ESS 5.0 vs. TDL4 (Olmarik) - Eset NOD32 Antivirus & Smart Security - Форумы Anti-Malware.ru Перейти к содержанию
Rustock.C

ESS 5.0 vs. TDL4 (Olmarik)

Recommended Posts

Rustock.C

Все предыдущие версии антивирусного комплекса ESET не могли обнаруживать активное присутствие буткита TDL4 (хотя неоднократно исследовали данную угрозу и делали отчет о рутките :lol: )

И вот свершилось хоть что-то: новая пятёрка от ESET видит угрозу в памяти и оповещает об этом, но сделать, как и прежде, ничего не может :(

ESET не особо торопится внедрять средства по анализу и удалению сложного вредоносного ПО. Ну хоть утилитка есть для удаления Win32/OlmarikTdl4 (обновлённая последний раз 10 июня)

Проблема заключается в том, что рядовые пользователи подвержены большому риску и надеемя, что в скором времени ESET реализует механизмы по удалению подобного вредоносного ПО в своих продуктах. :)

Снимок.PNG

post-12086-1316201530_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Поэтому вся надежда на HIPS. А он мне доверия не внушает :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov
Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

Вот так и начинается холивар!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Виталика сюда, он нам расскажет что к чему :)

Насколько помню, у Norton с этим дела не лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

Я прекрасно знаю, как обстоят с этим дела у Symantec.

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

А при чём тут Вы, тут мы говорим с Rustock.C, и тема посвящена детектированию.

Так и начинается холивар!

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Тогда без претензий. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

есть у них такая штукенция которая называется SysInspector, а к ней приблуда ServiceScript которая позволяет удалять необходимое после анализа лога SysInspector. Правда, когда я пробовал его тестировать(года 2 назад) он не мог почти ничего удалить.

Вот ссылка на канал Веталега(http://www.youtube.com/user/nodikess), он там описует как боротся с Mebroot(Sinowal). И вроде с TDL правда какой версии не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Угу. Проверил только что. SysInspector засёк заразу.

MD5: e0a59774e59c946b7f3c89eec33418c3

tdl4.PNG

post-12086-1316277845_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

И тут же получил оплеуху :o

оооо.PNG

post-12086-1316278569_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

 

Типа, месяца для этого недостаточно ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Типа, месяца для этого недостаточно ? :)

Самый быстрый антивирус, фигли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

У меня на виртуалке стоит ESS 5.0. И если честно, то ни сканер, ни SysInspector не видят активный TDL4. Только фаервол блокирует некоторые адреса к которым TDL4 подключается. Руткит по версии Dr.Web: Backdoor.TDSS.4005. Вроде очень старый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Это я знаю. Весь прикол в том "мой" дроппер TDL4 палится всем чем можно(нодом тоже), а руткит тоже не зиродей. Лично я знаю что сам руткит детектят Avast, BitDefender, GDATA, Dr.web, Kaspersky. Версия по Др.Веб, Backdoor.TDSS.4005 который появился вроде в прошлом году и является вроде одним из первых в семействе TDL4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
×