Symantec обнаружила хакерское ПО, изменяющее загрузочный ...

[vaber 350]

Вот результат проверки содержимого первого сектора - кода буткита.

 Файл 0 получен 2008.01.11 12:32:34 (CET)Текущий статус: закончено  Результат: 5/32 (15.63%)Антивирус      Версия      Обновление      РезультатAhnLab-V3    2008.1.11.11    2008.01.11    -AntiVir    7.6.0.46    2008.01.11    -Authentium    4.93.8    2008.01.11    could be an image file of a boot sector virusAvast    4.7.1098.0    2008.01.10    -AVG    7.5.0.516    2008.01.11    -BitDefender    7.2    2008.01.11    -CAT-QuickHeal    9.00    2008.01.10    -ClamAV    0.91.2    2008.01.11    -DrWeb    4.44.0.09170    2008.01.11    BackDoor.MaosBooteSafe    7.0.15.0    2008.01.10    -eTrust-Vet    31.3.5449    2008.01.11    -Ewido    4.0    2008.01.10    -FileAdvisor    1    2008.01.11    -Fortinet    3.14.0.0    2008.01.11    -F-Prot    4.4.2.54    2008.01.10    -F-Secure    6.70.13030.0    2008.01.11    -Ikarus    T3.1.1.20    2008.01.11    -Kaspersky    7.0.0.125    2008.01.11    -McAfee    5204    2008.01.10    -Microsoft    1.3109    2008.01.11    -NOD32v2    2783    2008.01.11    -Norman    5.80.02    2008.01.10    -Panda    9.0.0.4    2008.01.11    -Prevx1    V2    2008.01.11    -Rising    20.26.42.00    2008.01.11    UnknownSophos    4.24.0    2008.01.11    Troj/Mbroot-ASunbelt    2.2.907.0    2008.01.11    -Symantec    10    2008.01.11    -TheHacker    6.2.9.186    2008.01.11    -VBA32    3.12.2.5    2008.01.11    suspected of Unknown.BootVirusVirusBuster    4.3.26:9    2008.01.10    -Webwasher-Gateway    6.6.2    2008.01.11    -Дополнительная информацияFile size: 512 bytesMD5: f9662e979c4eecdf512079b6e674dfd2SHA1: 59b91ce4184c518cf5a04956cacb2df332c59ff9PEiD: -

[A. 875]

Вот результат проверки содержимого первого сектора - кода буткита.

О, отличный термин - "буткит" Надо запатентовать.

[Dexter 20]

кода буткита

vaber, сам придумал? +1

Впрочем, даже если не сам, то все равно спасибо, красиво.

Вот результат проверки

Интересно, кто пропиарится?

Sophos?

[Иван 290]

детект хорошо, vaber, а чего происходит после детекта?

[A. 875]

Вот результат проверки содержимого первого сектора - кода буткита.

чем сектор выдирал ?

[sww 486]

"Буткит", к слову, устоявшееся понятие в определенной среде. Не помню откуда оно пошло, но желающие могут перерыть гугл. "The truth is out there" типа.

2Иван: а что происходит после детекта virustotal не знает

The eEye BootRootKit NDIS backdoor is a demonstration of boot-time Windows kernel subversion technology. The assembly source code (ebrk.asm) was written for use with MASM 6.11. It comes in pre-packaged executable form as a floppy disk image (ebrk.img) and as a CD-ROM ISO-9660 image (ebrk.iso).

[A. 875]

"Буткит", к слову, устоявшееся понятие в определенной среде. Не помню откуда оно пошло, но желающие могут перерыть гугл. "The truth is out there" типа.

Nitin Kumar Vipin Kumar, Vbootkit: Compromising Windows Vista Security, 2007

[sww 486]

2А. выше см. Это было в 2005 году.

Оффтопик: Фамилье у Кумаров вообще отличное 8)

[Иван 290]

что серьезно вирустотал не знает? во блин, sww, спасибо разъяснил

[A. 875]

2Иван: а что происходит после детекта virustotal не знает

ну так и что же происходит с DrWeb после детекта ?

[vaber 350]

vaber, сам придумал?

Не, есть такое выражение

детект хорошо, vaber, а чего происходит после детекта?

Не понял вопроса? Что происходит после детекта на вирустотал?

чем сектор выдирал ? Smile

Гмером Не собственно им, а его антируткитом

[Иван 290]

vaber, я как простой наивный пользователь (а не гуру вирлабов беседующие тут) думал, что кроме вирустотала доктор и софос еще и обнаруживают буткит на зараженной машине и спрашивал, что же они способны делать с ним после обнаружения

[vaber 350]

Нет, на зараженной машине этого руткита ни доктор, ни софос не обнаруживают. Софос так, вероятно, никогда его обнаруживать и не будет .

[Иван 290]

все, спасибо, пока вопросов более нет

[sww 486]

2Иван: а что происходит после детекта virustotal не знает

ну так и что же происходит с DrWeb после детекта ?

Лечение видать (после снятия хуков)

На самом деле не долго заточиться под этот конкретный буткит, чтобы сделать его лечение прямо на зараженной машине, но пока было решено подойти более концептуально.

