Перейти к содержанию
Rustock.C

ESS 5.0 vs. TDL4 (Olmarik)

Recommended Posts

Rustock.C

Все предыдущие версии антивирусного комплекса ESET не могли обнаруживать активное присутствие буткита TDL4 (хотя неоднократно исследовали данную угрозу и делали отчет о рутките :lol: )

И вот свершилось хоть что-то: новая пятёрка от ESET видит угрозу в памяти и оповещает об этом, но сделать, как и прежде, ничего не может :(

ESET не особо торопится внедрять средства по анализу и удалению сложного вредоносного ПО. Ну хоть утилитка есть для удаления Win32/OlmarikTdl4 (обновлённая последний раз 10 июня)

Проблема заключается в том, что рядовые пользователи подвержены большому риску и надеемя, что в скором времени ESET реализует механизмы по удалению подобного вредоносного ПО в своих продуктах. :)

Снимок.PNG

post-12086-1316201530_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Поэтому вся надежда на HIPS. А он мне доверия не внушает :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov
Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

Вот так и начинается холивар!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Виталика сюда, он нам расскажет что к чему :)

Насколько помню, у Norton с этим дела не лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

Я прекрасно знаю, как обстоят с этим дела у Symantec.

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

А при чём тут Вы, тут мы говорим с Rustock.C, и тема посвящена детектированию.

Так и начинается холивар!

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Тогда без претензий. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

есть у них такая штукенция которая называется SysInspector, а к ней приблуда ServiceScript которая позволяет удалять необходимое после анализа лога SysInspector. Правда, когда я пробовал его тестировать(года 2 назад) он не мог почти ничего удалить.

Вот ссылка на канал Веталега(http://www.youtube.com/user/nodikess), он там описует как боротся с Mebroot(Sinowal). И вроде с TDL правда какой версии не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Угу. Проверил только что. SysInspector засёк заразу.

MD5: e0a59774e59c946b7f3c89eec33418c3

tdl4.PNG

post-12086-1316277845_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

И тут же получил оплеуху :o

оооо.PNG

post-12086-1316278569_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

 

Типа, месяца для этого недостаточно ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Типа, месяца для этого недостаточно ? :)

Самый быстрый антивирус, фигли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

У меня на виртуалке стоит ESS 5.0. И если честно, то ни сканер, ни SysInspector не видят активный TDL4. Только фаервол блокирует некоторые адреса к которым TDL4 подключается. Руткит по версии Dr.Web: Backdoor.TDSS.4005. Вроде очень старый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Это я знаю. Весь прикол в том "мой" дроппер TDL4 палится всем чем можно(нодом тоже), а руткит тоже не зиродей. Лично я знаю что сам руткит детектят Avast, BitDefender, GDATA, Dr.web, Kaspersky. Версия по Др.Веб, Backdoor.TDSS.4005 который появился вроде в прошлом году и является вроде одним из первых в семействе TDL4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 1kryptik
      Был по работе в Новосибирске, задержался на два дня, думал сначала успеть всё за день и улететь обратно в Москву, но не успел. Пришлось искать где переночевать, нашел отличный хостел новосибирск у жд вокзала, если возникнут проблемы с проживанием, обращайтесь в этот хостел!
    • BooiCasino
    • Quinci
      Ну вы бы установщику сообщили сразу, что ноут не из новых. Может он бы и не стал вам 10-ку устанавливать. Если нет желания покупать новый ноут, то можно поставить пару планок оперативы, да и жесткий диск сменить с HDD на SSD, тогда и с 10-ой работать быстрее будет. Если винда не чистая, а скачанная откуда-нибудь с торрентов, то там, скорее всего куча программ есть и приложений. Тут https://windowsabc.ru/windows-10/kak-povysit-proizvoditelnost-noutbuka-na-windows-10/ почитайте, как их убрать, чтоб не грузили ноут. Тогда тоже будет быстрее работать. 
    • Tuki
      Мне интересны ставки на спорт. Во-первых, это интересно для каждого любителя спорта. Во-вторых, это может быть прибыльно. В общем, я сейчас делаю ставки, но пока опыта как такового нет. Хочу сменить контору на 1xbet. Условия очень хорошие. Есть сайт https://on-bet.ru/zerkala-bukmekerskih-kontor/zerkalo-1xbet/, на котором есть вся необходимая информация о зеркале этой конторы. О том, как его найти и не ошибиться.
    • Momo
      Если бы я ещё умела это делать. Спасибо, посмотрю ваш специализированный форум и там спрошу.
×