Перейти к содержанию

Recommended Posts

Arakcheev
Дополню - DrWeb не лечит заражение TDL3 уже как два месяца (точнее сказать, не видит зараженный драйвер при активном рутките).

Поправка. Релиз не умеет. Бета умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Пользователям стало легче.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Пользователям стало легче.

Кстати, я ошибся - не два месяца, а больше - то самое обновление руткита вышло 19 мая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Где ее можно взять? Тут пустая папка: http://beta.drweb.com/files/?p=%2Fcureit

Бета-курит обновляется реже.

А сама бета тут:

http://beta.drweb.com/files/?p=win%2Fws

Но ее надо устанавливать, и очень желательно на реальное железо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Поправка. Релиз не умеет. Бета умеет.

Вызывающе неверная информация.

В бете наличествует сборка drweb32w.exe (6.00.2.05140), которая инфицированный TDL3 драйвер не видит. Данная проблема исправлена, но фикс не выпускали пока в бету.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Вызывающе неверная информация.

В бете наличествует сборка drweb32w.exe (6.00.2.05140), которая инфицированный TDL3 драйвер не видит. Данная проблема исправлена, но фикс не выпускали пока в бету.

Так может пора уже?

Бета на то и есть, чтобы проверить новые технологии не только в тестлабе на весьма ограниченном количестве железа/драйверов, а и на достаточно широком спектре оборудования у всех добровольцев, или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Так может пора уже?

Бета на то и есть, чтобы проверить новые технологии не только в тестлабе на весьма ограниченном количестве железа/драйверов, а и на достаточно широком спектре оборудования у всех добровольцев, или нет?

До уха долетало, что, вроде, осенью сканер обновят в бете. Утверждать не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
До уха долетало, что, вроде, осенью сканер обновят в бете. Утверждать не буду.

Мда :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Откорректировал название темы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Кстати, хотел бы дополнить. Как уже говорили в основном заражение прослеживается в США и в ботнете 3+ миллионов машин. И ХИПС не поможет при инсталляции. Так что остается лечение, которого у Симантека нет и будет еще не скоро, если вообще будет. Это к вопросу об актуальности угрозы от симафагов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
И ХИПС не поможет при инсталляции.

Т.е. алертов не будет, я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Кстати, может кто поделиться семлом, посвежее 15 марта?

Хочу кое-что проверить.

Можно несколько.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Тот семпл, что дал мне ak_.

Запустил его на виртуалке со специально "старыми" базами. НИС 2010. SONAR пропустил его. Никаких алертов, ничего. Только "самоудалялся" зловред долго. Около 30 секунд.

Завтра попробую на бете 2011 НИС.

Но мне кажется что ничего не изменится...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Дропер проверяет, выполняется ли он в среде виртуальной машины, читая содержимое регистра LDTR, содержащего селектор сегмента, в котором располагается локальная таблица дескрипторов сегментов. Данная таблица используется для вычисления линейного адреса из пары селектор_сегмента: смещение. ОС семейства Microsoft Windows не используют локальные таблицы дескрипторов сегментов и инициализируют регистр LDTR нулевым значением. В то же время, большинство современных виртуальных машин (VMware, Virtual PC и т.д.) их используют и, следовательно, инициализируют регистр LDTR значением, отличным от нуля. Этот факт используется вредоносным программным обеспечением для детектирования выполнения в виртуальной среде.

Получается, что на виртуалке он не отрабатывает, может поэтому SONAR не реагирует?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Может быть.

Но файл самоуничтожается.

А на реальной системе... хех. :D

В то же время, большинство современных виртуальных машин (VMware, Virtual PC и т.д.) их используют и, следовательно, инициализируют регистр LDTR значением, отличным от нуля.

Большинство, не значит "все". Уже радует. Остаётся только узнать какие...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Всё, тестировать смысла нет, т.к. в "облаке", уже есть сигнатура.

А если в "облаке" есть, то значит СОНАР по-любому среагирует. (информация из облака запрашивается)

А я хотел проверить именно без любого намёка на детект.

d5e55913867et.jpg

И ещё... на виртуалке ТДСС Киллер от ЛК ничего не находит. Или ещё не знает, или заражения не было и правда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Так может пора уже?

Ну вот, как раз и обновился сканер в бете (сборка drweb32w.exe: 6.00.3.08091). Инфицированный TDSS драйвер обнаруживается.

dw_tdss_cure.PNG

post-270-1281373618_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

А лечит?

Вроде как да -- после запрошенной сканером перезагрузки система жива.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ЖЖЖ
А если в "облаке" есть, то значит СОНАР по-любому среагирует. (информация из облака запрашивается)

Значит продукты Symantec будут видеть вредоносец, при подключенном интернете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Значит продукты Symantec будут видеть вредоносец, при подключенном интернете?

Конечно. Уже детект пришёл с базами, так что с базами по-любому увидит, если обновлять. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Пожалуйста продемонстрируйте скриншот детекта активного руткита TDL3 при помощи Symantec или противодействие инсталяции TDL3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Значит продукты Symantec будут видеть вредоносец, при подключенном интернете?

Нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×