Перейти к содержанию

Recommended Posts

Dmitriy K

Небольшой рескан. Доктор стал определять. На комода внимания не обращаем - детектит по хэшу.

https://www.virustotal.com/file/8ccddae1086...sis/1329156487/

https://www.virustotal.com/file/2ecdfa1e211...sis/1329156483/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Попробовал, понравилось. :) Раньше не пользовался. Спасибо.

K_Mikhail, повторил заражение на 3-х снимках виртуалки. У меня тоже третий не перезагрузил машину :)

Потому как, как выясняется, третий семпл - отличная от первых двух семплов версия.

Если между первыми двумя дампами VBR разница невелика:

1_2.PNG

то между дампами VBR первого и третьего (который не перегружает машину) разница более заметна:

1_3.PNG

И вот как раз дамп этого самого третьего оказался вне поля зрения добавленной сегодня записи Trojan.Mayachok.2, хотя все оставшиеся дропперы и дампы их VBR были мной отправлены ещё вчера в вируслаб Dr.Web.

https://www.virustotal.com/file/6a536a0bb1e...9a2fd/analysis/

-----------------------------------------------------------------------------Start scanning-----------------------------------------------------------------------------Limit the use of the processor to 50%Object(s) to scan:- F:\Virtualbox_share\xx\9\500\$Boot_2020.dmp- F:\Virtualbox_share\xx\9\500\$Boot_2030.dmp- F:\Virtualbox_share\xx\9\500\$Boot_3000.dmpF:\Virtualbox_share\xx\9\500\$Boot_2020.dmp - infected with Trojan.Mayachok.2F:\Virtualbox_share\xx\9\500\$Boot_2030.dmp - infected with Trojan.Mayachok.2F:\Virtualbox_share\xx\9\500\$Boot_2020.dmp - infected, incurable - 937ms, 8192 bytesF:\Virtualbox_share\xx\9\500\$Boot_2030.dmp - infected, incurable - 1007ms, 8192 bytesF:\Virtualbox_share\xx\9\500\$Boot_3000.dmp - Ok - 1405ms, 8192 bytes

post-270-1329157514_thumb.png

post-270-1329157573_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN

Насчет дампов я как раз разговариваю с аналитиком. Думаю, завтра будет все добавлено...

А с каким у DrWeb 7.0 возникли проблемы с лечением?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Насчет дампов я как раз разговариваю с аналитиком. Думаю, завтра будет все добавлено...

Я даже знаю кем именно.

А с каким у DrWeb 7.0 возникли проблемы с лечением?

Я подожду пока всё не будет корректно детектироваться, потом сам, если не будет лень и будет воспроизводиться, накатаю репорт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Я подожду пока всё не будет корректно детектироваться, потом сам, если не будет лень и будет воспроизводиться, накатаю репорт.

Оставьте это мне :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Оставьте это мне :)

Та на здоровье и да пребудет с Вами кЭпочка. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Та на здоровье и да пребудет с Вами кЭпочка. :)

:P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

С сегодняшними базами вышел детект бут-сектора семейства Mayachok ( Rootlit.Boot.Cidox.B )

Чуть подробнее тут: http://virusblokada.blog.tut.by/2012/02/14...achok/#more-287

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN

В DrWeb 7.0 добавлено лечение BOOT-секторов с перезагрузкой. :rolleyes:

Cure.png

Контрольный перескан:

1) 2020.exe

Дроппер

VBR

MBR

2) 2030.exe

Дроппер

VBR

MBR

3) 3000.exe

Дроппер

VBR

MBR

post-10714-1329243164_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Знать бы еще, что за ключик такой... ^_^

Генерируется как и раньше в HKLM\Software\Classes\CLSID

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
вири часто палят именно VM, и не хотят её юзать.

Насколько я понял отсюда Studying Cidox, маячок детектирует виртуалки от VMware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Товарищи, не забывайте, что этот руткит работает и под x64. А там ситуация с лечением печальнее.

П.С. Если кто захочет проверить KIS 2012 и Cidox на x64, то для него нужно обновление антируткита (источник обновлений ftp://dnl-test.kaspersky-labs.com/test/tim2).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Насколько я понял отсюда Studying Cidox, маячок детектирует виртуалки от VMware.

Не, и там про первый вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
В DrWeb 7.0 добавлено лечение BOOT-секторов с перезагрузкой. :rolleyes:

MBR

А MBR здесь причём?

P.S. Я недаром же написал, что Вы прошли мимо истины. Хоть и близко. Хотя бы потому, что исправление пока находится в бете, ещё не выпущено в релиз. Ну, и есть пара моментов, о которых Вы, очевидно, не знаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
Не, и там про первый вариант.

Я правильно понимаю, что буткитный маячок имеет мало отношения к классическому, который в AppInit_DLLs прописывается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
А MBR здесь причём?

P.S. Я недаром же написал, что Вы прошли мимо истины. Хоть и близко. Хотя бы потому, что исправление пока находится в бете, ещё не выпущено в релиз. Ну, и есть пара моментов, о которых Вы, очевидно, не знаете.

А исправление под x64 будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А исправление под x64 будет?

По х64 пока ничего сказать не могу. Сейчас сам ещё попробую посмотреть...

... Должно ж быть, по идее, если есть что исправлять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Посмотрел х64 - пока всё плохо. После ребута VBR остаётся инфицированным. О чём уведомил разработчиков.

UPD TDSSKiller на х64 лечит корректно.

Скрины не делал - в одном случае лень, а в другом - не успеваю поймать момент, где пишет Cure error.

UPD 2 Ну, вот так разве что:

-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Active OS/2 or NT Boot Sector HDD0 Partition1 - incurableHDD0 Active OS/2 or WinNT Boot Sector - infected, write error

Похоже, даёт о себе знать IRP хук, о котором Юрий говорил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Товарищи, не забывайте, что этот руткит работает и под x64. А там ситуация с лечением печальнее.

П.С. Если кто захочет проверить KIS 2012 и Cidox на x64, то для него нужно обновление антируткита (источник обновлений ftp://dnl-test.kaspersky-labs.com/test/tim2.

А что обновление ещё в общие базы не вышло ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А что обновление ещё в общие базы не вышло ?

Нам страшно :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
Я правильно понимаю, что буткитный маячок имеет мало отношения к классическому, который в AppInit_DLLs прописывается?

Да. Там dll'ка загружается в пространство каждого процесса и никакого заражения VBR.

Некоторые вендоры даже дали разный детект для Маячка.1 и Маячка.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
А что обновление ещё в общие базы не вышло ?

По данной ссылке - обновление антируткита, детект и лечение Cidox-а в общих базах еще с субботы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
По данной ссылке - обновление антируткита, детект и лечение Cidox-а в общих базах еще с субботы.

А, да-да, я значит про другое обновление ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А, да-да, я значит про другое обновление ;)

А точно в том "обновлении" заявлено то, что действительно "обновилось"? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT

Это детект VBR :facepalm:

__________.png

post-16629-1329335051_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×