vaber

TDL3

В этой теме 43 сообщений

[main]quote=Everybody's a jerk. You, me, this jerk. That's just my philosophyversion=3.27botid=xxxaffid=20073subid=0installdate=24.2.2010 20:48:18builddate=24.2.2010 15:42:7[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/wspservers=http://j00k877x.cc/;http://b11335599.cn/popupservers=http://m3131313.cn/version=3.741

Сегодня вышла новая версия данного руткита (3.27). Начиная с этой версии спец утилиты для его лечения перестали работать. Это касается тех, кто использовал SPTI для доступа к диску: tdss_remover от Esage Lab, Hitman Pro. Так же теперь его не обнаруживают DrWeb (патченный файл на диске) и TDSSKiller от ЛК.

Выше привиден config файл этого руткита, где можно видеть дату сборки руткита, дату инсталляции в системе, сообщение реверсерам)) и сервера, необходимые для работы user mode компоненты (dll, которая инжектится в системные процессы) и ее версию.

Так же изменилась ф-ция инжекта троянской dll в процесс спулера - теперь нет необходимости трояну копировать свою библиотеку в директорию спулера.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

c84bf1e3a108t.jpg 64e37f31c0det.jpg 7c55c781e435t.jpg

Но атаки же отбиваются.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но атаки отбиваются.

Это к чему? :) Какие атаки?)).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какие атаки?)).

С китайских _https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/_ серверов из кода.

Значит они известны. Если известна сигнатура атаки, то система предотвращения вторжений автоматически уничтожает пакет и прерывает соединение с компьютером, отправившем данные. Руткит окажется заперт. Разве нет?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С китайских _https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/_ серверов из кода.

Андрей-001!

Не стоит писать первые пришедшие мысли в голову, ок? ;) Разберитесь не много в теме:

http://forum.sysinternals.com/forum_posts....=21266&PN=1

Там много информации от бета-тестеров TDL3 :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Значит они известны. Если известна сигнатура атаки, то система предотвращения вторжений автоматически уничтожает пакет и прерывает соединение с компьютером, отправившем данные.

Да, эти сайты занесли в базу. Это не сигнатура, просто занесли в черный список данные хосты. Данные в данном случае отправляет Ваш компьютер. Он как был бы зараженным, так и оставался бы ;) Это всего лишь может свидетельствовать о том, что что-то в системе не чисто ;)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сегодня вышла новая версия данного руткита (3.27). Начиная с этой версии спец утилиты для его лечения перестали работать.

А детект уже есть? Насколько я понял, несмотря на то что новая версия руткита только сегодня вышла, вы уже образец на руках имеете. Или не так?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А детект уже есть? Насколько я понял, несмотря на то что новая версия руткита только сегодня вышла, вы уже образец на руках имеете. Или не так?

тут нужно понимать - что мой образец уникальный. Через пару часов он будет перепакован полиморным пакером. АВ вендоры стараются по мере возможности добавлять generic-детект на инсталляки, драйвер - но все-равно есть некоторый промежуток времени после "чистки" пакера, когда файл почти ни кем не детектируется и пользователь может быть заражен. Мой семпл может хоть всеми детектироваться, но через 2 часа его перепакуют и детект будет только у тех, кто не интересен вирмейкерам.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

имеет иначе бы первый пост был без вставки код=))

Вабер дай погонять=))

нашел не надо уже=))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
имеет иначе бы первый пост был без вставки код=))

Вабер дай погонять=))

нашел не надо уже=))

прокрути на вирустотале и скинь сюда линк, хочу с моим сравнить.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так же теперь его не обнаруживают DrWeb (патченный файл на диске) и TDSSKiller от ЛК.

На сколько мне известно, наш киллер его обнаруживает. У него с 3.7 другая проблема - зависает при лечении.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На сколько мне известно, наш киллер его обнаруживает.

Да, имелось ввиду, что у TDSSKiller так же как и у DrWeb нет детекта файла на диске. В памяти детект есть как у TDSSKiller,так и у KAV/KIS.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так же детектирует активным в системе и позволяет копировать инфицированный руткитом системный драйвер антируткит от VBA - Vba32 AntiRootKit 3.12.5.0 beta. ;)

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удивляюсь как они столько времени протянули со своим фиксом, ведь эта "бага" сразу бросалась в глаза, еще с первой версии. Как следствие оказалось, что самые простые способы чтения диска - SPTI оказались самыми верными и надежными.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Удивляюсь как они столько времени протянули со своим фиксом, ведь эта "бага" сразу бросалась в глаза, еще с первой версии. Как следствие оказалось, что самые простые способы чтения диска - SPTI оказались самыми верными и надежными.

До поры до времени. Я так не считаю, надо уходить глубже.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я так не считаю, надо уходить глубже.

И отхватывать больше )

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сериал tdl3 vs AV labs ...

белые начинают и выигрывают :) хотю в этой партии белые - это черные.. но сути сражения не меняет...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И отхватывать больше )

Все зависит от прямоты рук, ну ты в курсе :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

update

[main]quote=Everybody's a jerk. You, me, this jerk. That's just my philosophyversion=3.271botid=xxxaffid=20025subid=0installdate=26.2.2010 18:21:24builddate=26.2.2010 18:0:2[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/wspservers=http://j00k877x.cc/;http://b11335599.cn/popupservers=http://m3131313.cn/version=3.741

В данной версии обошли лечение у TDSSKiller.

Ребята очень внимательно следят за новостями от вендоров :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS