders als Demo. Der Keylogger ist ausgezeichnet. Dieser speichert die Daten in die alternative Datenströme unter NTFS in eine Datei und dokumentiert, welches Fenster aktiv gewesen ist mit entsprechenden Bezeichnungen. Somit bleibt das Log sehr übersichtlich. Die Ratte wird aktuell von jedem guten AV-Programm erkannt. Mit einem Crypter kann man Abhilfe schaffen. Natürlich ist es einfacher den auch erhältlichen Sourcecode entsprechend ein wenig umzubauen und dann neu kompilieren. Das Übersetzen der Schaltflächen wäre dann mal was… oder einfach ein Language-File in XML einfach dazu bauen. 🙂