K_Mikhail

Dr.Web - единственный антивирус, который лечит новую модификацию BackDoor.Tdss.565

В этой теме 29 сообщений

Dr.Web - единственный антивирус, который лечит новую модификацию BackDoor.Tdss.565

11 ноября 2009 года

Новость обновлена в 14.30 MSK

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении новой опасной модификации троянской программы-бэкдора TDss. По имеющейся у нас на момент выхода первой новости (13:30 MSK) информации в активном виде этого троянца не детектировал ни один антивирус. Специально для лечения BackDoor.Tdss.565 и всех его модификаций обновлен и доступен для бета-тестирования антивирусный сканер Dr.Web.

Это довольно-таки изощренный троянец, использующий руткит-технологии, который значительно превосходит по сложности лечения небезызвестный Rustoc.C. Вредоносная программа для обеспечения своей последующей автозагрузки заражает системный драйвер, обслуживающий физический диск, на котором установлена ОС. В дальнейшем руткит-модуль скрывает все изменения в системе и осуществляет внедрение компонентов пользовательского режима в процессы согласно файлу конфигурации.

BackDoor.Tdss.565 до сих пор не поддавался лечению ни одним антивирусным продуктом и даже не детектировался большинством из них. Быстро и эффективно избавиться от активного Backdoor.TDSS.565 пользователи в России и за рубежом ранее могли при помощи Dr.Web LiveCD, который позволял излечиться от данной вредоносной программы. Теперь лечение этого руткита возможно при использовании всех антивирусных решений Dr.Web.

Уникальная технология, разработанная специалистами «Доктор Веб» для лечения BackDoor.TDSS.565 и его последующих модификаций, реализована в антивирусном сканере, который доступен для бета-тестирования на нашем сайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

через пару дней будет опровержение на компьютерре? в стиле протев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отлично.

То есть как минимум один AV обнаружит и вылечит систему в самом "смешном" тесте. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отлично.

То есть как минимум один AV обнаружит и вылечит систему в самом "смешном" тесте. :)

не вылечит. в тесте не участвует бета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
не вылечит. в тесте не участвует бета.

Ну значит действительно только один... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну значит действительно только один... :lol:

смотря когда тесты проводить, а то могут и хоть все двадцать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
смотря когда тесты проводить, а то могут и хоть все двадцать...

Наврятли :) Пара- тройка не более. :)

именно, один

И? Новость эту видели вообщет. Пока один. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересно HIPS чей-нибудь способен защитить от такого проникновения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересно HIPS чей-нибудь способен защитить от такого проникновения?

DefenseWall HIPS способен. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот и аналогичное чтиво от безвестных вьетнамцев :)

http://rootkit.com/newsread.php?newsid=979

Anyone else ?

P.S. Хохма в том, что никто так и не ответил на вопрос - "а деньги где?", ну или хотя бы - "зачем это все?" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P.S. Хохма в том, что никто так и не ответил на вопрос - "а деньги где?", ну или хотя бы - "зачем это все?" :)

это дело за вами ;) у нас задача проще, защищать пользователей. так что ждем захватывающей истории ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот и аналогичное чтиво от безвестных вьетнамцев

от ЛК ждать вольный перевод двух трудов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

TDL3 известен уже почти два месяца. Статья автора CodeWalker Antirootkit на rootkit.com

известна уже пару недель и все заинтересованные её уже прочитали ещё до публикации.

DrWeb 5 лечит и детектирует? Молодцы :) Вот собственно и все. Обсуждать что-то

техническое конкретно об этом рутките на публике будут только идиоты.

Детектирование как и удаление представляет собой тривиальную задачу (если знать что и где

смотреть, см статью) и не требует даже специальных утилит, для версии TDL3 что есть у меня

сгодится банальный Process Explorer + установочной диск.

Увы, но со всеми новомодными фишками авторы TDL3 оставили слишком много следов в системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
это дело за вами у нас задача проще, защищать пользователей. так что ждем захватывающей истории

слив защитан.

только потом не удивляйтесь, почему "везде Каспер", а новости Drweb только на "cnews и секлабе есть!".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DefenseWall HIPS способен. :)

Здесь можно критиковать? Или все проплачено?

В общем пользовался вашим дефенсом (версия уточки кря-кря) Так и не понял чего автор хотел этим сказать?

В дополнении касперу 2010 - это только утилита для торможения компа

Есть такая утилита UnHackMe - вот это вещь, во-первых подстраховывает антивирь, во-вторых показывает точно что в компе творится

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anyone else ?

P.S. Хохма в том, что никто так и не ответил на вопрос - "а деньги где?", ну или хотя бы - "зачем это все?" smile.gif

ffsearch, если тебе это о чем-то говорит. несколько громоздко для схемы ppc, ага.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ffsearch, если тебе это о чем-то говорит. несколько громоздко для схемы ppc, ага.

Сомневаюсь, что TDL3 имеет какое-либо отношение к ffsearcher. Проект ffsearcher развивается давно и уже как с начала лета они достаточно активно распространяют своего руткита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати говоря, к ffsearcher имеет прямой отношение не так давно появившийся в ru-нете "Get Accelerator" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Hello! :rolleyes:

[main]quote=© Dr.Web 2009-2010version=3.22botid=xxx-xxx-xxx-xxx-xxxaffid=20143subid=0installdate=28.12.2009 21:8:3builddate=28.12.2009 20:57:53[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.62/wspservers=http://b11335599.cn/;http://b00882244.cn/popupservers=http://m3131313.cn/version=3.53

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

О, замечательная новость.

Доктор он и есть доктор. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS