TDL3

[vaber 350]

[main]quote=Everybody's a jerk. You, me, this jerk. That's just my philosophyversion=3.27botid=xxxaffid=20073subid=0installdate=24.2.2010 20:48:18builddate=24.2.2010 15:42:7[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/wspservers=http://j00k877x.cc/;http://b11335599.cn/popupservers=http://m3131313.cn/version=3.741

Сегодня вышла новая версия данного руткита (3.27). Начиная с этой версии спец утилиты для его лечения перестали работать. Это касается тех, кто использовал SPTI для доступа к диску: tdss_remover от Esage Lab, Hitman Pro. Так же теперь его не обнаруживают DrWeb (патченный файл на диске) и TDSSKiller от ЛК.

Выше привиден config файл этого руткита, где можно видеть дату сборки руткита, дату инсталляции в системе, сообщение реверсерам)) и сервера, необходимые для работы user mode компоненты (dll, которая инжектится в системные процессы) и ее версию.

Так же изменилась ф-ция инжекта троянской dll в процесс спулера - теперь нет необходимости трояну копировать свою библиотеку в директорию спулера.

[Андрей-001 1099]

Но атаки же отбиваются.

[vaber 350]

Но атаки отбиваются.

Это к чему? Какие атаки?)).

[Андрей-001 1099]

Какие атаки?)).

С китайских _https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/_ серверов из кода.

Значит они известны. Если известна сигнатура атаки, то система предотвращения вторжений автоматически уничтожает пакет и прерывает соединение с компьютером, отправившем данные. Руткит окажется заперт. Разве нет?

[vaber 350]

С китайских _https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/_ серверов из кода.

Андрей-001!

Не стоит писать первые пришедшие мысли в голову, ок? Разберитесь не много в теме:

http://forum.sysinternals.com/forum_posts....=21266&PN=1

Там много информации от бета-тестеров TDL3

[Андрей-001 1099]

vaber

ОК! Спасибо.

[vaber 350]

Значит они известны. Если известна сигнатура атаки, то система предотвращения вторжений автоматически уничтожает пакет и прерывает соединение с компьютером, отправившем данные.

Да, эти сайты занесли в базу. Это не сигнатура, просто занесли в черный список данные хосты. Данные в данном случае отправляет Ваш компьютер. Он как был бы зараженным, так и оставался бы Это всего лишь может свидетельствовать о том, что что-то в системе не чисто

[Razboynik 105]

Сегодня вышла новая версия данного руткита (3.27). Начиная с этой версии спец утилиты для его лечения перестали работать.

А детект уже есть? Насколько я понял, несмотря на то что новая версия руткита только сегодня вышла, вы уже образец на руках имеете. Или не так?

[vaber 350]

А детект уже есть? Насколько я понял, несмотря на то что новая версия руткита только сегодня вышла, вы уже образец на руках имеете. Или не так?

тут нужно понимать - что мой образец уникальный. Через пару часов он будет перепакован полиморным пакером. АВ вендоры стараются по мере возможности добавлять generic-детект на инсталляки, драйвер - но все-равно есть некоторый промежуток времени после "чистки" пакера, когда файл почти ни кем не детектируется и пользователь может быть заражен. Мой семпл может хоть всеми детектироваться, но через 2 часа его перепакуют и детект будет только у тех, кто не интересен вирмейкерам.

[Ego1st 95]

имеет иначе бы первый пост был без вставки код=))

Вабер дай погонять=))

нашел не надо уже=))

[Mike 125]

имеет иначе бы первый пост был без вставки код=))

Вабер дай погонять=))

нашел не надо уже=))

прокрути на вирустотале и скинь сюда линк, хочу с моим сравнить.

[Ego1st 95]

прокрути на вирустотале и скинь сюда линк, хочу с моим сравнить.

http://www.virustotal.com/ru/analisis/2cf9...4eb3-1267075124

[Umnik 997]

Так же теперь его не обнаруживают DrWeb (патченный файл на диске) и TDSSKiller от ЛК.

На сколько мне известно, наш киллер его обнаруживает. У него с 3.7 другая проблема - зависает при лечении.

[vaber 350]

На сколько мне известно, наш киллер его обнаруживает.

Да, имелось ввиду, что у TDSSKiller так же как и у DrWeb нет детекта файла на диске. В памяти детект есть как у TDSSKiller,так и у KAV/KIS.

[Umnik 997]

А вот и новый киллер.

TDSSKiller.rar

TDSSKiller.rar

[Юрий Паршин 330]

А вот и новый киллер.

И уже здесь: http://support.kaspersky.ru/viruses/solutions?qid=208636926

[Danilka 678]

Добавлю - видит и лечит.

[vaber 350]

Так же детектирует активным в системе и позволяет копировать инфицированный руткитом системный драйвер антируткит от VBA - Vba32 AntiRootKit 3.12.5.0 beta.

[rkhunter 150]

Удивляюсь как они столько времени протянули со своим фиксом, ведь эта "бага" сразу бросалась в глаза, еще с первой версии. Как следствие оказалось, что самые простые способы чтения диска - SPTI оказались самыми верными и надежными.

[sww 486]

Удивляюсь как они столько времени протянули со своим фиксом, ведь эта "бага" сразу бросалась в глаза, еще с первой версии. Как следствие оказалось, что самые простые способы чтения диска - SPTI оказались самыми верными и надежными.

До поры до времени. Я так не считаю, надо уходить глубже.

[rkhunter 150]

Я так не считаю, надо уходить глубже.

И отхватывать больше )

[miky 0]

Сериал tdl3 vs AV labs ...

[kvit.v 45]

Сериал tdl3 vs AV labs ...

белые начинают и выигрывают хотю в этой партии белые - это черные.. но сути сражения не меняет...

[sww 486]

И отхватывать больше )

Все зависит от прямоты рук, ну ты в курсе

[vaber 350]

update

[main]quote=Everybody's a jerk. You, me, this jerk. That's just my philosophyversion=3.271botid=xxxaffid=20025subid=0installdate=26.2.2010 18:21:24builddate=26.2.2010 18:0:2[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/wspservers=http://j00k877x.cc/;http://b11335599.cn/popupservers=http://m3131313.cn/version=3.741

В данной версии обошли лечение у TDSSKiller.

Ребята очень внимательно следят за новостями от вендоров