Перейти к содержанию
Сергей Ильин

Win32.Ntldrbot (aka Rustock.C) больше не миф

Recommended Posts

EP_X0FF
Это совершенно временное явление- ровно до попадания дроппера в руки разработчиков.

Спешу тебя огорчить Илья. Кое-какие компании имеют этот образец уже скоро почти год. Некоторым удалось снять первые слои криптора, но на этом все дело и завяло (а как получишь образец, сам поймешь почему), не говоря уже о получении дропперов. Нет, конечно криптор снимается, но придется поработать головой, а это у нас мало кто любит :) К тому же мы тебе ведь все давно объяснили по поводу модели твоей программы. Ты вроде достаточно взрослый человек, а до сих пор веришь в сказочки. Сейчас идет массовый отстрел самплов руткита и на некоторых машинах, где он обнаружен также был обнаружен и DW :( Главная проблема здесь - то, что твоя программа никак не сможет помочь, если руткит такого уровня уже будет на машине :) Но это маленький оффтоп, не хотелось бы опять устраивать флудотопик выяснения отношений, не так ли, Илья?

Mike

Да очень весело Майк, тебе никто не говорил, что иногда лучше жевать, чем говорить? :) Если никто не говорил то вот - "иногда лучше жевать, чем говорить". Похоже что кроме как на гомерический хохот ваша кампашка больше ни на что не способна :) Без обид, человечище, зови подмогу, тяжелую артиллерию!

Как можно, дорогой друг! Все мы знаем, что вы работаете в Microsoft. smile.gif

Скриншот, кстати, не виден, поправьте ссылку, пожалуйста. wink.gif

Что вы, неужели? Я польщен Вашим вниманием к моей скромной персоне. Да, мы тоже в курсе ваших блогов Николай. Очень странно, что картинка не видна, у меня так все видно, не могу помочь, вы же модератор - поправьте пожалуйста, так что было бы видно вам в том числе. В любом случае, кто хочет посмотреть может на неё кликнуть. Уверяю вас, там не эксплойт, хотя в данном контексте, возможно многие бы захотели чтобы там был именно он :) Картинка получена на одном из сэмплов полученных после опубликования данных о Rustock.C. Так что как видите, руткит довольно распространен.

Это к нашим тестам относится? smile.gif))

Вопрос с подвохом на самом деле. Нет, я имею в виду тесты типа VB и прочую мутотень не имеющую к реальной жизни никакого отношения.

sww

Шутка.

В свете подавленного и хмурого настроения публики у нас зародилась идея: как ты думаешь может быть сообща напишем стотью аля мануал - "Распаковка и запуск Rustock.C для чайников"? :)))))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Ты вроде достаточно взрослый человек, а до сих пор веришь в сказочки.

Скорее, наоборот. Я, например, твоим сказкам точно не верю.

Главная проблема здесь - то, что твоя программа никак не сможет помочь, если руткит такого уровня уже будет на машине

Задача любой системы HIPS- предотвратить заражение, а не лечить уже заражённые машины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
sww

Шутка.

В свете подавленного и хмурого настроения публики у нас зародилась идея: как ты думаешь может быть сообща напишем стотью аля мануал - "Распаковка и запуск Rustock.C для чайников"? :)))))))

Вайтпейпер "Как писать собственные эмуляторы режима ядра?" :lol:

P.S. К детекту подключились и другие вкусные вендоры. Битдефендер, например, детектит и отлично справляется с лечением зараженного файла ... УДАЛЕНИЕМ (прощайте мои системные дрова) :lol:

Наивкуснейший друг пиара и прочей ерундистики Symantec дал грозное имя вирусу - Hacktool.Rootkit. Ну, вообщем, доля истины тут есть, т.к. это Tool, ага, для рассылки спама.

Ну что тут еще сказать...Активного не видят, ЧТД.

ЛК уже получили сэмпл и активно над ним работают, не трындят (больше), за что "+". Как я предполагаю, после выпуска лечения и детекта они будут активно давить на малую распространненость, как это было с Win32.Polipos. И опять облажаются. К сожалению, например, в Корбине до сих пор ходит как Polipos, так и MaosBoot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

Илья Рабинович

Как ты обиделся.

