Mebroot/Sinowal/MBR/Torpig - обнаружен новый вариант буткита

[Ego1st 95]

На зарубежных сайтах, пишут что обнаружился новый Mebroot

Функционал у него такой:

-крадет пароли к банковским вебсайтам=)

-может внедряться в html страницы с и без EV-SSL

-может перехватывать нажатия экранных клавиатур и капчей

-труден для детекта

-все браузеры подвержены уязвимости

на данный момент видимо его в активном состоянии никто не лечит потому что пишут что обходит все, обнаружить что машинка заражена можно вот так=)

так

Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

---- Threads - GMER 1.0.15 ----

Thread System [4:1088] 82B462E0

Thread System [4:1092] 82B329C6

Thread System [4:1100] 82B64527

Thread System [4:1132] 82B35941

Thread System [4:436] 82B462E0

Thread System [4:560] 82B329C6

Thread System [4:696] 82B64527

Thread System [4:784] 82B35941

---- EOF - GMER 1.0.15 ----

или так

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Time: 2009/04/08 xx:xx

Program Version: Version 1.x.x.x

Windows Version: Windows XP SP2

==================================================

Hidden/Locked Files

-------------------

Path: Volume C:\

Status: MBR Rootkit Detected!

Stealth Objects

-------------------

Object: Hidden Code [ETHREAD: 0x813a7318]

Process: System Address: 0x8146a2e0 Size: 2246

Object: Hidden Code [ETHREAD: 0x813a7090]

Process: System Address: 0x814569c6 Size: 1360

Object: Hidden Code [ETHREAD: 0x81396da8]

Process: System Address: 0x81488527 Size: 2779

Object: Hidden Code [ETHREAD: 0x81396b20]

Process: System Address: 0x81459941 Size: 1729

Object: Hidden Code [ETHREAD: 0xff28cc68]

Process: System Address: 0x8146a2e0 Size: 2246

Object: Hidden Code [ETHREAD: 0xff28c9e0]

Process: System Address: 0x814569c6 Size: 1360

Object: Hidden Code [ETHREAD: 0xff28c758]

Process: System Address: 0x81488527 Size: 2779

Object: Hidden Code [ETHREAD: 0xff28c4d0]

Process: System Address: 0x81459941 Size: 1729

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x81439560 Size: 2724

так же можно обнаружить, открыв блокнот - файл - открыть и ставим эту строчку c:\WINDOWS\TEMP\rg4sfay

и увидеть свои пароли=)(это конечно если темп у вас там))

http://www.trustdefender.com/blog/2009/04/...rous-than-ever/ - очень хорошее описание=)

Ну что кто первый начнет пиарится?=))

и дайте, бинарник погонять=))

[Agent 55]

экранных клавиатур

Виртуальных? Ну так это прошлый век.

[Ego1st 95]

Виртуальных? Ну так это прошлый век.

а что у нас в новом веке?=))

[Agent 55]

Ego1st

Безопасные мастера паролей(и не те, которые в браузеры встроены желательно) где все пароли и логины зашифровываются и хранятся в сетевом хранилище.

[Ego1st 95]

понятно спасибо=)

[Agent 55]

Мне кажется, что скоро эта угроза начнет детектироваться любым уважающим себя антивирусом.

[p2u 824]

так же можно обнаружить, открыв блокнот - файл - открыть и ставим эту строчку c:\WINDOWS\TEMP\rg4sfay и увидеть свои пароли=)(это конечно если темп у вас там))

Вы, возможно имели в виду с помощью командной строкой от имени админа?

Пуск - выполнить - cmd (Enter)

Там набрать:

cd c:\WINDOWS\TEMP (Enter)

Там набрать:

notepad rg4sfay (Enter)

и любоваться данными. Так?

Мне кажется, что скоро эта угроза начнет детектироваться любым уважающим себя антивирусом.

Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

[Ego1st 95]

Вы, возможно имели в виду с помощью командной строкой от имени админа?

Пуск - выполнить - cmd (Enter)

Там набрать:

cd c:\WINDOWS\TEMP (Enter)

Там набрать:

notepad rg4sfay (Enter)

и любоваться данными. Так?

Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

Паул можно и так как я сказал=) итог будет один=)

[vaber 350]

на данный момент видимо его в активном состоянии никто не лечит потому что пишут что обходит все,

Немного от себя добавлю - активным в системе его действительно не видит ни один антивирус (даже если будет запись на зараженный mbr). Впрочем, не думаю, что такая картина сильно измениться в будущем. Если обратиться к последнему тесту на активное заражение, то видно, что буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee. Еще один, Eset, обнаруживал его присутствие в системе, но лечить был не в состоянии. Причем, тест проводился спустя полгода после появления данной (то бишь прошлой) модификации буткита. К теперешнему моменту ситуации не изменилась. Этот новый вариант буткита имеет куда большую защиту от обнаружения.

Касаемо "обходит все" - если говорить об инсталляции, то да, обходит многое. Все, что ему нужно для успешного заражения системы - открыть диск на по-секторное чтение. Далее, используя ReadFile и WriteFile он записывает свой драйвер и модифицирует главную загрузочную запись. После чего перезагружает ПК, вызывая shutdown с параметрами. К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска (в ближайшее время выйдет сравнение, в котором этот момент будет учтен).

