alisa_sh

Rootkit.Win32.TDSS cleaner

В этой теме 32 сообщений

Мы выпустили бесплатную утилиту для автоматического удаления руткитов семейства TDSS (Tidserv, TDSServ, etc.). Утилита работает по принципу поиска аномалий (скрытых объектов), не привязана к каким-либо сигнатурами, в силу чего обнаруживает все существующие версии руткита и будет обнаруживать последующие до тех пор, пока авторы не перекроят его архитектуру.

Скачать архив с программой можно здесь

MD5 remover.exe:58923e4ecde62d9b7d9f92675a90b836

Функции Rootkit.Win32.TDSS remover версии 1.3.5.0:

* обнаружение скрытых драйверов, ключей реестра, дополнительных модулей руткита

* поиск на системных и съемных дисках файлов autorun.inf, ссылающихся на копии TDSS, и самих этих копий

* удаление найденных объектов.

Known bugs:

* драйвер остается в системе после завершения программы

* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

Спасибо vaber'у и участникам форума "Анализ вредоносных программ" за помощь в тестировании.

Замечания и предложения, success stories и feature requests по-прежнему принимаются в местной почте или на e-mail [email protected]

p.s. на самом деле, это практически полноценный антируткит. Вполне могут быть найдены и успешно удалены другие руткиты, помимо TDSS. Эта возможность отдельно не тестировалась, и feedback по ней нас особенно порадует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
на самом деле, это практически полноценный антируткит. Вполне могут быть найдены и успешно удалены другие руткиты, помимо TDSS. Эта возможность отдельно не тестировалась,

Что ж прямо сегодня попробуем в деле с другими руткитами. :)

...

Попробовал в деле. На одном как бы чистом ПК нашёл с десяток ключей - удалил, перезагрузился.

Зачем-то на разных ПК часто выходят то диал. окно запроса диска А, то диал. окно запроса диска в CD/DVD приводе...

Это нормально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зачем-то на разных ПК часто выходят то диал. окно запроса диска А, то диал. окно запроса диска в CD/DVD приводе...

Это нормально?

это known bug:

* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

на функционирование программы не влияет.

какие именно ключи реестра были найдены? то, что находит ремовер - скрытые и заблокированные объекты - не обязательно являются вредными.

(например, KIS хранит служебную информацию в заблокированных файлах system32/drivers/fidbox.dat, fidbox.idx - они обнаруживаются при сканировании)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
это known bug: ...на функционирование программы не влияет.

Я так и подумал.

какие именно ключи реестра были найдены?

К сожалению не сохранились. Но помню, что были убраны записи, ведущие на некоторые временные файлы, которые в том случае успели прописаться в реестре на автозапуск в HKEY CU и кое-что сделать, и 2 записи ведущие ещё в какие-то 2 места. Ничего критически важного для системы TDSS cleaner, естественно, не удалил. Там было больше пугающее, чем реальное заражение, и ему осталось только зачистить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А что на счёт последнего зловреда ака Trojan.Win32.Cosmu.coh? Работы по включению его в общую процедуру удаления ведутся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А что на счёт последнего зловреда ака Trojan.Win32.Cosmu.coh? Работы по включению его в общую процедуру удаления ведутся?

если под этим именем детектируют третье поколение TDSS, то да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я не знаю, какое это поколение, только последняя версия этой тулзы ничего при активной инфекции на Варе не обнаружила. Возможно, TDSS-based не означает TDSS, но тем не менее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не знаю, какое это поколение, только последняя версия этой тулзы ничего при активной инфекции на Варе не обнаружила. Возможно, TDSS-based не означает TDSS, но тем не менее.

Кто вам сказал, что это вообще TDSS? Имя детектирования сэмпла ни о чем не говорит, особенно если оно различается от вендора к вендору.

Обнаружение и лечение любых произвольных вредоносов можно обсуждать, если имеется соответствующий экземпляр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Обнаружение и лечение любых произвольных вредоносов можно обсуждать, если имеется соответствующий экземпляр.

Если нужен экземпляр этого добра, плюс tdss.z, tdss.u и tdss.aa - v'qk мне в личку, вышлю с подробными замечаниями.

v'qk = мэйл, прошу прощения за опечатку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вышла новая версия утилиты Rootkit.Win32.TDSS remover: 1.6.

Архив здесь

Новые функции:

* лечение руткита TDL3

* сохранение обнаруженных объектов в заданную директорию (специально для хелперов Virusinfo.info)

* отправка статистики и вредоносных файлов на наш сервер.