Во-первых, ты видимо советуешь всем своим новым пользователям выполнять низкоуровневое форматирование диска перед установкой (спешу вновь огорчить, от новых видов руткитов даже не поможет). Во-вторых, мои сказочки оказались правдой и истиной, в отличие от вашей истерики и скептицизма. А в-третьих ты ещё просто не дорос до меня, чтобы мне язвить, мальчик. Кто тут у нас любитель сказочек и ойсикью сплетен так это ты дорогой, если интересует продолжение - ф приват, а дальше надейся, что я это прочитаю и тем более тебе отвечу.

sww

Да я в курсе достижений Саймантека. Ну что же, вперед и с песней :)

Самое поразительное во всем этом, это реакция антималварных экспертов и компаний на этот руткит. Вот тут то всем и стало очевидно истинное лицо Зла :) Забота о пользователях оказалась ммм... мягко говоря на заднем плане. Вместо того, чтобы поздравить своих коллег с блестящей находкой и молча подключиться к процессу исследования и лечения, господа активно занялись самопиаром, повсеместно подключая полувменяемых господ и ботов-идиотов на различных форумах. Яркий пример этот топик, который начиная с первых же постов превратился в истерику ЛК с подключением практически всех известных и зареганных тут персонажей и ярой уверенностью в том что Земля квадратная, а Солнце крутится вокруг них. Успокойтесь ребята, вы тоже будете это детектить и мб лечить... пятые или шестые в списке :)))) Даже кардешата на всеизвестных форумах-помойках оказались лучше, чем некоторые "эксперты". Они хотя бы просто уныло и понуро продолжают не верить в очевидное :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

EP_X0FF

При всем моем уважении к Вашему уму и знаниям, но не стоит переходить на личности. Остановитесь.

Илья Рабинович

Вы тоже хороши. Зачем продолжаете этот обмен любезностями?

Личные антипатии оставьте для PM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

Простите пожалуйста, я больше не буду тут хулиганить. Я уже сказал Илье, что если он заинтересован в дальнейшей совершенно деструктивной и бесперспективной перепалке со мной - милости прошу в свои Личные Сообщения :)

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

EP_X0FF, может быть у вас имеются данные по распространенности этого руткита в дикой природе? Поделитесь информацией. Ведь ясно бросается в глаза его некая эксклюзивность. Иначе у других вендоров был бы хотя бы его детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Как я предполагаю, после выпуска лечения и детекта они будут активно давить на малую распространненость, как это было с Win32.Polipos.

Будут, да потому что это самый мутный момент в этой истории, я не зря прошу прокомменировать эту тему. Наверное у Доктор Веб есть данные, но вместо этого в пресс-релизе приводятся ссылка на данные статистики, имеющей отношение ко всем версиям Rostock (я уже писал об этом). Самое обидное, что пиар-повод то хороший, отличная работа вирлаба - молодцы, но история с Win32.Polipos видимо мало чему научила. Опять наступаем на теже грабли.

И еще, EP_X0FF, как показало обсуждение выше, не многие эксперты даже понимают уникальность и сложность этого руткита. Поэтому ИМХО деталей должно быть больше.

Яркий пример этот топик, который начиная с первых же постов превратился в истерику ЛК с подключением практически всех известных и зареганных тут персонажей и ярой уверенностью в том что Земля квадратная, а Солнце крутится вокруг них. Успокойтесь ребята, вы тоже будете это детектить и мб лечить... пятые или шестые в списке :)))) Даже кардешата на всеизвестных форумах-помойках оказались лучше, чем некоторые "эксперты". Они хотя бы просто уныло и понуро продолжают не верить в очевидное

В первых постах поздравляли команду Доктор Веба с успехом. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
В первых постах поздравляли команду Доктор Веба с успехом

Да, но только не сотрудники ЛК, о чем EP_X0FF как раз и говорит ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

