Заражение буткитом - Помощь - Форумы Anti-Malware.ru Перейти к содержанию
Nice Puppy

Заражение буткитом

Recommended Posts

Nice Puppy

Уважаемые специалисты, просьба помочь.

Имеются подозрения на заражение системы Windows Vista x32. Собираюсь переставлять ОС (Win 7 x64). Пользуюсь антивирусной системой Agnitum Outpost Security Suite. С его стороны никаких подозрений. Просканировал компьютер с помощью VBA32 AntiRootkit. Он нашел множество аномалий и изменения в VBR. GMER нашел скрытые процессы (но скорее всего они принадлежат Outpost). Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой, могут ли VBR на других дисках после переустановки Win заразить загрузочный диск повторно? На всякий случай прикреплю дампы всех VBR и MBR.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

P.S. И еще такой вопрос касательно возможности отслеживать состояние системы после переустановки начистую. Если после установки ОС и переразметки разделов на всех HDD в системе сделать дампы всех MBR и VBR и подсчитать их контрольные суммы, можно ли в дальнейшем надеяться, что любые изменения в этих областях диска укажут на заражение? Мне не совсем понятно как устроен VBR. Скажем, если я сменю метку тома, то куда эта информация пропишется? В MFT-таблицы или в VBR? Т.е. VBR меняется от несерьезных действий пользователя без переразбивки томов и переопределения их размеров?

VBA32_LOGS.zip

VBA32_LOGS.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra

Полный лог антируткита приложите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra

Нет у Вас никаких буткитов и аномалий в системе.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

Ну если быть параноиком то да, а так ничего трогать не нужно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS

Обязательно! при любом заражении или подозрении на него начинать нужно именно с этого :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь

Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy
Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Да, сканил двумя LiveCD от обоих вендоров. Ничего не нашли оба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy
Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

Так ведь уже ж. Но это не панацея. Сам лично видел как он пропустил трояна-вымогателя через браузер (не у меня). Правда, он не смог залезть в автозагрузку. :facepalm: Таки Outpost не дал, но осадочек остался.

А насчет возможности повторного заражения с VBR на незагрузочных дисках мне так и не ответили. Возможно ли такое?

И как насчет моего вопроса насчет подсчета контрольных сумм VBR и MBR в качестве меры контроля изменения этих критических областей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

подсчитывать хэш сектора не всегда поможет, активный руткит может перехватывать запрос и возвращить оригинальную запись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy

Понятное дело, что из-под скомпрометированной системы такое может и не сработать. Для этого и существует переносная версия Linux. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest welcome my jia

Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, наполнитель для кошачьих туалетов если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой,http://ru.silicon-gel-china.com

грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, Двуокись титана TiO2 http://ru.titanium-dioxide.netкак видите, она итак не пролезла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RODISLAV

Плюньте на все советы. Они бесполезны. Замените микруху биоса и все HDD системы на новые. Все антируткитовые средства отстой. Есть другие неизвестные средства. Никто здесь не поможет ибо не ведают..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dreindeimos

Перепрошивка биоса не нужна

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trotem

В левых программ столько ша вирусов, остерегайтесь!

61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j

Отредактировал trotem

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×