Перейти к содержанию
Ego1st

Mebroot/Sinowal/MBR/Torpig - обнаружен новый вариант буткита

Recommended Posts

Ego1st

На зарубежных сайтах, пишут что обнаружился новый Mebroot

Функционал у него такой:

-крадет пароли к банковским вебсайтам=)

-может внедряться в html страницы с и без EV-SSL

-может перехватывать нажатия экранных клавиатур и капчей

-труден для детекта

-все браузеры подвержены уязвимости

на данный момент видимо его в активном состоянии никто не лечит потому что пишут что обходит все, обнаружить что машинка заражена можно вот так=)

так

Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

---- Threads - GMER 1.0.15 ----

Thread System [4:1088] 82B462E0

Thread System [4:1092] 82B329C6

Thread System [4:1100] 82B64527

Thread System [4:1132] 82B35941

Thread System [4:436] 82B462E0

Thread System [4:560] 82B329C6

Thread System [4:696] 82B64527

Thread System [4:784] 82B35941

---- EOF - GMER 1.0.15 ----

или так

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Time: 2009/04/08 xx:xx

Program Version: Version 1.x.x.x

Windows Version: Windows XP SP2

==================================================

Hidden/Locked Files

-------------------

Path: Volume C:\

Status: MBR Rootkit Detected!

Stealth Objects

-------------------

Object: Hidden Code [ETHREAD: 0x813a7318]

Process: System Address: 0x8146a2e0 Size: 2246

Object: Hidden Code [ETHREAD: 0x813a7090]

Process: System Address: 0x814569c6 Size: 1360

Object: Hidden Code [ETHREAD: 0x81396da8]

Process: System Address: 0x81488527 Size: 2779

Object: Hidden Code [ETHREAD: 0x81396b20]

Process: System Address: 0x81459941 Size: 1729

Object: Hidden Code [ETHREAD: 0xff28cc68]

Process: System Address: 0x8146a2e0 Size: 2246

Object: Hidden Code [ETHREAD: 0xff28c9e0]

Process: System Address: 0x814569c6 Size: 1360

Object: Hidden Code [ETHREAD: 0xff28c758]

Process: System Address: 0x81488527 Size: 2779

Object: Hidden Code [ETHREAD: 0xff28c4d0]

Process: System Address: 0x81459941 Size: 1729

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x81439560 Size: 2724

так же можно обнаружить, открыв блокнот - файл - открыть и ставим эту строчку c:\WINDOWS\TEMP\rg4sfay

и увидеть свои пароли=)(это конечно если темп у вас там))

http://www.trustdefender.com/blog/2009/04/...rous-than-ever/ - очень хорошее описание=)

Ну что кто первый начнет пиарится?=))

и дайте, бинарник погонять=))

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
экранных клавиатур

Виртуальных? Ну так это прошлый век.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Виртуальных? Ну так это прошлый век.

а что у нас в новом веке?=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Ego1st

Безопасные мастера паролей(и не те, которые в браузеры встроены желательно) где все пароли и логины зашифровываются и хранятся в сетевом хранилище.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Мне кажется, что скоро эта угроза начнет детектироваться любым уважающим себя антивирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
так же можно обнаружить, открыв блокнот - файл - открыть и ставим эту строчку c:\WINDOWS\TEMP\rg4sfay и увидеть свои пароли=)(это конечно если темп у вас там))

Вы, возможно имели в виду с помощью командной строкой от имени админа?

Пуск - выполнить - cmd (Enter)

Там набрать:

cd c:\WINDOWS\TEMP (Enter)

Там набрать:

notepad rg4sfay (Enter)

и любоваться данными. Так? ;)

Мне кажется, что скоро эта угроза начнет детектироваться любым уважающим себя антивирусом.

Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Вы, возможно имели в виду с помощью командной строкой от имени админа?

Пуск - выполнить - cmd (Enter)

Там набрать:

cd c:\WINDOWS\TEMP (Enter)

Там набрать:

notepad rg4sfay (Enter)

и любоваться данными. Так? ;)

Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

Паул можно и так как я сказал=) итог будет один=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
на данный момент видимо его в активном состоянии никто не лечит потому что пишут что обходит все,

Немного от себя добавлю - активным в системе его действительно не видит ни один антивирус (даже если будет запись на зараженный mbr). Впрочем, не думаю, что такая картина сильно измениться в будущем. Если обратиться к последнему тесту на активное заражение, то видно, что буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee. Еще один, Eset, обнаруживал его присутствие в системе, но лечить был не в состоянии. Причем, тест проводился спустя полгода после появления данной (то бишь прошлой) модификации буткита. К теперешнему моменту ситуации не изменилась. Этот новый вариант буткита имеет куда большую защиту от обнаружения.

Касаемо "обходит все" - если говорить об инсталляции, то да, обходит многое. Все, что ему нужно для успешного заражения системы - открыть диск на по-секторное чтение. Далее, используя ReadFile и WriteFile он записывает свой драйвер и модифицирует главную загрузочную запись. После чего перезагружает ПК, вызывая shutdown с параметрами. К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска (в ближайшее время выйдет сравнение, в котором этот момент будет учтен).

Основная цель буткита - кража конфиденциальной информации, что достигается перехватами в User Mode. Для этого буткитом загружается специальный модуль со своих серверов.

[764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - RelativeJump 0x77DD9E9C [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA1 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA2 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - RelativeJump 0x77DDA109 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10E [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10F [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - RelativeJump 0x77DDE340 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE345 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE346 [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpOpenRequestA, Type: Inline - RelativeJump 0x771B2AF9 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetConnectA, Type: Inline - RelativeJump 0x771B3452 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetCloseHandle, Type: Inline - RelativeJump 0x771B4D8C [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestA, Type: Inline - RelativeJump 0x771B60A1 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetReadFile, Type: Inline - RelativeJump 0x771B82EA [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestW, Type: Inline - RelativeJump 0x77202EBC [unknown_code_page]

Активного буткита пока можно обнаружить антируткитом RootRepeal (см. скрин).

Ну и конечно же, чтобы не заразиться этим руткитом стоит всегда обновлять ОС, браузер и приложения, использующие плагины к нему, антивирусное программное обеспечение (которое может препятствовать открытию страницы с эксплоитом, срабатыванию эксплоита, может обнаружить сам инсталлятор буткита сигнатурно, женериком, эвристически или же, что куда более надежно в плане детекта, анализом системных событий - открытие диска).

Идеальный вариант - работа под ограниченной учетной записью (т.к. открытие диска для модификации mbr возможно только с правами администратора).

Безымянный.JPG

post-173-1239645533_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска

Открытие диска с правами на запись- это не криминал. Криминал- попытка прямой записи туда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Открытие диска с правами на запись- это не криминал. Криминал- попытка прямой записи туда.

Оно то так...только как показывает опыт большинство ругаются именно на открытие :)

Ну а вообще имелось ввиду и открытие и запись, которая в данном случае будет иметь место.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Василий, а как с UAC? Помогает? Буткит работает на х64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee

А что лечит Avira AntiVir Bootsektor-Repairtool (от 18 Sep 2008 - Version : 2.01.00.10)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Василий, а как с UAC? Помогает? Буткит работает на х64?

Да и нет :)

З.Ы. Просьба писать по теме и, не буду показывать пальцем (Рашевский Роман), если все же есть сильное желание хоть что-то написать, да еще не подкрепленное фактами, то гоу в "Неформальное общение и юмор ".

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Да и нет smile.gif

Хорошо. А защита бут-сектора из BIOS?

И развей мои сомнения. Мне казалось, что есть руткиты, которые научились обходить UAC. Это у меня ложная память или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А защита бут-сектора из BIOS?

Не поможет.

Мне казалось, что есть руткиты, которые научились обходить UAC. Это у меня ложная память или нет?

Не знаю, я с вистой не работаю. Думаю, что такие есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

какие в нем технические различия от предыдущей малваре (которую весело обсуждают тут), которая также мбр юзала в своих нехороших целях? (имею ввиду различия в плане работы с мбр, а не то какие пароли и как уводят эти зловреды)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Мне казалось, что есть руткиты, которые научились обходить UAC.

Должно быть: UAC относительно легко отключается:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"ConsentPromptBehaviorAdmin"=dword:00000000

Один раз 'ОК' и потом всё будет иметь права встроенного админа и вы никаких алертов уже не увидите.

P.S.: Если вам это обязательно нужно, я найду образцы таких вещей. У меня есть ссылка на один Backdoor.TDSS, который по рассказам обходит UAC - устанавливает драйвер UACd.sys без проблем. Не тестировал - Висты нет.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
есть руткиты, которые научились обходить UAC

Например, используя уязвимости: MS08-061, MS08-064, MS08-071 на Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
имею ввиду различия в плане работы с мбр

Особых различий нету

У меня есть ссылка на один Backdoor.TDSS, который по рассказам обходит UAC - устанавливает драйвер UACd.sys без проблем. Не тестировал - Висты нет.

Не обходит он, более того - не работает там. Сочетание символов в именах файлов этого варианта руткита TDSS никакого отношения к UAC в висте не имеет.

Например, используя уязвимости: MS08-061, MS08-064, MS08-071 на Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Используя уязвимости ОС можно обойти что угодно :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Должно быть: UAC относительно легко отключается:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

Вот только чтобы писать в HKLM нужны админские права.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Чета тема затухла :),нужно добавить масла в огонь ;)

ebset.JPG

post-173-1240135627_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Василий, а остальные? Ситуация все еще не изменилась?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
нужно добавить масла в огонь ;)

Давайте... :)

PREVX 3 проверили? Они утверждают, что детектируют его. Или они обнаруживают лишь загрузку исполняемого файла и на этом всё закончится?

Как выглядит код, который грузит этот руткит через drive-by download? Почему-то все удобно молчат об этом, но блокировать его загрузку не должно быть сложно, так? (блокировка загрузки любого исполнительного файла без разрешения)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Компьютеры легко защитить антивирусами, а вот как защитить свою страницу в ВК, например, очень мало кто знает. Сам недавно повергался взлому, мало того что потерял страницу, так еще и у друзей мошенники выдурили деньги. Потому, что касается защиты и безопасности далеко не везде она так очевидна и понятна многим пользователям. Что точно знаю, так это то, что защитить аккаунт можно с помощью информации из этой статьи по защите аккаунта  ,  мне очень помогло, теперь хоть могу спать спокойно, что никто уже не взломает, ведь в ВК есть все возможности для защиты, но многие люди не знают об этом. 
    • Moraband
      Лучше бы за взломы в ВК сажали, но увы максимум это блокировка страницы взломщика, а чаще всего вообще никаких санкций нет, при том что владельцы ВК теперь представители мэйл ру, лояльные к правительству. Потому советую людям самим задумываться о своей безопасности в ВК, потому что это сейчас одна из самых актуальных проблем, взломщики активизировались из-за кризиса, деньги всем нужны, потому берут взламывают и клянчат у друзей взломанного пользователя деньги. Всем советую изучить статью по защите от взломов в ВК , чтоб хоть как-то защитить себя . Вот это куда более важное дело, что переживать из-за нецензурной лексики пользователей, но у нас же как всегда борются с тем что не надо, игнорируя важную проблему. 
    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
×