[Dexter 20]

Ребят, это насколько свежая и серьезная проблема?

Я прям, как будто, на 10 лет назад вернулся.

Есть в этом сенсация?

Или кто, первый того и тапки?

[sww 486]

Dexter - это проблема потому что 10 лет тому назад все было по-другому.

[Dexter 20]

Dexter - это проблема потому что 10 лет тому назад все было по-другому.

Спасибо, я тупой, все понял.

Ну хоть вкраце, это серьезно или как?

[A. 875]

Dexter - это проблема потому что 10 лет тому назад все было по-другому.

Спасибо, я тупой, все понял.

Ну хоть вкраце, это серьезно или как?

Ну это хоть какое-то разнообразие, а то совсем уже скучно было...

Проблемы такие (in general, для антивируса как программы, а не применительно к какому-то конкретному вендору):

- обнаружить аномалию в системе (хуки)

- снять данные хуки

- прибить драйвер

- продетектить бут

- найти оригинальный бут

- восстановить оригинальный бут

- почистить сектора

особо ничего сложного. только многие антивирусы могут сделать только некоторые пункты из данного списка. а хорошо бы - все.

по минимуму задача решается так:

- обнаружить аномалию в системе (хуки)

- предложить юзеру загрузиться с аварийного диска - сделать fixmbr, пройтись антивирусом

[Dexter 20]

Интересно. Спасибо.

Какая гадость -fixmbr.

Плохие вопросы задает.

[ThreatSense®Vitalik 15]

Проблемы такие (in general, для антивируса как программы, а не применительно к какому-то конкретному вендору):

- обнаружить аномалию в системе (хуки)

- снять данные хуки

- прибить драйвер

- продетектить бут

- найти оригинальный бут

- восстановить оригинальный бут

- почистить сектора

особо ничего сложного. только многие антивирусы могут сделать только некоторые пункты из данного списка. а хорошо бы - все.

по минимуму задача решается так:

- обнаружить аномалию в системе (хуки)

- предложить юзеру загрузиться с аварийного диска - сделать fixmbr, пройтись антивирусом

1.На Viste 64bitAMD,если запустить буткит с провами админестратора, сам проверил. У антивирусов токо одна проблема почистить сектора.

2.На современных ПК в биосе есть зашита от изменения MBR.(Sumantec утверждает што она очень эффективна.)

3.Небудит некогда руткитов способных,поставить жуки,драйвера на 64 битной Висте даже когда она еще незапустилась, будит синий экран.

(зашита ядра,драйвер неподписаный небудет работать,

проверка кода при загрузке Hardware Abstraction Layer, HAL,Рандомизация компоновки адресного пространства (Address Space Layout Randomization, ASLR) ,UAC и прочие.)

А также на Viste диски преобразуются в месте с О.С на которых MBR нет вообще, а есть с таблицей GUID разделов (GPT).

Источник,справка Висты:

Можно выбрать, какой стиль разделов использовать, — с основной загрузочной записью (MBR) или с таблицей GUID разделов (GPT).

Тоесть там легко прямо под операцыонной системой диск предбразуется в:

1.В GPT диск.

2.Динамический диск.

Перезагрузились и готово!

Это еще одна причина сменить Windows хр.

[A. 875]

1.На Viste 64bitAMD,если запустить буткит с провами админестратора, сам проверил.

Запустить буткит с правами администратора не проблема, на самом деле. Немного соц.инженерии и лемминги все сделают - как делали всегда. Другое дело что _данный_ буткит на Висте работать будет неполноценно.

У антивирусов токо одна проблема почистить сектора.

Ну да ну да. Продетектить перехват хуков и посшибать их - это так, фигня. Особенно для НОДа.

2.На современных ПК в биосе есть зашита от изменения MBR.

Она там уже лет 10 есть. Толку то ?

У тебя включена ? Когда последний раз ее срабатывание видел?

Тоесть там легко прямо под операцыонной системой диск предбразуется в:

1.В GPT диск.

2.Динамический диск.

Это еще одна причина сменить Windows хр.

Это вообще отношения к теме разговора не имеет. Не надо очередной раз начинать тут цитировать справочные материалы из Висты.

Если ты думаешь, что таблица GUID разделов (GPT) не сможет быть использована вирусами точно так же как в случае с MBR, то ты просто до безумия наивен.

P.S. расцениваю данный пост Виталика как дуп его же почти идентичного сообщения в отведенном ему загоне.

[ThreatSense®Vitalik 15]

Запустить буткит с правами администратора не проблема, на самом деле. Немного соц.инженерии и лемминги все сделают - как делали всегда. Другое дело что _данный_ буткит на Висте работать будет неполноценно.

Што бы они непридумали,это будут уже уязвимости, которые мгновенно залатают.

[A. 875]

Што бы они непридумали,это будут уже уязвимости, которые тутже залатают.

залатайте пожалуйста ну хоть кто-нибудь запуск файлов, приходящих по электронной почте ...

[Илья Рабинович 521]

залатайте пожалуйста ну хоть кто-нибудь запуск файлов, приходящих по электронной почте ...

Уже.