Механизм работы дезинфектора TDL3 (эксклюзивно для anti-malware.ru :)):

* детектируются все подменяемые при нормальном чтении с диска драйвера

* независимо от этого, детектируются драйвера с шелл-кодом (собственно, зараженные TDL3).

Детектированный файл заменяется чистым с инсталляционного CD Windows.

Багрепорты --> [email protected]

Приветы Fixxxer, vaber и Рабиновичу.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Алиса! Не хочу клянчить - но может всё-таки сделаете ту "опцию для продвинутых или безнадёжных", о которых мы вели речь в переписке? Я уверен, что её оценят! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алиса! Не хочу клянчить - но может всё-таки сделаете ту "опцию для продвинутых или безнадёжных", о которых мы вели речь в переписке? Я уверен, что её оценят! :)

Сделаем, как только в этом появится реальная необходимость (пока не очевидная), преобладающая над рисками (очевидными уже сейчас).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

dr_diesel,

Ну если обратиться к истории, то "первыйна" был у DrWeb.

И у Касперского и у Данилова есть проблемы в исполнении, поэтому решения у обоих на уровне бета. В данном случае утилита - полноценный релиз, кое в чём превосходящий упомянутых конкурентов.

Правда, есть полумифическая последняя модификация TDL3, дроппер которой в розыске. Как будет работать с ней - интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сделаем, как только в этом появится реальная необходимость (пока не очевидная), преобладающая над рисками (очевидными уже сейчас).

Может сделать для включения этой фичи специальный ключ?

Ну если обратиться к истории, то "первыйна" был у DrWeb.

Хм. Что-то я пропустил момент релиза из бэты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_diesel,

Ну если обратиться к истории, то "первыйна" был у DrWeb.

И у Касперского и у Данилова есть проблемы в исполнении, поэтому решения у обоих на уровне бета. В данном случае утилита - полноценный релиз, кое в чём превосходящий упомянутых конкурентов.

В чем же ?

Правда, есть полумифическая последняя модификация TDL3, дроппер которой в розыске. Как будет работать с ней - интересно.

Вот у вас "в розыске", а у меня банально третий день руки не доходят RC3 выложить (заняты мы на другой войне) с лечением этого самого...

P.S. выложил. где брать - сами знаете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А., Вам виднее - вы Гуру :) А я лишь скромный пользователь-хелпер. И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD. А вот с сабжем, даже в бете от 21.11.2009, нареканий не было. Да и карантин - вещь очень полезная, а утилиты от вирлабов, как правило, работают в режиме маленького кассетного бомбометания - фиг поймёшь потом, что же удалил и как детект к этому добавить :) Хотя признаю, в TDSSKiller минидамп - это уже что-то.

Вот у вас "в розыске", а у меня банально третий день руки не доходят RC3 выложить

У меня не в розыске. Был бы в розыске - я бы не писал "полумифический". А девелопер утилиты - Вы или Юрий Паршин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А., Вам виднее - вы Гуру :) А я лишь скромный пользователь-хелпер. И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD. А вот с сабжем, даже в бете от 21.11.2009, нареканий не было. Да и карантин - вещь очень полезная, а утилиты от вирлабов, как правило, работают в режиме маленького кассетного бомбометания - фиг поймёшь потом, что же удалил и как детект к этому добавить :) Хотя признаю, в TDSSKiller минидамп - это уже что-то.

У меня не в розыске. Был бы в розыске - я бы не писал "полумифический". А девелопер утилиты - Вы или Юрий Паршин?

"И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD" - давайте конкретику все-таки, а ? Что за хвосты ?

Девелопится утилита - силами спец.подразделения ЛК, причем это не единственная наша текущая разработка в отношении TDSS. Гнаться за вебом и идти по пути бесконечных "синек" и адских тормозов продукта - нам не надо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

давайте конкретику все-таки, а ? Что за хвосты ?

Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на [email protected] и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на [email protected] и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

правильно думали.

результат вы видите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на [email protected] и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

Привет. Судя по тому отчету, это был не TDSS, а драйвер какого-то легального эмулятора, который точно также перехватывал обработчики в atapi.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

Как бы RC3 уже несколько дней как есть. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну тогда спасибо за труд! А что же тогда включено в RC3? Снят фалс на легальные эмуляторы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну тогда спасибо за труд! А что же тогда включено в RC3? Снят фалс на легальные эмуляторы?

Фолсов и не было.

Включен детект новых модификаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS