Перейти к содержанию

Recommended Posts

vaber
[main]quote=Everybody's a jerk. You, me, this jerk. That's just my philosophyversion=3.27botid=xxxaffid=20073subid=0installdate=24.2.2010 20:48:18builddate=24.2.2010 15:42:7[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/wspservers=http://j00k877x.cc/;http://b11335599.cn/popupservers=http://m3131313.cn/version=3.741

Сегодня вышла новая версия данного руткита (3.27). Начиная с этой версии спец утилиты для его лечения перестали работать. Это касается тех, кто использовал SPTI для доступа к диску: tdss_remover от Esage Lab, Hitman Pro. Так же теперь его не обнаруживают DrWeb (патченный файл на диске) и TDSSKiller от ЛК.

Выше привиден config файл этого руткита, где можно видеть дату сборки руткита, дату инсталляции в системе, сообщение реверсерам)) и сервера, необходимые для работы user mode компоненты (dll, которая инжектится в системные процессы) и ее версию.

Так же изменилась ф-ция инжекта троянской dll в процесс спулера - теперь нет необходимости трояну копировать свою библиотеку в директорию спулера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

c84bf1e3a108t.jpg 64e37f31c0det.jpg 7c55c781e435t.jpg

Но атаки же отбиваются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Но атаки отбиваются.

Это к чему? :) Какие атаки?)).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Какие атаки?)).

С китайских _https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/_ серверов из кода.

Значит они известны. Если известна сигнатура атаки, то система предотвращения вторжений автоматически уничтожает пакет и прерывает соединение с компьютером, отправившем данные. Руткит окажется заперт. Разве нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
С китайских _https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/_ серверов из кода.

Андрей-001!

Не стоит писать первые пришедшие мысли в голову, ок? ;) Разберитесь не много в теме:

http://forum.sysinternals.com/forum_posts....=21266&PN=1

Там много информации от бета-тестеров TDL3 :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

vaber

ОК! Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Значит они известны. Если известна сигнатура атаки, то система предотвращения вторжений автоматически уничтожает пакет и прерывает соединение с компьютером, отправившем данные.

Да, эти сайты занесли в базу. Это не сигнатура, просто занесли в черный список данные хосты. Данные в данном случае отправляет Ваш компьютер. Он как был бы зараженным, так и оставался бы ;) Это всего лишь может свидетельствовать о том, что что-то в системе не чисто ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik
Сегодня вышла новая версия данного руткита (3.27). Начиная с этой версии спец утилиты для его лечения перестали работать.

А детект уже есть? Насколько я понял, несмотря на то что новая версия руткита только сегодня вышла, вы уже образец на руках имеете. Или не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А детект уже есть? Насколько я понял, несмотря на то что новая версия руткита только сегодня вышла, вы уже образец на руках имеете. Или не так?

тут нужно понимать - что мой образец уникальный. Через пару часов он будет перепакован полиморным пакером. АВ вендоры стараются по мере возможности добавлять generic-детект на инсталляки, драйвер - но все-равно есть некоторый промежуток времени после "чистки" пакера, когда файл почти ни кем не детектируется и пользователь может быть заражен. Мой семпл может хоть всеми детектироваться, но через 2 часа его перепакуют и детект будет только у тех, кто не интересен вирмейкерам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

имеет иначе бы первый пост был без вставки код=))

Вабер дай погонять=))

нашел не надо уже=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
имеет иначе бы первый пост был без вставки код=))

Вабер дай погонять=))

нашел не надо уже=))

прокрути на вирустотале и скинь сюда линк, хочу с моим сравнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Так же теперь его не обнаруживают DrWeb (патченный файл на диске) и TDSSKiller от ЛК.

На сколько мне известно, наш киллер его обнаруживает. У него с 3.7 другая проблема - зависает при лечении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
На сколько мне известно, наш киллер его обнаруживает.

Да, имелось ввиду, что у TDSSKiller так же как и у DrWeb нет детекта файла на диске. В памяти детект есть как у TDSSKiller,так и у KAV/KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А вот и новый киллер.

TDSSKiller.rar

TDSSKiller.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Добавлю - видит и лечит. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Так же детектирует активным в системе и позволяет копировать инфицированный руткитом системный драйвер антируткит от VBA - Vba32 AntiRootKit 3.12.5.0 beta. ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Удивляюсь как они столько времени протянули со своим фиксом, ведь эта "бага" сразу бросалась в глаза, еще с первой версии. Как следствие оказалось, что самые простые способы чтения диска - SPTI оказались самыми верными и надежными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Удивляюсь как они столько времени протянули со своим фиксом, ведь эта "бага" сразу бросалась в глаза, еще с первой версии. Как следствие оказалось, что самые простые способы чтения диска - SPTI оказались самыми верными и надежными.

До поры до времени. Я так не считаю, надо уходить глубже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Я так не считаю, надо уходить глубже.

И отхватывать больше )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
miky

Сериал tdl3 vs AV labs ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Сериал tdl3 vs AV labs ...

белые начинают и выигрывают :) хотю в этой партии белые - это черные.. но сути сражения не меняет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
И отхватывать больше )

Все зависит от прямоты рук, ну ты в курсе :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

update

[main]quote=Everybody's a jerk. You, me, this jerk. That's just my philosophyversion=3.271botid=xxxaffid=20025subid=0installdate=26.2.2010 18:21:24builddate=26.2.2010 18:0:2[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/wspservers=http://j00k877x.cc/;http://b11335599.cn/popupservers=http://m3131313.cn/version=3.741

В данной версии обошли лечение у TDSSKiller.

Ребята очень внимательно следят за новостями от вендоров :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×