Сергей Ильин

Совершенно очевидно, что к делу здесь подошли очень профессионально как при разработке так и в том числе и по части распространения, например, очевидно что некоторые регионы были проигнорированы специально. Впрочем мы ведь не можем знать истинных масштабов ботнета, одно ясно это чудо работает уже достаточно давно (минимум вероятно не меньше года, максимум все полтора) и очень тихо. В частности ни один антируткит из существующих сейчас в широком обращении не способен обнаружить, а уж тем более противостоять Rustock.C, однако задача его детектирования и успешного противодействия ему вполне решаема. Однако как всегда есть подводные камни, потому как реализована защита этого руткита и какие файлы подвержены инфицированию. Могу также сообщить, что при ежедневных проверках ревизором диска (например такой старой диковинкой как ADinf) можно установить присутствие Rustock.C в системе, а при должной сноровке удалить его даже без использования антивирусных средств (например имея копию системных файлов и загрузочный диск/дискету). Проще всего избавиться от этого руткита на файловой системе FAT32. Тем не менее это задача больше для профессионалов и рядовым пользователям она не по силам. Можно предположить в будущем появление специальных чистящих утилит типа ComboFix, выполняющих эту работу, а также обновления "живых" антируткитов (прежде всего имеется в виду GMER) для эффективного детектирования и борьбы с Rustock. Такая невероятная неуловимость этого руткита стала прежде всего возможна благодаря всеобщему скептицизму антивирусных лабораторий и элементарному пренебрежению к детектированию руткитов режима ядра, вместо этого делался и делается уклон на предотвращение их установки в системе. Однако то, что уже установлено невозможно предотвратить и никто это сейчас не сможет оспорить. Будучи установленным в системе руткит существует на уровне, который просто недосягаем для большинства антивирусов. Что касается антируткитов, я могу сказать, что они действительно были обойдены концептуально, а именно играя на базисных понятиях детектирования, применяемых в современных средствах автор руткита сумел добиться его неуловимости. Не устоял даже Rktrap, который является самым совершенным публичным детектором руткитов. Тем не менее замечу, что такие антируткиты как GMER/RKU3.7 вполне способны увидеть его и сейчас, однако для подобного счастья требуется выполнения ряда условий, одним из которых является снятие протектора руткита. В рутките применены мощные технологии двойного назначения, которые могут быть (и уже применены) в антируткитах, могут быть применены в антивирусных средствах последнего поколения, коммерческих протекторах. По сути этот руткит является компиляцией множества идей огромного количества людей. Что можно сказать - как технический специалист автор просто уникален и практически не имеет аналогов, по крайней мере нам другие такие же неизвестны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
но история с Win32.Polipos видимо мало чему научила. Опять наступаем на теже грабли.

А чему она должна научить?

Полипосы есть в природе.

Или нужен какой-то минимальный процент распространенности, что бы начать его детектить-лечить?

У марксов-энгельсов всегда и в любом случае г... в базах может быть больше. :)

Даже если какого-либо особо интересного вируса нет совсем itw, то неумение или нежелание его лечить-ловить не есть повод уныло или весело об...рать, того кто это может.

Академический интерес никто не отменял.

sww, докторам, гратс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy

http://www.virusbtn.com/news/2008/03_13a.xml

http://www.pcwelt.de/_misc/img/detail.cfm?...346563449865953

http://www.sunbelt-software.com/ihs/alex/R...D2008m3b_US.htm

http://blog.chip.de/0-security-blog/maerz-...leich-20080310/

Если посмотреть эти интерпретации, то NODу нечего стесняться. Преимущество KAVа или NODа друг перед другом есть спорно и это с основаниями. Жаль только, не видно сходу, скорость NODа и детект взяты при одинаковых ли настройках. ДрВебовцы, а почему бы вам не включать мусор в детект? Ну раз и это тестируется, как вирус. Можно и отдельное расширение для него и обязательно по умолчанию включено должно быть ради тестов. Цены б не было, если там только мусора недостаёт. Так как другие мусор не уберут из сигнатур и в тестколлекциях он тот же будет. В обмен и на будущее на тот же Rustock (с инструкцией от и до) с любыми, потопающими в разнобое. Будем иметь сопоставимые результаты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

DrWeb4.44 - не только детектирует Rustock.C в активном состоянии, но и успешно лечит, причем детектируются все активные компоненты руткита. Детектирование, в спешке добавленное некоторыми вендорами - чистой воды фейк, в активном состоянии руткита они не видят ничего, кроме того сигнатуры видимо подкачали, поскольку Битдефендер ничего не обнаружил при проверке некоторых образцов. На этом я думаю, пора закончить бессмысленные обвинения DrWeb в пустом пиаре. Ждем других настоящих детектов и лечения.

rustycxp3.jpg

p.s.

