Перейти к содержанию

Recommended Posts

alisa_sh

Мы выпустили бесплатную утилиту для автоматического удаления руткитов семейства TDSS (Tidserv, TDSServ, etc.). Утилита работает по принципу поиска аномалий (скрытых объектов), не привязана к каким-либо сигнатурами, в силу чего обнаруживает все существующие версии руткита и будет обнаруживать последующие до тех пор, пока авторы не перекроят его архитектуру.

Скачать архив с программой можно здесь

MD5 remover.exe:58923e4ecde62d9b7d9f92675a90b836

Функции Rootkit.Win32.TDSS remover версии 1.3.5.0:

* обнаружение скрытых драйверов, ключей реестра, дополнительных модулей руткита

* поиск на системных и съемных дисках файлов autorun.inf, ссылающихся на копии TDSS, и самих этих копий

* удаление найденных объектов.

Known bugs:

* драйвер остается в системе после завершения программы

* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

Спасибо vaber'у и участникам форума "Анализ вредоносных программ" за помощь в тестировании.

Замечания и предложения, success stories и feature requests по-прежнему принимаются в местной почте или на e-mail alisa@esagelab.com.

p.s. на самом деле, это практически полноценный антируткит. Вполне могут быть найдены и успешно удалены другие руткиты, помимо TDSS. Эта возможность отдельно не тестировалась, и feedback по ней нас особенно порадует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
на самом деле, это практически полноценный антируткит. Вполне могут быть найдены и успешно удалены другие руткиты, помимо TDSS. Эта возможность отдельно не тестировалась,

Что ж прямо сегодня попробуем в деле с другими руткитами. :)

...

Попробовал в деле. На одном как бы чистом ПК нашёл с десяток ключей - удалил, перезагрузился.

Зачем-то на разных ПК часто выходят то диал. окно запроса диска А, то диал. окно запроса диска в CD/DVD приводе...

Это нормально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Зачем-то на разных ПК часто выходят то диал. окно запроса диска А, то диал. окно запроса диска в CD/DVD приводе...

Это нормально?

это known bug:

* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

на функционирование программы не влияет.

какие именно ключи реестра были найдены? то, что находит ремовер - скрытые и заблокированные объекты - не обязательно являются вредными.

(например, KIS хранит служебную информацию в заблокированных файлах system32/drivers/fidbox.dat, fidbox.idx - они обнаруживаются при сканировании)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
это known bug: ...на функционирование программы не влияет.

Я так и подумал.

какие именно ключи реестра были найдены?

К сожалению не сохранились. Но помню, что были убраны записи, ведущие на некоторые временные файлы, которые в том случае успели прописаться в реестре на автозапуск в HKEY CU и кое-что сделать, и 2 записи ведущие ещё в какие-то 2 места. Ничего критически важного для системы TDSS cleaner, естественно, не удалил. Там было больше пугающее, чем реальное заражение, и ему осталось только зачистить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

А что на счёт последнего зловреда ака Trojan.Win32.Cosmu.coh? Работы по включению его в общую процедуру удаления ведутся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
А что на счёт последнего зловреда ака Trojan.Win32.Cosmu.coh? Работы по включению его в общую процедуру удаления ведутся?

если под этим именем детектируют третье поколение TDSS, то да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Я не знаю, какое это поколение, только последняя версия этой тулзы ничего при активной инфекции на Варе не обнаружила. Возможно, TDSS-based не означает TDSS, но тем не менее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Я не знаю, какое это поколение, только последняя версия этой тулзы ничего при активной инфекции на Варе не обнаружила. Возможно, TDSS-based не означает TDSS, но тем не менее.

Кто вам сказал, что это вообще TDSS? Имя детектирования сэмпла ни о чем не говорит, особенно если оно различается от вендора к вендору.

Обнаружение и лечение любых произвольных вредоносов можно обсуждать, если имеется соответствующий экземпляр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Обнаружение и лечение любых произвольных вредоносов можно обсуждать, если имеется соответствующий экземпляр.

Если нужен экземпляр этого добра, плюс tdss.z, tdss.u и tdss.aa - v'qk мне в личку, вышлю с подробными замечаниями.

v'qk = мэйл, прошу прощения за опечатку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh

Вышла новая версия утилиты Rootkit.Win32.TDSS remover: 1.6.

Архив здесь

Новые функции:

* лечение руткита TDL3

* сохранение обнаруженных объектов в заданную директорию (специально для хелперов Virusinfo.info)

* отправка статистики и вредоносных файлов на наш сервер.

