Перейти к содержанию

Recommended Posts

alisa_sh

Мы выпустили бесплатную утилиту для автоматического удаления руткитов семейства TDSS (Tidserv, TDSServ, etc.). Утилита работает по принципу поиска аномалий (скрытых объектов), не привязана к каким-либо сигнатурами, в силу чего обнаруживает все существующие версии руткита и будет обнаруживать последующие до тех пор, пока авторы не перекроят его архитектуру.

Скачать архив с программой можно здесь

MD5 remover.exe:58923e4ecde62d9b7d9f92675a90b836

Функции Rootkit.Win32.TDSS remover версии 1.3.5.0:

* обнаружение скрытых драйверов, ключей реестра, дополнительных модулей руткита

* поиск на системных и съемных дисках файлов autorun.inf, ссылающихся на копии TDSS, и самих этих копий

* удаление найденных объектов.

Known bugs:

* драйвер остается в системе после завершения программы

* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

Спасибо vaber'у и участникам форума "Анализ вредоносных программ" за помощь в тестировании.

Замечания и предложения, success stories и feature requests по-прежнему принимаются в местной почте или на e-mail [email protected]

p.s. на самом деле, это практически полноценный антируткит. Вполне могут быть найдены и успешно удалены другие руткиты, помимо TDSS. Эта возможность отдельно не тестировалась, и feedback по ней нас особенно порадует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
на самом деле, это практически полноценный антируткит. Вполне могут быть найдены и успешно удалены другие руткиты, помимо TDSS. Эта возможность отдельно не тестировалась,

Что ж прямо сегодня попробуем в деле с другими руткитами. :)

...

Попробовал в деле. На одном как бы чистом ПК нашёл с десяток ключей - удалил, перезагрузился.

Зачем-то на разных ПК часто выходят то диал. окно запроса диска А, то диал. окно запроса диска в CD/DVD приводе...

Это нормально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Зачем-то на разных ПК часто выходят то диал. окно запроса диска А, то диал. окно запроса диска в CD/DVD приводе...

Это нормально?

это known bug:

* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

на функционирование программы не влияет.

какие именно ключи реестра были найдены? то, что находит ремовер - скрытые и заблокированные объекты - не обязательно являются вредными.

(например, KIS хранит служебную информацию в заблокированных файлах system32/drivers/fidbox.dat, fidbox.idx - они обнаруживаются при сканировании)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
это known bug: ...на функционирование программы не влияет.

Я так и подумал.

какие именно ключи реестра были найдены?

К сожалению не сохранились. Но помню, что были убраны записи, ведущие на некоторые временные файлы, которые в том случае успели прописаться в реестре на автозапуск в HKEY CU и кое-что сделать, и 2 записи ведущие ещё в какие-то 2 места. Ничего критически важного для системы TDSS cleaner, естественно, не удалил. Там было больше пугающее, чем реальное заражение, и ему осталось только зачистить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

А что на счёт последнего зловреда ака Trojan.Win32.Cosmu.coh? Работы по включению его в общую процедуру удаления ведутся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
А что на счёт последнего зловреда ака Trojan.Win32.Cosmu.coh? Работы по включению его в общую процедуру удаления ведутся?

если под этим именем детектируют третье поколение TDSS, то да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Я не знаю, какое это поколение, только последняя версия этой тулзы ничего при активной инфекции на Варе не обнаружила. Возможно, TDSS-based не означает TDSS, но тем не менее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Я не знаю, какое это поколение, только последняя версия этой тулзы ничего при активной инфекции на Варе не обнаружила. Возможно, TDSS-based не означает TDSS, но тем не менее.

Кто вам сказал, что это вообще TDSS? Имя детектирования сэмпла ни о чем не говорит, особенно если оно различается от вендора к вендору.

Обнаружение и лечение любых произвольных вредоносов можно обсуждать, если имеется соответствующий экземпляр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Обнаружение и лечение любых произвольных вредоносов можно обсуждать, если имеется соответствующий экземпляр.

Если нужен экземпляр этого добра, плюс tdss.z, tdss.u и tdss.aa - v'qk мне в личку, вышлю с подробными замечаниями.

v'qk = мэйл, прошу прощения за опечатку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh

Вышла новая версия утилиты Rootkit.Win32.TDSS remover: 1.6.

Архив здесь

Новые функции:

* лечение руткита TDL3

* сохранение обнаруженных объектов в заданную директорию (специально для хелперов Virusinfo.info)

* отправка статистики и вредоносных файлов на наш сервер.