Не обращайте внимания на MaosBoot, это тестовая машина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Не обращайте внимания на MaosBoot, это тестовая машина.

Какая забавная панелька сверху со словом микрософт. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE

Разработчикам Dr.Web - мои поздравления.

>>>> to KL А чего так быстро тему прикрыли? :)

http://forum.kaspersky.com/index.php?s=&am...st&p=628126

Наверное, поэтому-

.... логических доказательств "таки существования неуловимого руткита" в пресс-релизе не вижу. Фактическое доказательство одно - скриншот строки PDB (легко сделать фейк). Вывод: Неужто ДокторВеб подхватил моду на галлюцинозный маркетинг?
?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
>>>> to KL А чего так быстро тему прикрыли? :)

http://forum.kaspersky.com/index.php?s=&am...st&p=628126

Наверное, поэтому-

?

Это все изначально выглядело как "хорошая мина, при плохой игре", причем у большинства вендоров. До момента пока не ткнули лицом в сэмплы. Ничего удивительного я тут не вижу, хотя могли бы просто поздравить и пойти сканером файлы искать.

Кстати, я не единственный кто верит в то, что KL сделают и детект, и лечение (Голова, уже распаковываешь, да? :rolleyes: ). Деваться теперь просто некуда. Остальные вендоры выглядят уныло.

Забыл добавить: самое главное - это то, что это гавнецо помаленьку исчезнет общими стараниями вендоров.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF
Кстати, я не единственный кто верит в то, что KL сделают и детект, и лечение

Конечно распакуют, вот Марко Дж. уже обрадовал, что чего-то там распаковали за два часа на коленке, видимо при помощи такого мощного дизассемблера и отладчика как ФАР, которого тем кто ксорит (д)ворды в уме хватает за глаза.

История ведь не учит, чтобы кто не доказывал обратное. Довольно сложно признать, что тебя держали в дураках длительное время. Огромная недооценка возможностей противоположной стороны и сопли, слюни и детская истерика везде, где только можно потом... Остается надеяться, что этот этап всеобщей шизофрении все уже прошли. Хотя по детекту Саймантика, описавшего этот вирус как хак тул такого пока не видно, равно как и по победным обещаниям представителей отдельных европейских вендоров удалять инфицированные руткитом файлы (c.f. wilderssecurity). Прощай винда? Похоже, что ребята просто ещё не понимают, с чем они имеют дело и продолжают строить из себя фиг знает что. Большой бизнес, большие деньги, большие эмоции. Только вот обычным пользователям этих продуктов от того, что их держат за идиотов, лучше не становиться. А я вот почему то не сомневаюсь, что такие события и истории ещё будут повторяться и по той же схеме - презрительное фырканье и увлеченное занятие всякой проактивной фигней, а потом вот такие цирковые номера как у некоторых представителей Лаборатории Касперского конкретно здесь. Положительная сторона всего этого в том, что к руткиту приковано должное внимание и его судьба уже не так безоблачна :)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

EP_X0FF, спасибо за подробные комментарии! Теперь многое стало более или менее ясно.

Даже если какого-либо особо интересного вируса нет совсем itw, то неумение или нежелание его лечить-ловить не есть повод уныло или весело об...рать, того кто это может.

Академический интерес никто не отменял.

Естественно, ловить и лечить в идеале нужно 100%, кто ж с этим спорит? Я о другом писал. Если планируется сделать на детектировании чего-либо серьезный пиар (что имеет место в нашем случае), то следует более тщательно просчитывать реакцию общественности и конкурентов тоже. Если тебя опускают конкуренты, то виноваты в этом не они (такие плохие ребята), а ты сам, что дал им эту возможность. Но это уже философия, завязываю ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

Рад за доктор вэб, желаю успехов.

Это единственный отечественный вендор, которого я уважаю. ну еще от братьев-славян VBA порой неплох

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

И все же - есть ли у кого конкретная информация о том, как этот спамбот распространялся? Загрузчики, эксплоиты и т.д.?

