VBR Rootkit (Mayachok.2) вернулся

[CatalystX 25]

Маячок это полу-концепт VBR руткита. Он просто показал возможность заражения VBR, не более того. Он жестко палится в системе, не имеет защиты от проактивок и аверов. Мне кажется, что если бы за VBR взялись авторы TDL/TDSS, то это бы превратилось в большую головную боль для вендоров. TDL3/4 сейчас лечат, ну 4-6 вендоров, в линейках 2012 некоторые вендоры добавили лечение TDL4, точно знаю что это BitDefender и Symantec. Правда со своими косяками. Дефендер лечит втихаря(никаких алертов и даже записей в отчете), а Симантек может находить зараженную MBR и исправлять ее, может не находить ее, а детектить соединения с серверами и отправлять за спец.утилитой, но есть и третий вариант - детект то ли tmp-файла, то ли драйвера и отправка за спец.утилитой.

[newlaid 15]

Это детект VBR

[StamilT 15]

Это УГ подрисовка к моей эпичной картинке не в пользу Комода

Нет конкретного и чёткого детекта VBR. То есть это тупое добавление сиги по MD5/SHA256/SHA1 роботом-вором из лабы Комода. Этому детекту грош цена, так как продукт технически не может обнаружить эту угрозу и тем более её вылечить. А, ну и лечить то что? Unclassified Malware

[RomaNNN 5]

Посмотрел х64 - пока всё плохо. После ребута VBR остаётся инфицированным. О чём уведомил разработчиков.

UPD TDSSKiller на х64 лечит корректно.

Скрины не делал - в одном случае лень, а в другом - не успеваю поймать момент, где пишет Cure error.

UPD 2 Ну, вот так разве что:

-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Active OS/2 or NT Boot Sector HDD0 Partition1 - incurableHDD0 Active OS/2 or WinNT Boot Sector - infected, write error

Похоже, даёт о себе знать IRP хук, о котором Юрий говорил...

Проверил лечение DrWeb-ом на Windows 7 x64. Проблемы есть только при лечении на виртуалке. На нормальной машине все лечится.

[Юрий Паршин 330]

Проверил лечение DrWeb-ом на Windows 7 x64. Проблемы есть только при лечении на виртуалке. На нормальной машине все лечится.

А проверяли ли, что руткит активен? Хотя бы попытаясь записать в VBR вручную с помощью HEX-редактора? Или снять ядерный дамп и проверить наличие перехвата?

[K_Mikhail 807]

Проверил лечение DrWeb-ом на Windows 7 x64. Проблемы есть только при лечении на виртуалке. На нормальной машине все лечится.

Я это и без вас всё знаю. И не только это.

А проверяли ли, что руткит активен? Хотя бы попытаясь записать в VBR вручную с помощью HEX-редактора?

Не взрывай мозг RomaNNN таким словом как "HEX-редактор" -- у него даже баг-репорт по лечению является компиляцией постов с данного топика других людей, включая дословно твой (про MJ_SCSI).

[RomaNNN 5]

Не взрывай мозг RomaNNN таким словом как "HEX-редактор" -- у него даже баг-репорт по лечению является компиляцией постов с данного топика других людей, включая дословно твой (про MJ_SCSI).

Вы мой баг репорт не могли видеть, т.к. он находится в трекере и он приватный . Но насчет MJ_SCSI вы правы - я скопировал отсюда.

А проверяли ли, что руткит активен? Хотя бы попытаясь записать в VBR вручную с помощью HEX-редактора? Или снять ядерный дамп и проверить наличие перехвата?

Проверял. Антируткит при сканировании VBR виснет намертво.

[Юрий Паршин 330]

Проверял. Антируткит при сканировании VBR виснет намертво.

Это признак активности руткита?

[K_Mikhail 807]

Вы мой баг репорт не могли видеть, т.к. он находится в трекере и он приватный . Но насчет MJ_SCSI вы правы - я скопировал отсюда.

Вот именно. За вами вообще забавно наблюдать - начиная от того, как вы побираетесь на этом ресурсе по личкам с просьбами поделиться семплами (начиная от приснопамятного Bubnix.3 ) и заканчивая расспросами по особенностям воспроизведения проблем с лечением с последующей ретрансляцией этих изысков на ресурсах Dr.Web якобы вы всё сами нашли.