Механизм работы дезинфектора TDL3 (эксклюзивно для anti-malware.ru :)):

* детектируются все подменяемые при нормальном чтении с диска драйвера

* независимо от этого, детектируются драйвера с шелл-кодом (собственно, зараженные TDL3).

Детектированный файл заменяется чистым с инсталляционного CD Windows.

Багрепорты --> [email protected]gelab.ru.

Приветы Fixxxer, vaber и Рабиновичу.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Алиса! Не хочу клянчить - но может всё-таки сделаете ту "опцию для продвинутых или безнадёжных", о которых мы вели речь в переписке? Я уверен, что её оценят! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Алиса! Не хочу клянчить - но может всё-таки сделаете ту "опцию для продвинутых или безнадёжных", о которых мы вели речь в переписке? Я уверен, что её оценят! :)

Сделаем, как только в этом появится реальная необходимость (пока не очевидная), преобладающая над рисками (очевидными уже сейчас).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

dr_diesel,

Ну если обратиться к истории, то "первыйна" был у DrWeb.

И у Касперского и у Данилова есть проблемы в исполнении, поэтому решения у обоих на уровне бета. В данном случае утилита - полноценный релиз, кое в чём превосходящий упомянутых конкурентов.

Правда, есть полумифическая последняя модификация TDL3, дроппер которой в розыске. Как будет работать с ней - интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Сделаем, как только в этом появится реальная необходимость (пока не очевидная), преобладающая над рисками (очевидными уже сейчас).

Может сделать для включения этой фичи специальный ключ?

Ну если обратиться к истории, то "первыйна" был у DrWeb.

Хм. Что-то я пропустил момент релиза из бэты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
dr_diesel,

Ну если обратиться к истории, то "первыйна" был у DrWeb.

И у Касперского и у Данилова есть проблемы в исполнении, поэтому решения у обоих на уровне бета. В данном случае утилита - полноценный релиз, кое в чём превосходящий упомянутых конкурентов.

В чем же ?

Правда, есть полумифическая последняя модификация TDL3, дроппер которой в розыске. Как будет работать с ней - интересно.

Вот у вас "в розыске", а у меня банально третий день руки не доходят RC3 выложить (заняты мы на другой войне) с лечением этого самого...

P.S. выложил. где брать - сами знаете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

А., Вам виднее - вы Гуру :) А я лишь скромный пользователь-хелпер. И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD. А вот с сабжем, даже в бете от 21.11.2009, нареканий не было. Да и карантин - вещь очень полезная, а утилиты от вирлабов, как правило, работают в режиме маленького кассетного бомбометания - фиг поймёшь потом, что же удалил и как детект к этому добавить :) Хотя признаю, в TDSSKiller минидамп - это уже что-то.

Вот у вас "в розыске", а у меня банально третий день руки не доходят RC3 выложить

У меня не в розыске. Был бы в розыске - я бы не писал "полумифический". А девелопер утилиты - Вы или Юрий Паршин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А., Вам виднее - вы Гуру :) А я лишь скромный пользователь-хелпер. И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD. А вот с сабжем, даже в бете от 21.11.2009, нареканий не было. Да и карантин - вещь очень полезная, а утилиты от вирлабов, как правило, работают в режиме маленького кассетного бомбометания - фиг поймёшь потом, что же удалил и как детект к этому добавить :) Хотя признаю, в TDSSKiller минидамп - это уже что-то.

У меня не в розыске. Был бы в розыске - я бы не писал "полумифический". А девелопер утилиты - Вы или Юрий Паршин?

"И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD" - давайте конкретику все-таки, а ? Что за хвосты ?

Девелопится утилита - силами спец.подразделения ЛК, причем это не единственная наша текущая разработка в отношении TDSS. Гнаться за вебом и идти по пути бесконечных "синек" и адских тормозов продукта - нам не надо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

давайте конкретику все-таки, а ? Что за хвосты ?

Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на [email protected] и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на [email protected] и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

правильно думали.

результат вы видите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на [email protected] и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

Привет. Судя по тому отчету, это был не TDSS, а драйвер какого-то легального эмулятора, который точно также перехватывал обработчики в atapi.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

Как бы RC3 уже несколько дней как есть. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Ну тогда спасибо за труд! А что же тогда включено в RC3? Снят фалс на легальные эмуляторы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Ну тогда спасибо за труд! А что же тогда включено в RC3? Снят фалс на легальные эмуляторы?

Фолсов и не было.

Включен детект новых модификаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×