З.Ы. Хотя чего скрывать? :)) Ответа на этот вопрос я не получу.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

Сергей Ильин

Если планируется сделать на детектировании чего-либо серьезный пиар (что имеет место в нашем случае), то следует более тщательно просчитывать реакцию общественности и конкурентов тоже. Если тебя опускают конкуренты, то виноваты в этом не они (такие плохие ребята), а ты сам, что дал им эту возможность.

А что именно требовалось сделать? Официальный пресс-релиз за пару месяцев с анонсом и рассылкой образцов всем остальным? Или это как-то должно нивелировать то, что некоторые конкуренты после своей первой реакции мягко говоря выглядят глупо? За последние полтора года этот руткит оброс слухами и стараниями неверующей публики превратился в миф. В том числе тех самых господ, что устроили клоунаду здесь поначалу. Нельзя отмотать время назад, что поделать если этот руткит такой и если он проектировался с учетом нынешней специфики, в том числе и АВ? Основное отличие этого руткита от предыдущих версий A и B это его довольно революционный подход к противодействию как раз обнаружению и исследованию его всем чем и кем только можно. Не сомневаюсь, что достаточно народу уже соприкасалось с ним так или иначе, но лишь единицы смогли понять, что это такое. Первые неофициальные скриншоты внутренностей руткита были опубликованы на форуме sysinternals в конце октября 2007 года. Никого не волновало. Мало кто верил с самого начала. Вот и поплатились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

Догадываюсь кто это :) Я не считаю это антируткитом вообще, но могу сказать, что он ничего не видит.

Раз уж спросили про антируткиты, то пожалуйста, вот вам список.

С протектором.

GMER v1.14 - ничего

RKU v3.7 - ничего

RkTrap v1.1 - ничего

IceSword v1.22 - ничего

DarkSpy v1.05 - ничего

Blacklight(март 2008) - ничего

Остальных я не считаю за антируткиты вообще, и приводить дальнейший список не вижу смысла, никто из них все равно ничего не видит и ничего сделать не может.

Без протектора ситуация получше.

GMER v1.14 - несоответствия файлов, некоторые перехваты без определения что это

RKU v3.7 - несоответствия файлов

RkTrap v1.1 - некоторые перехваты без определения что это, нестабильный детект

IceSword v1.22 - ничего

DarkSpy v1.05 - ничего

Blacklight(март 2008) - ничего

Ни один из вышеперечисленных ничего не может сделать с руткитом.

Для того чтобы эффективно справиться с Rustock.C антируткиту придется либо перейти на более низкий уровень (что отсеивает такие продукты как GMER, RkTrap) либо стать немного антивирусом, что отсеивает всех остальных. Тем не менее я верю в способности Пржемуслава, благо все необходимые исходники для лечения Rustock.C уже давно опубликованы в интернете и хватит даже уровня API.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Основное отличие этого руткита от предыдущих версий A и B

это его довольно революционный подход к противодействию как раз обнаружению и исследованию его всем чем и кем только можно.

Datei tcpzyar.sys empfangen 2008.05.09 21:17:23 (CET)

AntiVir 7.8.0.17 2008.05.09 TR/Rootkit.Gen

DrWeb 4.44.0.09170 2008.05.09 Win32.Ntldrbot

Kaspersky 7.0.0.125 2008.05.09 -

McAfee 5291 2008.05.08 -

Microsoft 1.3408 2008.05.09 Backdoor:Win32/Rustock.gen!D

NOD32v2 3089 2008.05.09 -

Symantec 10 2008.05.09 Hacktool.Rootkit

EP_X0FF, вот такой к тебе вопрос: почему по терминологии

Microsoft Ntldrbot имеет имя Rustock.gen!D , а не С ???

и никто его Rustock.С не называет.

кстати, семпл, который я тестировал на вирустотале

сейчас там, Microsoft определяет как Backdoor:Win32/Rustock.gen!C

и еще: ничего к тебе личного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

Mike, вот такой тебе ответ

С чего ты решил, что я буду оправдываться за труд людей, к которым я не имею никакого прямого отношения? Вы мне ещё вопросы по MRT начните задавать. Когда распакуете русток и проанализуете код даже у таких отьявленных пессимистов как вы отпадет все желание спорить, если конечно вы не полные дураки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Все бывает Ну для нашей группы это точно точка

неужель переход в микрософт так повлиял :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×