Перейти к содержанию

Recommended Posts

Dmitriy K

Небольшой рескан. Доктор стал определять. На комода внимания не обращаем - детектит по хэшу.

https://www.virustotal.com/file/8ccddae1086...sis/1329156487/

https://www.virustotal.com/file/2ecdfa1e211...sis/1329156483/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Попробовал, понравилось. :) Раньше не пользовался. Спасибо.

K_Mikhail, повторил заражение на 3-х снимках виртуалки. У меня тоже третий не перезагрузил машину :)

Потому как, как выясняется, третий семпл - отличная от первых двух семплов версия.

Если между первыми двумя дампами VBR разница невелика:

1_2.PNG

то между дампами VBR первого и третьего (который не перегружает машину) разница более заметна:

1_3.PNG

И вот как раз дамп этого самого третьего оказался вне поля зрения добавленной сегодня записи Trojan.Mayachok.2, хотя все оставшиеся дропперы и дампы их VBR были мной отправлены ещё вчера в вируслаб Dr.Web.

https://www.virustotal.com/file/6a536a0bb1e...9a2fd/analysis/

-----------------------------------------------------------------------------Start scanning-----------------------------------------------------------------------------Limit the use of the processor to 50%Object(s) to scan:- F:\Virtualbox_share\xx\9\500\$Boot_2020.dmp- F:\Virtualbox_share\xx\9\500\$Boot_2030.dmp- F:\Virtualbox_share\xx\9\500\$Boot_3000.dmpF:\Virtualbox_share\xx\9\500\$Boot_2020.dmp - infected with Trojan.Mayachok.2F:\Virtualbox_share\xx\9\500\$Boot_2030.dmp - infected with Trojan.Mayachok.2F:\Virtualbox_share\xx\9\500\$Boot_2020.dmp - infected, incurable - 937ms, 8192 bytesF:\Virtualbox_share\xx\9\500\$Boot_2030.dmp - infected, incurable - 1007ms, 8192 bytesF:\Virtualbox_share\xx\9\500\$Boot_3000.dmp - Ok - 1405ms, 8192 bytes

post-270-1329157514_thumb.png

post-270-1329157573_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN

Насчет дампов я как раз разговариваю с аналитиком. Думаю, завтра будет все добавлено...

А с каким у DrWeb 7.0 возникли проблемы с лечением?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Насчет дампов я как раз разговариваю с аналитиком. Думаю, завтра будет все добавлено...

Я даже знаю кем именно.

А с каким у DrWeb 7.0 возникли проблемы с лечением?

Я подожду пока всё не будет корректно детектироваться, потом сам, если не будет лень и будет воспроизводиться, накатаю репорт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Я подожду пока всё не будет корректно детектироваться, потом сам, если не будет лень и будет воспроизводиться, накатаю репорт.

Оставьте это мне :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Оставьте это мне :)

Та на здоровье и да пребудет с Вами кЭпочка. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Та на здоровье и да пребудет с Вами кЭпочка. :)

:P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

С сегодняшними базами вышел детект бут-сектора семейства Mayachok ( Rootlit.Boot.Cidox.B )

Чуть подробнее тут: http://virusblokada.blog.tut.by/2012/02/14...achok/#more-287

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN

В DrWeb 7.0 добавлено лечение BOOT-секторов с перезагрузкой. :rolleyes:

Cure.png

Контрольный перескан:

1) 2020.exe

Дроппер

VBR

MBR

2) 2030.exe

Дроппер

VBR

MBR

3) 3000.exe

Дроппер

VBR

MBR

post-10714-1329243164_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Знать бы еще, что за ключик такой... ^_^

Генерируется как и раньше в HKLM\Software\Classes\CLSID

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
вири часто палят именно VM, и не хотят её юзать.

Насколько я понял отсюда Studying Cidox, маячок детектирует виртуалки от VMware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Товарищи, не забывайте, что этот руткит работает и под x64. А там ситуация с лечением печальнее.

П.С. Если кто захочет проверить KIS 2012 и Cidox на x64, то для него нужно обновление антируткита (источник обновлений ftp://dnl-test.kaspersky-labs.com/test/tim2).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Насколько я понял отсюда Studying Cidox, маячок детектирует виртуалки от VMware.

Не, и там про первый вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
В DrWeb 7.0 добавлено лечение BOOT-секторов с перезагрузкой. :rolleyes:

MBR

А MBR здесь причём?

P.S. Я недаром же написал, что Вы прошли мимо истины. Хоть и близко. Хотя бы потому, что исправление пока находится в бете, ещё не выпущено в релиз. Ну, и есть пара моментов, о которых Вы, очевидно, не знаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
Не, и там про первый вариант.

Я правильно понимаю, что буткитный маячок имеет мало отношения к классическому, который в AppInit_DLLs прописывается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
А MBR здесь причём?

P.S. Я недаром же написал, что Вы прошли мимо истины. Хоть и близко. Хотя бы потому, что исправление пока находится в бете, ещё не выпущено в релиз. Ну, и есть пара моментов, о которых Вы, очевидно, не знаете.

А исправление под x64 будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А исправление под x64 будет?

По х64 пока ничего сказать не могу. Сейчас сам ещё попробую посмотреть...

... Должно ж быть, по идее, если есть что исправлять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Посмотрел х64 - пока всё плохо. После ребута VBR остаётся инфицированным. О чём уведомил разработчиков.

UPD TDSSKiller на х64 лечит корректно.

Скрины не делал - в одном случае лень, а в другом - не успеваю поймать момент, где пишет Cure error.

UPD 2 Ну, вот так разве что:

-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Active OS/2 or NT Boot Sector HDD0 Partition1 - incurableHDD0 Active OS/2 or WinNT Boot Sector - infected, write error

Похоже, даёт о себе знать IRP хук, о котором Юрий говорил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Товарищи, не забывайте, что этот руткит работает и под x64. А там ситуация с лечением печальнее.

П.С. Если кто захочет проверить KIS 2012 и Cidox на x64, то для него нужно обновление антируткита (источник обновлений ftp://dnl-test.kaspersky-labs.com/test/tim2.

А что обновление ещё в общие базы не вышло ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А что обновление ещё в общие базы не вышло ?

Нам страшно :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
Я правильно понимаю, что буткитный маячок имеет мало отношения к классическому, который в AppInit_DLLs прописывается?

Да. Там dll'ка загружается в пространство каждого процесса и никакого заражения VBR.

Некоторые вендоры даже дали разный детект для Маячка.1 и Маячка.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
А что обновление ещё в общие базы не вышло ?

По данной ссылке - обновление антируткита, детект и лечение Cidox-а в общих базах еще с субботы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
По данной ссылке - обновление антируткита, детект и лечение Cidox-а в общих базах еще с субботы.

А, да-да, я значит про другое обновление ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А, да-да, я значит про другое обновление ;)

А точно в том "обновлении" заявлено то, что действительно "обновилось"? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×