Nice Puppy

Заражение буткитом

В этой теме 14 сообщений

Уважаемые специалисты, просьба помочь.

Имеются подозрения на заражение системы Windows Vista x32. Собираюсь переставлять ОС (Win 7 x64). Пользуюсь антивирусной системой Agnitum Outpost Security Suite. С его стороны никаких подозрений. Просканировал компьютер с помощью VBA32 AntiRootkit. Он нашел множество аномалий и изменения в VBR. GMER нашел скрытые процессы (но скорее всего они принадлежат Outpost). Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой, могут ли VBR на других дисках после переустановки Win заразить загрузочный диск повторно? На всякий случай прикреплю дампы всех VBR и MBR.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

P.S. И еще такой вопрос касательно возможности отслеживать состояние системы после переустановки начистую. Если после установки ОС и переразметки разделов на всех HDD в системе сделать дампы всех MBR и VBR и подсчитать их контрольные суммы, можно ли в дальнейшем надеяться, что любые изменения в этих областях диска укажут на заражение? Мне не совсем понятно как устроен VBR. Скажем, если я сменю метку тома, то куда эта информация пропишется? В MFT-таблицы или в VBR? Т.е. VBR меняется от несерьезных действий пользователя без переразбивки томов и переопределения их размеров?

VBA32_LOGS.zip

VBA32_LOGS.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Полный лог антируткита приложите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет у Вас никаких буткитов и аномалий в системе.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

Ну если быть параноиком то да, а так ничего трогать не нужно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS

Обязательно! при любом заражении или подозрении на него начинать нужно именно с этого :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь

Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Да, сканил двумя LiveCD от обоих вендоров. Ничего не нашли оба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

Так ведь уже ж. Но это не панацея. Сам лично видел как он пропустил трояна-вымогателя через браузер (не у меня). Правда, он не смог залезть в автозагрузку. :facepalm: Таки Outpost не дал, но осадочек остался.

А насчет возможности повторного заражения с VBR на незагрузочных дисках мне так и не ответили. Возможно ли такое?

И как насчет моего вопроса насчет подсчета контрольных сумм VBR и MBR в качестве меры контроля изменения этих критических областей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

подсчитывать хэш сектора не всегда поможет, активный руткит может перехватывать запрос и возвращить оригинальную запись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Понятное дело, что из-под скомпрометированной системы такое может и не сработать. Для этого и существует переносная версия Linux. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, наполнитель для кошачьих туалетов если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой,http://ru.silicon-gel-china.com

грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, Двуокись титана TiO2 http://ru.titanium-dioxide.netкак видите, она итак не пролезла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Плюньте на все советы. Они бесполезны. Замените микруху биоса и все HDD системы на новые. Все антируткитовые средства отстой. Есть другие неизвестные средства. Никто здесь не поможет ибо не ведают..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В левых программ столько ша вирусов, остерегайтесь!

61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j

Отредактировал trotem

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...