Перейти к содержанию

Recommended Posts

vaber
[main]quote=Everybody's a jerk. You, me, this jerk. That's just my philosophyversion=3.27botid=xxxaffid=20073subid=0installdate=24.2.2010 20:48:18builddate=24.2.2010 15:42:7[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/wspservers=http://j00k877x.cc/;http://b11335599.cn/popupservers=http://m3131313.cn/version=3.741

Сегодня вышла новая версия данного руткита (3.27). Начиная с этой версии спец утилиты для его лечения перестали работать. Это касается тех, кто использовал SPTI для доступа к диску: tdss_remover от Esage Lab, Hitman Pro. Так же теперь его не обнаруживают DrWeb (патченный файл на диске) и TDSSKiller от ЛК.

Выше привиден config файл этого руткита, где можно видеть дату сборки руткита, дату инсталляции в системе, сообщение реверсерам)) и сервера, необходимые для работы user mode компоненты (dll, которая инжектится в системные процессы) и ее версию.

Так же изменилась ф-ция инжекта троянской dll в процесс спулера - теперь нет необходимости трояну копировать свою библиотеку в директорию спулера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

c84bf1e3a108t.jpg 64e37f31c0det.jpg 7c55c781e435t.jpg

Но атаки же отбиваются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Но атаки отбиваются.

Это к чему? :) Какие атаки?)).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Какие атаки?)).

С китайских _https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/_ серверов из кода.

Значит они известны. Если известна сигнатура атаки, то система предотвращения вторжений автоматически уничтожает пакет и прерывает соединение с компьютером, отправившем данные. Руткит окажется заперт. Разве нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
С китайских _https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/_ серверов из кода.

Андрей-001!

Не стоит писать первые пришедшие мысли в голову, ок? ;) Разберитесь не много в теме:

http://forum.sysinternals.com/forum_posts....=21266&PN=1

Там много информации от бета-тестеров TDL3 :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

vaber

ОК! Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Значит они известны. Если известна сигнатура атаки, то система предотвращения вторжений автоматически уничтожает пакет и прерывает соединение с компьютером, отправившем данные.

Да, эти сайты занесли в базу. Это не сигнатура, просто занесли в черный список данные хосты. Данные в данном случае отправляет Ваш компьютер. Он как был бы зараженным, так и оставался бы ;) Это всего лишь может свидетельствовать о том, что что-то в системе не чисто ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik
Сегодня вышла новая версия данного руткита (3.27). Начиная с этой версии спец утилиты для его лечения перестали работать.

А детект уже есть? Насколько я понял, несмотря на то что новая версия руткита только сегодня вышла, вы уже образец на руках имеете. Или не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А детект уже есть? Насколько я понял, несмотря на то что новая версия руткита только сегодня вышла, вы уже образец на руках имеете. Или не так?

тут нужно понимать - что мой образец уникальный. Через пару часов он будет перепакован полиморным пакером. АВ вендоры стараются по мере возможности добавлять generic-детект на инсталляки, драйвер - но все-равно есть некоторый промежуток времени после "чистки" пакера, когда файл почти ни кем не детектируется и пользователь может быть заражен. Мой семпл может хоть всеми детектироваться, но через 2 часа его перепакуют и детект будет только у тех, кто не интересен вирмейкерам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

имеет иначе бы первый пост был без вставки код=))

Вабер дай погонять=))

нашел не надо уже=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
имеет иначе бы первый пост был без вставки код=))

Вабер дай погонять=))

нашел не надо уже=))

прокрути на вирустотале и скинь сюда линк, хочу с моим сравнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Так же теперь его не обнаруживают DrWeb (патченный файл на диске) и TDSSKiller от ЛК.

На сколько мне известно, наш киллер его обнаруживает. У него с 3.7 другая проблема - зависает при лечении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
На сколько мне известно, наш киллер его обнаруживает.

Да, имелось ввиду, что у TDSSKiller так же как и у DrWeb нет детекта файла на диске. В памяти детект есть как у TDSSKiller,так и у KAV/KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А вот и новый киллер.

TDSSKiller.rar

TDSSKiller.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Добавлю - видит и лечит. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Так же детектирует активным в системе и позволяет копировать инфицированный руткитом системный драйвер антируткит от VBA - Vba32 AntiRootKit 3.12.5.0 beta. ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Удивляюсь как они столько времени протянули со своим фиксом, ведь эта "бага" сразу бросалась в глаза, еще с первой версии. Как следствие оказалось, что самые простые способы чтения диска - SPTI оказались самыми верными и надежными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Удивляюсь как они столько времени протянули со своим фиксом, ведь эта "бага" сразу бросалась в глаза, еще с первой версии. Как следствие оказалось, что самые простые способы чтения диска - SPTI оказались самыми верными и надежными.

До поры до времени. Я так не считаю, надо уходить глубже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Я так не считаю, надо уходить глубже.

И отхватывать больше )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
miky

Сериал tdl3 vs AV labs ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Сериал tdl3 vs AV labs ...

белые начинают и выигрывают :) хотю в этой партии белые - это черные.. но сути сражения не меняет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
И отхватывать больше )

Все зависит от прямоты рук, ну ты в курсе :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

update

[main]quote=Everybody's a jerk. You, me, this jerk. That's just my philosophyversion=3.271botid=xxxaffid=20025subid=0installdate=26.2.2010 18:21:24builddate=26.2.2010 18:0:2[injector]*=tdlcmd.dll[tdlcmd]servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.65/wspservers=http://j00k877x.cc/;http://b11335599.cn/popupservers=http://m3131313.cn/version=3.741

В данной версии обошли лечение у TDSSKiller.

Ребята очень внимательно следят за новостями от вендоров :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×