Основная цель буткита - кража конфиденциальной информации, что достигается перехватами в User Mode. Для этого буткитом загружается специальный модуль со своих серверов.

[764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - RelativeJump 0x77DD9E9C [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA1 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA2 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - RelativeJump 0x77DDA109 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10E [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10F [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - RelativeJump 0x77DDE340 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE345 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE346 [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpOpenRequestA, Type: Inline - RelativeJump 0x771B2AF9 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetConnectA, Type: Inline - RelativeJump 0x771B3452 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetCloseHandle, Type: Inline - RelativeJump 0x771B4D8C [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestA, Type: Inline - RelativeJump 0x771B60A1 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetReadFile, Type: Inline - RelativeJump 0x771B82EA [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestW, Type: Inline - RelativeJump 0x77202EBC [unknown_code_page]

Активного буткита пока можно обнаружить антируткитом RootRepeal (см. скрин).

Ну и конечно же, чтобы не заразиться этим руткитом стоит всегда обновлять ОС, браузер и приложения, использующие плагины к нему, антивирусное программное обеспечение (которое может препятствовать открытию страницы с эксплоитом, срабатыванию эксплоита, может обнаружить сам инсталлятор буткита сигнатурно, женериком, эвристически или же, что куда более надежно в плане детекта, анализом системных событий - открытие диска).

Идеальный вариант - работа под ограниченной учетной записью (т.к. открытие диска для модификации mbr возможно только с правами администратора).

[Илья Рабинович 521]

К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска

Открытие диска с правами на запись- это не криминал. Криминал- попытка прямой записи туда.

[vaber 350]

Открытие диска с правами на запись- это не криминал. Криминал- попытка прямой записи туда.

Оно то так...только как показывает опыт большинство ругаются именно на открытие

Ну а вообще имелось ввиду и открытие и запись, которая в данном случае будет иметь место.

[Umnik 997]

Василий, а как с UAC? Помогает? Буткит работает на х64?

[Андрей-001 1099]

буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee

А что лечит Avira AntiVir Bootsektor-Repairtool (от 18 Sep 2008 - Version : 2.01.00.10)?

[vaber 350]

Василий, а как с UAC? Помогает? Буткит работает на х64?

Да и нет

З.Ы. Просьба писать по теме и, не буду показывать пальцем (Рашевский Роман), если все же есть сильное желание хоть что-то написать, да еще не подкрепленное фактами, то гоу в "Неформальное общение и юмор ".

[Umnik 997]

Да и нет smile.gif

Хорошо. А защита бут-сектора из BIOS?

И развей мои сомнения. Мне казалось, что есть руткиты, которые научились обходить UAC. Это у меня ложная память или нет?

[vaber 350]

А защита бут-сектора из BIOS?

Не поможет.

Мне казалось, что есть руткиты, которые научились обходить UAC. Это у меня ложная память или нет?

Не знаю, я с вистой не работаю. Думаю, что такие есть.

[priv8v 960]

какие в нем технические различия от предыдущей малваре (которую весело обсуждают тут), которая также мбр юзала в своих нехороших целях? (имею ввиду различия в плане работы с мбр, а не то какие пароли и как уводят эти зловреды)

[p2u 824]

Мне казалось, что есть руткиты, которые научились обходить UAC.

Должно быть: UAC относительно легко отключается:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"ConsentPromptBehaviorAdmin"=dword:00000000

Один раз 'ОК' и потом всё будет иметь права встроенного админа и вы никаких алертов уже не увидите.

P.S.: Если вам это обязательно нужно, я найду образцы таких вещей. У меня есть ссылка на один Backdoor.TDSS, который по рассказам обходит UAC - устанавливает драйвер UACd.sys без проблем. Не тестировал - Висты нет.

Paul

[Андрей-001 1099]

есть руткиты, которые научились обходить UAC

Например, используя уязвимости: MS08-061, MS08-064, MS08-071 на Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

[vaber 350]

имею ввиду различия в плане работы с мбр

Особых различий нету

У меня есть ссылка на один Backdoor.TDSS, который по рассказам обходит UAC - устанавливает драйвер UACd.sys без проблем. Не тестировал - Висты нет.

Не обходит он, более того - не работает там. Сочетание символов в именах файлов этого варианта руткита TDSS никакого отношения к UAC в висте не имеет.

Например, используя уязвимости: MS08-061, MS08-064, MS08-071 на Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Используя уязвимости ОС можно обойти что угодно

[Илья Рабинович 521]

Должно быть: UAC относительно легко отключается:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

Вот только чтобы писать в HKLM нужны админские права.

[Umnik 997]

Тема разделена

[vaber 350]

Чета тема затухла ,нужно добавить масла в огонь

[Umnik 997]

Василий, а остальные? Ситуация все еще не изменилась?

[p2u 824]

нужно добавить масла в огонь

Давайте...

PREVX 3 проверили? Они утверждают, что детектируют его. Или они обнаруживают лишь загрузку исполняемого файла и на этом всё закончится?

Как выглядит код, который грузит этот руткит через drive-by download? Почему-то все удобно молчат об этом, но блокировать его загрузку не должно быть сложно, так? (блокировка загрузки любого исполнительного файла без разрешения)

Paul