Symantec обнаружила хакерское ПО, изменяющее загрузочный ...

[sww 486]

а какая разница когда за сколько было сделано, с момента появлении новости прошло 8 дней..

лечение насколько я понял появилось только сегодня?

В "своих кругах"... в бете будет чуть позже, а там и до релиза недалеко.

[Иван 290]

В "своих кругах"... в бете будет чуть позже, а там и до релиза недалеко.

ага тоесть до пользователей счастье так и не дошло еще?

[Денис Лебедев 20]

sww, а можно задать вопрос офтоповый? Мож конечно и тупой, но лично мне интересно :-)

На вашем скрине внизу стоит дата 14 января 2008 и количество вирусных записей - 297 тыщ. Захожу на страницу http://download.drweb.com/bases/

там наблюдаю следующее:

Последнее обновление вирусных баз: 2008-01-19 19:19:11 MSK

Всего записей в вирусной базе: 287979

[sww 486]

Иван

Да, до пользователей не дошло. Есть разница что-ли большая? Ждать не полгода - это точно.

Денис Лебедев

Дебажная сборка, базы 4.33 и прочее и прочее, только чтобы протестировать лечение.

[Сергей Ильин 1538]

Поздравляю Доткора с выходом лечилки этого чуда. Кто-нибудь еще из вендоров осилил этого зверя?

Вот на таких вещах хорошо мерить скорость реакции вирлабов.

[Максим 0]

Семпл есть у кого-нибудь?

[Иван 290]

Поздравляю Доткора с выходом лечилки этого чуда. Кто-нибудь еще из вендоров осилил этого зверя?

Вот на таких вещах хорошо мерить скорость реакции вирлабов.

скорость реакции вирлабов хорошо мерять на доступности лечилки пользователям - пока эта лечилка у Доктора в стадии внутреннего тестирования. Хотя уже приятно что активно идет работа.

[Сергей Ильин 1538]

скорость реакции вирлабов хорошо мерять на доступности лечилки пользователям

Это само собой разумеется. Вот мы на этом примере и посмотрим, кто на что способен :-)

[Dr.Golova 55]

> скорость реакции вирлабов хорошо мерять на доступности лечилки пользователям - пока эта лечилка

> у Доктора в стадии внутреннего тестирования. Хотя уже приятно что активно идет работа.

Хуже - сторонняя лечилка - это солющен для продвинутых пользователей (узнал-загуглил-скочал-заюзал). А вот большинство пользователей даже не в курсе что есть какая-то зараза и лечилка к ней.

Скорость лечения надо мерять когда продукт сам начнет лечить без интерактива со стороны. Без всяких last-chance примочек типа куреит'а.

[sww 486]

Скорость лечения надо мерять когда продукт сам начнет лечить без интерактива со стороны. Без всяких last-chance примочек типа куреит'а.

Ога, и авптул туда же.

P.S. Уже в официальной бете, кое кто (сам скажет, коль захочет) проверил - лечит. Остальные молчат? Ну да, сказать то нечего

[A. 875]

Ога, и авптул туда же.

P.S. Уже в официальной бете, кое кто (сам скажет, коль захочет) проверил - лечит. Остальные молчат? Ну да, сказать то нечего

Если это камешек в огород ЛК, то зря-зря

[sww 486]

Если это камешек в огород ЛК, то зря-зря

На самом деле мне кажется, что вы то сдела(ете)ли (только мы быстрее ), а вот остальные...

[vaber 350]

А остальные никогда ловить и не будут . Разве что Симантик...когда-нибудь. Пока нет

[sww 486]

А остальные никогда ловить и не будут . Разве что Симантик...когда-нибудь. Пока нет

Как мне нравится тема: "Symantec обнаружила хакерское ПО, изменяющее загрузочный ...". Я просто рыдаю

[Иван 290]

Как мне нравится тема: "Symantec обнаружила хакерское ПО, изменяющее загрузочный ...". Я просто рыдаю

я вижу гордость вас переполняет

вот это еще смешнее

The number of computer infected by Troj/Mbroot-A is yet unknown but SANS reports that it may as well be several thousands. Luckily, none of them would have Sophos Anti-Virus installed. Sophos already detected the rootkit proactively as Mal/Sinowa-A at the time it appeared.

In addition to that, the rootkit will not be able to infect systems with up-to-date level of security patches and correctly administered systems that do not allow the standard users to run with local administrative privileges.

Unfortunately, there are still plenty of unpatched, mostly pirated Windows copies that could become infected with this Trojan. The extent of its success could make MBR infection popular with the virus writing groups once again, after many years, as it provides a good way of hiding malicious software. On the other hand, the method of loading is highly platform dependent, which also means unreliable, as the Windows loader and kernel may change significantly from a version to a version and even from a service pack to a service pack.

One thing is certain: after the Troj/Mbroot-A attack anti-malware companies, including Sophos, will have to seriously think about including detection of active MBR rootkits into their products.