Механизм работы дезинфектора TDL3 (эксклюзивно для anti-malware.ru :)):

* детектируются все подменяемые при нормальном чтении с диска драйвера

* независимо от этого, детектируются драйвера с шелл-кодом (собственно, зараженные TDL3).

Детектированный файл заменяется чистым с инсталляционного CD Windows.

Багрепорты --> dmitry@esagelab.ru.

Приветы Fixxxer, vaber и Рабиновичу.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Алиса! Не хочу клянчить - но может всё-таки сделаете ту "опцию для продвинутых или безнадёжных", о которых мы вели речь в переписке? Я уверен, что её оценят! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Алиса! Не хочу клянчить - но может всё-таки сделаете ту "опцию для продвинутых или безнадёжных", о которых мы вели речь в переписке? Я уверен, что её оценят! :)

Сделаем, как только в этом появится реальная необходимость (пока не очевидная), преобладающая над рисками (очевидными уже сейчас).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

dr_diesel,

Ну если обратиться к истории, то "первыйна" был у DrWeb.

И у Касперского и у Данилова есть проблемы в исполнении, поэтому решения у обоих на уровне бета. В данном случае утилита - полноценный релиз, кое в чём превосходящий упомянутых конкурентов.

Правда, есть полумифическая последняя модификация TDL3, дроппер которой в розыске. Как будет работать с ней - интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Сделаем, как только в этом появится реальная необходимость (пока не очевидная), преобладающая над рисками (очевидными уже сейчас).

Может сделать для включения этой фичи специальный ключ?

Ну если обратиться к истории, то "первыйна" был у DrWeb.

Хм. Что-то я пропустил момент релиза из бэты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
dr_diesel,

Ну если обратиться к истории, то "первыйна" был у DrWeb.

И у Касперского и у Данилова есть проблемы в исполнении, поэтому решения у обоих на уровне бета. В данном случае утилита - полноценный релиз, кое в чём превосходящий упомянутых конкурентов.

В чем же ?

Правда, есть полумифическая последняя модификация TDL3, дроппер которой в розыске. Как будет работать с ней - интересно.

Вот у вас "в розыске", а у меня банально третий день руки не доходят RC3 выложить (заняты мы на другой войне) с лечением этого самого...

P.S. выложил. где брать - сами знаете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

А., Вам виднее - вы Гуру :) А я лишь скромный пользователь-хелпер. И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD. А вот с сабжем, даже в бете от 21.11.2009, нареканий не было. Да и карантин - вещь очень полезная, а утилиты от вирлабов, как правило, работают в режиме маленького кассетного бомбометания - фиг поймёшь потом, что же удалил и как детект к этому добавить :) Хотя признаю, в TDSSKiller минидамп - это уже что-то.

Вот у вас "в розыске", а у меня банально третий день руки не доходят RC3 выложить

У меня не в розыске. Был бы в розыске - я бы не писал "полумифический". А девелопер утилиты - Вы или Юрий Паршин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А., Вам виднее - вы Гуру :) А я лишь скромный пользователь-хелпер. И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD. А вот с сабжем, даже в бете от 21.11.2009, нареканий не было. Да и карантин - вещь очень полезная, а утилиты от вирлабов, как правило, работают в режиме маленького кассетного бомбометания - фиг поймёшь потом, что же удалил и как детект к этому добавить :) Хотя признаю, в TDSSKiller минидамп - это уже что-то.

У меня не в розыске. Был бы в розыске - я бы не писал "полумифический". А девелопер утилиты - Вы или Юрий Паршин?

"И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD" - давайте конкретику все-таки, а ? Что за хвосты ?

Девелопится утилита - силами спец.подразделения ЛК, причем это не единственная наша текущая разработка в отношении TDSS. Гнаться за вебом и идти по пути бесконечных "синек" и адских тормозов продукта - нам не надо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

давайте конкретику все-таки, а ? Что за хвосты ?

Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на newvirus@kaspersky.com и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на newvirus@kaspersky.com и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

правильно думали.

результат вы видите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на newvirus@kaspersky.com и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

Привет. Судя по тому отчету, это был не TDSS, а драйвер какого-то легального эмулятора, который точно также перехватывал обработчики в atapi.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

Как бы RC3 уже несколько дней как есть. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Ну тогда спасибо за труд! А что же тогда включено в RC3? Снят фалс на легальные эмуляторы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Ну тогда спасибо за труд! А что же тогда включено в RC3? Снят фалс на легальные эмуляторы?

Фолсов и не было.

Включен детект новых модификаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Win7 + TrueCrypt

d7eafdf5a45d.jpg

Лог отправлен на support@esagelab.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×