Перейти к содержанию
Rustock.C

ESS 5.0 vs. TDL4 (Olmarik)

Recommended Posts

Rustock.C

Все предыдущие версии антивирусного комплекса ESET не могли обнаруживать активное присутствие буткита TDL4 (хотя неоднократно исследовали данную угрозу и делали отчет о рутките :lol: )

И вот свершилось хоть что-то: новая пятёрка от ESET видит угрозу в памяти и оповещает об этом, но сделать, как и прежде, ничего не может :(

ESET не особо торопится внедрять средства по анализу и удалению сложного вредоносного ПО. Ну хоть утилитка есть для удаления Win32/OlmarikTdl4 (обновлённая последний раз 10 июня)

Проблема заключается в том, что рядовые пользователи подвержены большому риску и надеемя, что в скором времени ESET реализует механизмы по удалению подобного вредоносного ПО в своих продуктах. :)

Снимок.PNG

post-12086-1316201530_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Поэтому вся надежда на HIPS. А он мне доверия не внушает :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov
Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

Вот так и начинается холивар!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Виталика сюда, он нам расскажет что к чему :)

Насколько помню, у Norton с этим дела не лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

Я прекрасно знаю, как обстоят с этим дела у Symantec.

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

А при чём тут Вы, тут мы говорим с Rustock.C, и тема посвящена детектированию.

Так и начинается холивар!

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Тогда без претензий. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

есть у них такая штукенция которая называется SysInspector, а к ней приблуда ServiceScript которая позволяет удалять необходимое после анализа лога SysInspector. Правда, когда я пробовал его тестировать(года 2 назад) он не мог почти ничего удалить.

Вот ссылка на канал Веталега(http://www.youtube.com/user/nodikess), он там описует как боротся с Mebroot(Sinowal). И вроде с TDL правда какой версии не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Угу. Проверил только что. SysInspector засёк заразу.

MD5: e0a59774e59c946b7f3c89eec33418c3

tdl4.PNG

post-12086-1316277845_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

И тут же получил оплеуху :o

оооо.PNG

post-12086-1316278569_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

 

Типа, месяца для этого недостаточно ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Типа, месяца для этого недостаточно ? :)

Самый быстрый антивирус, фигли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

У меня на виртуалке стоит ESS 5.0. И если честно, то ни сканер, ни SysInspector не видят активный TDL4. Только фаервол блокирует некоторые адреса к которым TDL4 подключается. Руткит по версии Dr.Web: Backdoor.TDSS.4005. Вроде очень старый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Это я знаю. Весь прикол в том "мой" дроппер TDL4 палится всем чем можно(нодом тоже), а руткит тоже не зиродей. Лично я знаю что сам руткит детектят Avast, BitDefender, GDATA, Dr.web, Kaspersky. Версия по Др.Веб, Backdoor.TDSS.4005 который появился вроде в прошлом году и является вроде одним из первых в семействе TDL4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Знак GPU  на груди у него больше не знали о нём ничего. ProcessHacker Source code: https://processhacker.sourceforge.io/downloads.php + https://github.com/processhacker/processhacker/blob/569da8a8d9c581c5c744cf2146f9b746766395ed/plugins/ExtendedTools/gpumon.c И в Process Explorer   Который уже раз пишу...
    • demkd
      кто-то невнимательно читал: В окно информации о процессе добавлены проценты загрузки CPU с момента создания процесса Кода-нибудь добавлю.
    • PR55.RP55
      Demkd "CPU" =. Похоже, что с защищёнными процессами это не работает. Запустил в несколько потоков сканирование в ESET  показывает нагрузку в 1-2% При том, что архивация в 7-zip под 50% --------- И всё таки одно дело когда работает центральный процессор... Например на старых версиях Intel Atom  всегда нагружен под завязку и это мало о чём говорит. Другое дело если процесс работает с видео картой. Я бы добавил к инфо. данные по: GPU  
    • stepangrnec
      купить лотерейный билет лото  мгновенная лотерея онлайн 
    • demkd
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}
      Windows.StateRepositoryPS.dll используется в ShellExperienceHost.exe, который в результате и рубится из-за исключения уже в другой библиотеке - StartUI.dll при нажатии на кнопку меню с виндовым флажком, как это связано с Windows.StateRepositoryPS.dll не совсем ясно, поскольку в событиях не видно никаких проблем с соответствующим ему COM.
      "Для них недостаточно просто назначить Full Access для Everyone" тут это прокатывает и все работает если впрямую назначить Everyone и дать полный доступ, а uVS ранее просто и незатейливо сбрасывал dacl в null и отключал наследование, что если верить msdn обеспечивает полный доступ к ключу всем и оно так и есть, но как оказалось нравится это не всем причем таким странным образом, поэтому теперь и dacl и owner всегда возвращаются в исходное состояние во избежании.
×