[vaber 350]

Результаты проверки содержимого первого сектора на сегодня:

Файл gg получен 2008.01.25 11:57:26 (CET)Результат: 9/32 (28.13%)Антивирус      Версия      Обновление      РезультатAhnLab-V3    2008.1.25.11    2008.01.25    -AntiVir    7.6.0.53    2008.01.25    -Authentium    4.93.8    2008.01.25    could be an image file of a boot sector virusAvast    4.7.1098.0    2008.01.25    -AVG    7.5.0.516    2008.01.24    PSW.Sinowal.C.bootBitDefender    7.2    2008.01.25    -CAT-QuickHeal    9.00    2008.01.24    -ClamAV    0.91.2    2008.01.25    -DrWeb    4.44.0.09170    2008.01.25    BackDoor.MaosBooteSafe    7.0.15.0    2008.01.16    -eTrust-Vet    31.3.5484    2008.01.25    -Ewido    4.0    2008.01.24    -FileAdvisor    1    2008.01.25    -Fortinet    3.14.0.0    2008.01.25    -F-Prot    4.4.2.54    2008.01.24    -F-Secure    6.70.13260.0    2008.01.25    -Ikarus    T3.1.1.20    2008.01.25    Backdoor.Win32.Sinowal.aKaspersky    7.0.0.125    2008.01.25    Backdoor.Win32.Sinowal.aMcAfee    5215    2008.01.24    -Microsoft    1.3109    2008.01.25    Trojan:DOS/Sinowal.ANOD32v2    2821    2008.01.25    -Norman    5.80.02    2008.01.24    -Panda    9.0.0.4    2008.01.24    -Prevx1    V2    2008.01.25    -Rising    20.28.41.00    2008.01.25    UnknownSophos    4.25.0    2008.01.25    Troj/Mbroot-ASunbelt    2.2.907.0    2008.01.25    -Symantec    10    2008.01.25    -TheHacker    6.2.9.196    2008.01.23    -VBA32    3.12.2.5    2008.01.21    suspected of Unknown.BootVirusVirusBuster    4.3.26:9    2008.01.24    -Webwasher-Gateway    6.6.2    2008.01.25    -Дополнительная информацияFile size: 512 bytesMD5: f9662e979c4eecdf512079b6e674dfd2SHA1: 59b91ce4184c518cf5a04956cacb2df332c59ff9PEiD: -

[dot_sent 140]

Microsoft    1.3109    2008.01.25    Trojan:DOS/Sinowal.A

Они что, считают, что всё, что лезет в бут-сектор - это DOS?

[Lemmit 31]

One thing is certain: after the Troj/Mbroot-A attack anti-malware companies, including Sophos, will have to seriously think about including detection of active MBR rootkits into their products.

Ну, значит все не так уж плохо и осталось только дождаться, когда остальные вендоры заразятся и обеспокоятся.

[Umnik 997]

Ikarus T3.1.1.20 2008.01.25 Backdoor.Win32.Sinowal.a

Kaspersky 7.0.0.125 2008.01.25 Backdoor.Win32.Sinowal.a

Microsoft 1.3109 2008.01.25 Trojan:DOS/Sinowal.A

Как всегда, ПАЗик соглашается с чужим мнением. А вот расхождение Win32 и DOS улыбнуло.

[sww 486]

Антивирус Dr.Web первым предоставил лечение нового загрузочного руткита BackDoor.MaosBoot

Обана какая новость

[Иван 290]

Антивирус Dr.Web первым предоставил лечение нового загрузочного руткита BackDoor.MaosBoot

Обана какая новость

ну слава богу вы хоть пиариться научились

ну слава богу вы хоть пиарится научились

упс, не научились, надо было сначала прочитать - новость плохо написана, не выстреливает - хотя должна, намешано еще какой-то ерунды про исправленные проблемы и прочее

мда, сделать сделали, а отпиарить нормально не вышло

плохо

[sww 486]

Встречаем новую версию MaosBoot, которую пока что не ловит НИКТО (даже GMER) . Это до поры до времени, все уже придумано и разрабатывается.

[Сергей Ильин 1538]

sww, а каковы на ваш взгляд перспективы таких руткитов?

Я к тому, что если сейчас технологию обкатают успешно, то на загорами появление многих семейств малвары с подобной функциональностью. Насколько готовы к этому вендоры и что требуется сделать?

[sww 486]

sww, а каковы на ваш взгляд перспективы таких руткитов?

Я к тому, что если сейчас технологию обкатают успешно, то на загорами появление многих семейств малвары с подобной функциональностью. Насколько готовы к этому вендоры и что требуется сделать?

Перспективы, думаю, самые что ни на есть "радужные". Технология уже вполне обкатана, созданы ботнеты и они работают.

Большинство ведоров совсем не готовы и дело все в том, что приходится применять совершенно недокументированные средства для детектирования и удаления подобных руткитов. Некоторые просто не умеют этого делать, другие боятся. Насчет того что нужно сделать ответ очень простой - найти/обучить высоквалифицированных специалистов в данной области и разрабатывать соотв-ие инструменты.

[vaber 350]

Встречаем новую версию MaosBoot, которую пока что не ловит НИКТО (даже GMER) . Это до поры до времени, все уже придумано и разрабатывается.

Все ж таки некоторые антируткиты видят.

Бета AVZ:

1.5 Проверка обработчиков IRP\driver\disk[iRP_MJ_CREATE] = 811A87F2 -> перехватчик не определен\driver\disk[iRP_MJ_CLOSE] = 811A87F2 -> перехватчик не определен\driver\disk[iRP_MJ_READ] = 811A342A -> перехватчик не определен\driver\disk[iRP_MJ_WRITE] = 811A342A -> перехватчик не определен\driver\disk[iRP_MJ_PNP] = 811A880A -> перехватчик не определенПроверка завершена

Gmer теперь не выдает прямого вердикта о присутствии буткита в системе, н если провести полный скан то всеже его присутствие обнаруживается:

Device          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CREATE                   811A87F2Device          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CLOSE                    811A87F2Device          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_READ                     811A342ADevice          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_WRITE                    811A342ADevice          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_FLUSH_BUFFERS            811A8804Device          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_DEVICE_CONTROL           811A87FEDevice          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_INTERNAL_DEVICE_CONTROL  811A87F8Device          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_SHUTDOWN                 811A8804Device          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_POWER                    811A8810Device          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_SYSTEM_CONTROL           811A8816Device          \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_PNP                      811A880A