Rustock.C

ESS 5.0 vs. TDL4 (Olmarik)

В этой теме 16 сообщений

Все предыдущие версии антивирусного комплекса ESET не могли обнаруживать активное присутствие буткита TDL4 (хотя неоднократно исследовали данную угрозу и делали отчет о рутките :lol: )

И вот свершилось хоть что-то: новая пятёрка от ESET видит угрозу в памяти и оповещает об этом, но сделать, как и прежде, ничего не может :(

ESET не особо торопится внедрять средства по анализу и удалению сложного вредоносного ПО. Ну хоть утилитка есть для удаления Win32/OlmarikTdl4 (обновлённая последний раз 10 июня)

Проблема заключается в том, что рядовые пользователи подвержены большому риску и надеемя, что в скором времени ESET реализует механизмы по удалению подобного вредоносного ПО в своих продуктах. :)

Снимок.PNG

post-12086-1316201530_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поэтому вся надежда на HIPS. А он мне доверия не внушает :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

Вот так и начинается холивар!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Виталика сюда, он нам расскажет что к чему :)

Насколько помню, у Norton с этим дела не лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

Я прекрасно знаю, как обстоят с этим дела у Symantec.

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

А при чём тут Вы, тут мы говорим с Rustock.C, и тема посвящена детектированию.

Так и начинается холивар!

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Тогда без претензий. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

есть у них такая штукенция которая называется SysInspector, а к ней приблуда ServiceScript которая позволяет удалять необходимое после анализа лога SysInspector. Правда, когда я пробовал его тестировать(года 2 назад) он не мог почти ничего удалить.

Вот ссылка на канал Веталега(http://www.youtube.com/user/nodikess), он там описует как боротся с Mebroot(Sinowal). И вроде с TDL правда какой версии не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Угу. Проверил только что. SysInspector засёк заразу.

MD5: e0a59774e59c946b7f3c89eec33418c3

tdl4.PNG

post-12086-1316277845_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

 

Типа, месяца для этого недостаточно ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Типа, месяца для этого недостаточно ? :)

Самый быстрый антивирус, фигли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня на виртуалке стоит ESS 5.0. И если честно, то ни сканер, ни SysInspector не видят активный TDL4. Только фаервол блокирует некоторые адреса к которым TDL4 подключается. Руткит по версии Dr.Web: Backdoor.TDSS.4005. Вроде очень старый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Это я знаю. Весь прикол в том "мой" дроппер TDL4 палится всем чем можно(нодом тоже), а руткит тоже не зиродей. Лично я знаю что сам руткит детектят Avast, BitDefender, GDATA, Dr.web, Kaspersky. Версия по Др.Веб, Backdoor.TDSS.4005 который появился вроде в прошлом году и является вроде одним из первых в семействе TDL4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS