Ego1st

Mebroot/Sinowal/MBR/Torpig - обнаружен новый вариант буткита

В этой теме 77 сообщений

На зарубежных сайтах, пишут что обнаружился новый Mebroot

Функционал у него такой:

-крадет пароли к банковским вебсайтам=)

-может внедряться в html страницы с и без EV-SSL

-может перехватывать нажатия экранных клавиатур и капчей

-труден для детекта

-все браузеры подвержены уязвимости

на данный момент видимо его в активном состоянии никто не лечит потому что пишут что обходит все, обнаружить что машинка заражена можно вот так=)

так

Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

---- Threads - GMER 1.0.15 ----

Thread System [4:1088] 82B462E0

Thread System [4:1092] 82B329C6

Thread System [4:1100] 82B64527

Thread System [4:1132] 82B35941

Thread System [4:436] 82B462E0

Thread System [4:560] 82B329C6

Thread System [4:696] 82B64527

Thread System [4:784] 82B35941

---- EOF - GMER 1.0.15 ----

или так

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Time: 2009/04/08 xx:xx

Program Version: Version 1.x.x.x

Windows Version: Windows XP SP2

==================================================

Hidden/Locked Files

-------------------

Path: Volume C:\

Status: MBR Rootkit Detected!

Stealth Objects

-------------------

Object: Hidden Code [ETHREAD: 0x813a7318]

Process: System Address: 0x8146a2e0 Size: 2246

Object: Hidden Code [ETHREAD: 0x813a7090]

Process: System Address: 0x814569c6 Size: 1360

Object: Hidden Code [ETHREAD: 0x81396da8]

Process: System Address: 0x81488527 Size: 2779

Object: Hidden Code [ETHREAD: 0x81396b20]

Process: System Address: 0x81459941 Size: 1729

Object: Hidden Code [ETHREAD: 0xff28cc68]

Process: System Address: 0x8146a2e0 Size: 2246

Object: Hidden Code [ETHREAD: 0xff28c9e0]

Process: System Address: 0x814569c6 Size: 1360

Object: Hidden Code [ETHREAD: 0xff28c758]

Process: System Address: 0x81488527 Size: 2779

Object: Hidden Code [ETHREAD: 0xff28c4d0]

Process: System Address: 0x81459941 Size: 1729

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x81439560 Size: 2724

так же можно обнаружить, открыв блокнот - файл - открыть и ставим эту строчку c:\WINDOWS\TEMP\rg4sfay

и увидеть свои пароли=)(это конечно если темп у вас там))

http://www.trustdefender.com/blog/2009/04/...rous-than-ever/ - очень хорошее описание=)

Ну что кто первый начнет пиарится?=))

и дайте, бинарник погонять=))

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
экранных клавиатур

Виртуальных? Ну так это прошлый век.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виртуальных? Ну так это прошлый век.

а что у нас в новом веке?=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ego1st

Безопасные мастера паролей(и не те, которые в браузеры встроены желательно) где все пароли и логины зашифровываются и хранятся в сетевом хранилище.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне кажется, что скоро эта угроза начнет детектироваться любым уважающим себя антивирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
так же можно обнаружить, открыв блокнот - файл - открыть и ставим эту строчку c:\WINDOWS\TEMP\rg4sfay и увидеть свои пароли=)(это конечно если темп у вас там))

Вы, возможно имели в виду с помощью командной строкой от имени админа?

Пуск - выполнить - cmd (Enter)

Там набрать:

cd c:\WINDOWS\TEMP (Enter)

Там набрать:

notepad rg4sfay (Enter)

и любоваться данными. Так? ;)

Мне кажется, что скоро эта угроза начнет детектироваться любым уважающим себя антивирусом.

Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы, возможно имели в виду с помощью командной строкой от имени админа?

Пуск - выполнить - cmd (Enter)

Там набрать:

cd c:\WINDOWS\TEMP (Enter)

Там набрать:

notepad rg4sfay (Enter)

и любоваться данными. Так? ;)

Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

Паул можно и так как я сказал=) итог будет один=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
на данный момент видимо его в активном состоянии никто не лечит потому что пишут что обходит все,

Немного от себя добавлю - активным в системе его действительно не видит ни один антивирус (даже если будет запись на зараженный mbr). Впрочем, не думаю, что такая картина сильно измениться в будущем. Если обратиться к последнему тесту на активное заражение, то видно, что буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee. Еще один, Eset, обнаруживал его присутствие в системе, но лечить был не в состоянии. Причем, тест проводился спустя полгода после появления данной (то бишь прошлой) модификации буткита. К теперешнему моменту ситуации не изменилась. Этот новый вариант буткита имеет куда большую защиту от обнаружения.

Касаемо "обходит все" - если говорить об инсталляции, то да, обходит многое. Все, что ему нужно для успешного заражения системы - открыть диск на по-секторное чтение. Далее, используя ReadFile и WriteFile он записывает свой драйвер и модифицирует главную загрузочную запись. После чего перезагружает ПК, вызывая shutdown с параметрами. К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска (в ближайшее время выйдет сравнение, в котором этот момент будет учтен).

Основная цель буткита - кража конфиденциальной информации, что достигается перехватами в User Mode. Для этого буткитом загружается специальный модуль со своих серверов.

[764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - RelativeJump 0x77DD9E9C [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA1 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA2 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - RelativeJump 0x77DDA109 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10E [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10F [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - RelativeJump 0x77DDE340 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE345 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE346 [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpOpenRequestA, Type: Inline - RelativeJump 0x771B2AF9 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetConnectA, Type: Inline - RelativeJump 0x771B3452 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetCloseHandle, Type: Inline - RelativeJump 0x771B4D8C [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestA, Type: Inline - RelativeJump 0x771B60A1 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetReadFile, Type: Inline - RelativeJump 0x771B82EA [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestW, Type: Inline - RelativeJump 0x77202EBC [unknown_code_page]

Активного буткита пока можно обнаружить антируткитом RootRepeal (см. скрин).

Ну и конечно же, чтобы не заразиться этим руткитом стоит всегда обновлять ОС, браузер и приложения, использующие плагины к нему, антивирусное программное обеспечение (которое может препятствовать открытию страницы с эксплоитом, срабатыванию эксплоита, может обнаружить сам инсталлятор буткита сигнатурно, женериком, эвристически или же, что куда более надежно в плане детекта, анализом системных событий - открытие диска).

Идеальный вариант - работа под ограниченной учетной записью (т.к. открытие диска для модификации mbr возможно только с правами администратора).

Безымянный.JPG

post-173-1239645533_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска

Открытие диска с правами на запись- это не криминал. Криминал- попытка прямой записи туда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Открытие диска с правами на запись- это не криминал. Криминал- попытка прямой записи туда.

Оно то так...только как показывает опыт большинство ругаются именно на открытие :)

Ну а вообще имелось ввиду и открытие и запись, которая в данном случае будет иметь место.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Василий, а как с UAC? Помогает? Буткит работает на х64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee

А что лечит Avira AntiVir Bootsektor-Repairtool (от 18 Sep 2008 - Version : 2.01.00.10)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Василий, а как с UAC? Помогает? Буткит работает на х64?

Да и нет :)

З.Ы. Просьба писать по теме и, не буду показывать пальцем (Рашевский Роман), если все же есть сильное желание хоть что-то написать, да еще не подкрепленное фактами, то гоу в "Неформальное общение и юмор ".

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да и нет smile.gif

Хорошо. А защита бут-сектора из BIOS?

И развей мои сомнения. Мне казалось, что есть руткиты, которые научились обходить UAC. Это у меня ложная память или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А защита бут-сектора из BIOS?

Не поможет.

Мне казалось, что есть руткиты, которые научились обходить UAC. Это у меня ложная память или нет?

Не знаю, я с вистой не работаю. Думаю, что такие есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

какие в нем технические различия от предыдущей малваре (которую весело обсуждают тут), которая также мбр юзала в своих нехороших целях? (имею ввиду различия в плане работы с мбр, а не то какие пароли и как уводят эти зловреды)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне казалось, что есть руткиты, которые научились обходить UAC.

Должно быть: UAC относительно легко отключается:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"ConsentPromptBehaviorAdmin"=dword:00000000

Один раз 'ОК' и потом всё будет иметь права встроенного админа и вы никаких алертов уже не увидите.

P.S.: Если вам это обязательно нужно, я найду образцы таких вещей. У меня есть ссылка на один Backdoor.TDSS, который по рассказам обходит UAC - устанавливает драйвер UACd.sys без проблем. Не тестировал - Висты нет.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
есть руткиты, которые научились обходить UAC

Например, используя уязвимости: MS08-061, MS08-064, MS08-071 на Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
имею ввиду различия в плане работы с мбр

Особых различий нету

У меня есть ссылка на один Backdoor.TDSS, который по рассказам обходит UAC - устанавливает драйвер UACd.sys без проблем. Не тестировал - Висты нет.

Не обходит он, более того - не работает там. Сочетание символов в именах файлов этого варианта руткита TDSS никакого отношения к UAC в висте не имеет.

Например, используя уязвимости: MS08-061, MS08-064, MS08-071 на Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Используя уязвимости ОС можно обойти что угодно :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Должно быть: UAC относительно легко отключается:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

Вот только чтобы писать в HKLM нужны админские права.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чета тема затухла :),нужно добавить масла в огонь ;)

ebset.JPG

post-173-1240135627_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Василий, а остальные? Ситуация все еще не изменилась?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
нужно добавить масла в огонь ;)

Давайте... :)

PREVX 3 проверили? Они утверждают, что детектируют его. Или они обнаруживают лишь загрузку исполняемого файла и на этом всё закончится?

Как выглядит код, который грузит этот руткит через drive-by download? Почему-то все удобно молчат об этом, но блокировать его загрузку не должно быть сложно, так? (блокировка загрузки любого исполнительного файла без разрешения)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • МашаМашенька
      Смотря для чего вы его хотите купить! Если для работы, то конечно с ноутбуком удобней! Если для игр, просмотра фильмов и так далее, то лучше компьютер, там мощности больше и экран можно большой взять
    • МашаМашенька
      А мы также планируем в Буковель поехать с супругом. В моих планах забеременеть, может хоть свежий воздух и другая атмосфера этому поспособствует. Нашла статью https://jdembaby.com/planning/zachatie/luchshie-pozy-dlya-zachatiya-rebenka.html , хочу применить в процессе, как раз проверим правду пишут или нет.
    • sharyga777
    • РПС-Калуга
      Компания "РусПромСварка" занимается проектированием, изготовлением и монтажом металлоконструкций в Калуге и Калужской области.  Опыт и наличие профессионального оборудования позволяют изготавливать качественные конструкции из металла по оптимальным ценам по чертежам и эскизам заказчика: металлические лестницы, переходы и площадки заборы из профнастила и металлопрофиля беседки из поликарбоната с металлическим каркасом строительные металлоконструкции (фермы, колонны, балки) Производим монтаж металлоконструкций. Сварочные работы  производятся аттестованными сварщиками на новейшем профессиональном оборудовании Lincoln Electric c использованием высококачественных сварочных материалов.  
    • PR55.RP55
      + MapsFrontier
      Global Security Center OOO
      Total PC
      Blue Century Software co.
      Elex do Brasil Participacoes Ltda.