P.S. Зов кЭпочки сильнее инстинкта размножения.

Это признак активности руткита?

Пусть сам думает и работает.

[RomaNNN 5]

Это признак активности руткита?

Ну как бэ это руткит не дает доступа к VBR. Разве нет?

Проверю HEX редактором перезаписать...

За вами вообще забавно наблюдать - начиная от того, как вы побираетесь на этом ресурсе по личкам с просьбами поделиться семплами (начиная от приснопамятного Bubnix.3 ) и заканчивая расспросами по особенностям воспроизведения проблем с лечением с последующей ретрансляцией этих изысков на ресурсах Dr.Web якобы вы всё сами нашли.

Ну если вам удобно это назвать побиранием, то называйте. Я просто попросил у вас семпл, который более нигде не нашел. Насчет расспросов по особенностям воспроизведения проблем - да, я спрашивал, т.к. у меня не хотели заражаться сначала ни реальная машина, ни виртуальная.

Покажите, где я сказал, что я сам все нашел?

[K_Mikhail 807]

Ну если вам удобно это назвать побиранием, то называйте. Я просто попросил у вас семпл, который более нигде не нашел. Насчет расспросов по особенностям воспроизведения проблем - да, я спрашивал, т.к. у меня не хотели заражаться сначала ни реальная машина, ни виртуальная.

Покажите, где я сказал, что я сам все нашел?

Придётся немного плотнее этим заняться...

1.

Попался мне в руки новый образец маячка (Trojan.Mayachok.5)...

Если правильно помните, я проигнорировал вашу просьбу дать семпл. Но, тем не менее, семплы у вас появились.

2.

Так же перехватывает IRP_MJ_SCSI в порт-драйвере, тем самым защищая VBR от изменения.

Это отсюда

3.

DrWeb 6.0 лечит его нормально, а вот DrWeb 7.0 (релиз и beta) на этапе лечения пишет "Cure error".

Это взято отсюда.

И всё под видом "сам нашёл", без указания первоисточников.

Т.е. вся полезная инфа получена с использованием форума Anti-Malware.ru, но, тем менее, когда-то не гнушались писать вот такие вещи. И после них выпрашивался Bubnix.3, все сообщения сохранены.

Выводы делайте сами. В частности, на счёт побирательства.

[RomaNNN 5]

Придётся немного плотнее этим заняться...

1.

Если правильно помните, я проигнорировал вашу просьбу дать семпл. Но, тем не менее, семплы у вас появились.

2.

Это отсюда

3.

Это взято отсюда.

И всё под видом "сам нашёл", без указания первоисточников.

1. Да, сэмплы я сам накопал.

2. Да, насчет драйвера я скопировал, уже говорил.

3. Я перепроверял лечение перед тем как выложить в тему.

Тем не менее, выражаю вам благодарность за подробную информацию о проблемах лечения DrWeb-ом данного сэмпла и приношу извинения за то, что тогда написал на форуме DrWeb...

[K_Mikhail 807]

OK, принято.

[K_Mikhail 807]

История повторяется: http://blog.eset.com/2012/07/13/rovnix-boo...amework-updated .

P.S. Причём, как это всегда и бывает, повторяется по спирали -- и вновь в активном состоянии вредонос выносится "из коробки" только VBA32Arkit-ом и Tdsskiller-ом.

[vaber 350]

P.S. Причём, как это всегда и бывает, повторяется по спирали -- и вновь в активном состоянии вредонос выносится "из коробки" только VBA32Arkit-ом и Tdsskiller-ом.

Да ладно - всей линейкой продуктов лечим зараженные тачки)) и на x86 и на x64

[Milord 55]

Есть такое заражение

https://www.virustotal.com/ru/file/9fa40181...sis/1372529132/

https://www.virustotal.com/ru/file/90498391...f849d/analysis/

свежий tdsskiller не видит, как так? да, и как то нод не удел)

[Milord 55]

А вот доктор молодца)

[K_Mikhail 807]

The evolution of Ronvix: Private TCP/IP stacks: http://blogs.technet.com/b/mmpc/archive/20...-ip-stacks.aspx

VBR: https://www.virustotal.com/ru/file/28083b4d...sis/1374838551/