VBR Rootkit (Mayachok.2) вернулся - Страница 3 - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

CatalystX

Маячок это полу-концепт VBR руткита. Он просто показал возможность заражения VBR, не более того. Он жестко палится в системе, не имеет защиты от проактивок и аверов. Мне кажется, что если бы за VBR взялись авторы TDL/TDSS, то это бы превратилось в большую головную боль для вендоров. TDL3/4 сейчас лечат, ну 4-6 вендоров, в линейках 2012 некоторые вендоры добавили лечение TDL4, точно знаю что это BitDefender и Symantec. Правда со своими косяками. Дефендер лечит втихаря(никаких алертов и даже записей в отчете), а Симантек может находить зараженную MBR и исправлять ее, может не находить ее, а детектить соединения с серверами и отправлять за спец.утилитой, но есть и третий вариант - детект то ли tmp-файла, то ли драйвера и отправка за спец.утилитой.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
Это детект VBR :facepalm:

222253.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
222253.png

Это УГ подрисовка к моей эпичной картинке не в пользу Комода :lol:

Нет конкретного и чёткого детекта VBR. То есть это тупое добавление сиги по MD5/SHA256/SHA1 роботом-вором из лабы Комода. Этому детекту грош цена, так как продукт технически не может обнаружить эту угрозу и тем более её вылечить. А, ну и лечить то что? Unclassified Malware :facepalm::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Посмотрел х64 - пока всё плохо. После ребута VBR остаётся инфицированным. О чём уведомил разработчиков.

UPD TDSSKiller на х64 лечит корректно.

Скрины не делал - в одном случае лень, а в другом - не успеваю поймать момент, где пишет Cure error.

UPD 2 Ну, вот так разве что:

-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Active OS/2 or NT Boot Sector HDD0 Partition1 - incurableHDD0 Active OS/2 or WinNT Boot Sector - infected, write error

Похоже, даёт о себе знать IRP хук, о котором Юрий говорил...

Проверил лечение DrWeb-ом на Windows 7 x64. Проблемы есть только при лечении на виртуалке. На нормальной машине все лечится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Проверил лечение DrWeb-ом на Windows 7 x64. Проблемы есть только при лечении на виртуалке. На нормальной машине все лечится.

А проверяли ли, что руткит активен? Хотя бы попытаясь записать в VBR вручную с помощью HEX-редактора? Или снять ядерный дамп и проверить наличие перехвата?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Проверил лечение DrWeb-ом на Windows 7 x64. Проблемы есть только при лечении на виртуалке. На нормальной машине все лечится.

Я это и без вас всё знаю. ;) И не только это.

А проверяли ли, что руткит активен? Хотя бы попытаясь записать в VBR вручную с помощью HEX-редактора?

Не взрывай мозг RomaNNN таким словом как "HEX-редактор" :) -- у него даже баг-репорт по лечению является компиляцией постов с данного топика других людей, включая дословно твой (про MJ_SCSI).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Не взрывай мозг RomaNNN таким словом как "HEX-редактор" :) -- у него даже баг-репорт по лечению является компиляцией постов с данного топика других людей, включая дословно твой (про MJ_SCSI).

Вы мой баг репорт не могли видеть, т.к. он находится в трекере и он приватный :). Но насчет MJ_SCSI вы правы - я скопировал отсюда.

А проверяли ли, что руткит активен? Хотя бы попытаясь записать в VBR вручную с помощью HEX-редактора? Или снять ядерный дамп и проверить наличие перехвата?

Проверял. Антируткит при сканировании VBR виснет намертво.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Проверял. Антируткит при сканировании VBR виснет намертво.

Это признак активности руткита? :o

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Вы мой баг репорт не могли видеть, т.к. он находится в трекере и он приватный :). Но насчет MJ_SCSI вы правы - я скопировал отсюда.

Вот именно. :) За вами вообще забавно наблюдать - начиная от того, как вы побираетесь на этом ресурсе по личкам с просьбами поделиться семплами (начиная от приснопамятного Bubnix.3 ;) ) и заканчивая расспросами по особенностям воспроизведения проблем с лечением с последующей ретрансляцией этих изысков на ресурсах Dr.Web якобы вы всё сами нашли. :)

P.S. Зов кЭпочки сильнее инстинкта размножения. :)

Это признак активности руткита? :o

Пусть сам думает и работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Это признак активности руткита? :o

Ну как бэ это руткит не дает доступа к VBR. Разве нет?

Проверю HEX редактором перезаписать...

За вами вообще забавно наблюдать - начиная от того, как вы побираетесь на этом ресурсе по личкам с просьбами поделиться семплами (начиная от приснопамятного Bubnix.3 ) и заканчивая расспросами по особенностям воспроизведения проблем с лечением с последующей ретрансляцией этих изысков на ресурсах Dr.Web якобы вы всё сами нашли.

Ну если вам удобно это назвать побиранием, то называйте. Я просто попросил у вас семпл, который более нигде не нашел. Насчет расспросов по особенностям воспроизведения проблем - да, я спрашивал, т.к. у меня не хотели заражаться сначала ни реальная машина, ни виртуальная.

Покажите, где я сказал, что я сам все нашел? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ну если вам удобно это назвать побиранием, то называйте. Я просто попросил у вас семпл, который более нигде не нашел. Насчет расспросов по особенностям воспроизведения проблем - да, я спрашивал, т.к. у меня не хотели заражаться сначала ни реальная машина, ни виртуальная.

Покажите, где я сказал, что я сам все нашел? :)

Придётся немного плотнее этим заняться...

1.

Попался мне в руки новый образец маячка (Trojan.Mayachok.5)...

Если правильно помните, я проигнорировал вашу просьбу дать семпл. Но, тем не менее, семплы у вас появились.

2.

Так же перехватывает IRP_MJ_SCSI в порт-драйвере, тем самым защищая VBR от изменения.

Это отсюда

3.

DrWeb 6.0 лечит его нормально, а вот DrWeb 7.0 (релиз и beta) на этапе лечения пишет "Cure error".

Это взято отсюда.

И всё под видом "сам нашёл", без указания первоисточников. :)

Т.е. вся полезная инфа получена с использованием форума Anti-Malware.ru, но, тем менее, когда-то не гнушались писать вот такие вещи. И после них выпрашивался Bubnix.3, все сообщения сохранены.

Выводы делайте сами. В частности, на счёт побирательства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Придётся немного плотнее этим заняться...

1.

Если правильно помните, я проигнорировал вашу просьбу дать семпл. Но, тем не менее, семплы у вас появились.

2.

Это отсюда

3.

Это взято отсюда.

И всё под видом "сам нашёл", без указания первоисточников. :)

1. Да, сэмплы я сам накопал.

2. Да, насчет драйвера я скопировал, уже говорил.

3. Я перепроверял лечение перед тем как выложить в тему.

Тем не менее, выражаю вам благодарность за подробную информацию о проблемах лечения DrWeb-ом данного сэмпла и приношу извинения за то, что тогда написал на форуме DrWeb... :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

OK, принято.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

История повторяется: http://blog.eset.com/2012/07/13/rovnix-boo...amework-updated .

P.S. Причём, как это всегда и бывает, повторяется по спирали -- и вновь в активном состоянии вредонос выносится "из коробки" только VBA32Arkit-ом и Tdsskiller-ом. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
P.S. Причём, как это всегда и бывает, повторяется по спирали -- и вновь в активном состоянии вредонос выносится "из коробки" только VBA32Arkit-ом и Tdsskiller-ом. :)

Да ладно - всей линейкой продуктов лечим зараженные тачки)) и на x86 и на x64

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Есть такое заражение

https://www.virustotal.com/ru/file/9fa40181...sis/1372529132/

https://www.virustotal.com/ru/file/90498391...f849d/analysis/

свежий tdsskiller не видит, как так? да, и как то нод не удел)

9284e0b229.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

А вот доктор молодца)

9619bf4023.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×