Перейти к содержанию

Recommended Posts

alisa_sh

Мы выпустили бесплатную утилиту для автоматического удаления руткитов семейства TDSS (Tidserv, TDSServ, etc.). Утилита работает по принципу поиска аномалий (скрытых объектов), не привязана к каким-либо сигнатурами, в силу чего обнаруживает все существующие версии руткита и будет обнаруживать последующие до тех пор, пока авторы не перекроят его архитектуру.

Скачать архив с программой можно здесь

MD5 remover.exe:58923e4ecde62d9b7d9f92675a90b836

Функции Rootkit.Win32.TDSS remover версии 1.3.5.0:

* обнаружение скрытых драйверов, ключей реестра, дополнительных модулей руткита

* поиск на системных и съемных дисках файлов autorun.inf, ссылающихся на копии TDSS, и самих этих копий

* удаление найденных объектов.

Known bugs:

* драйвер остается в системе после завершения программы

* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

Спасибо vaber'у и участникам форума "Анализ вредоносных программ" за помощь в тестировании.

Замечания и предложения, success stories и feature requests по-прежнему принимаются в местной почте или на e-mail alisa@esagelab.com.

p.s. на самом деле, это практически полноценный антируткит. Вполне могут быть найдены и успешно удалены другие руткиты, помимо TDSS. Эта возможность отдельно не тестировалась, и feedback по ней нас особенно порадует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
на самом деле, это практически полноценный антируткит. Вполне могут быть найдены и успешно удалены другие руткиты, помимо TDSS. Эта возможность отдельно не тестировалась,

Что ж прямо сегодня попробуем в деле с другими руткитами. :)

...

Попробовал в деле. На одном как бы чистом ПК нашёл с десяток ключей - удалил, перезагрузился.

Зачем-то на разных ПК часто выходят то диал. окно запроса диска А, то диал. окно запроса диска в CD/DVD приводе...

Это нормально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Зачем-то на разных ПК часто выходят то диал. окно запроса диска А, то диал. окно запроса диска в CD/DVD приводе...

Это нормально?

это known bug:

* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

на функционирование программы не влияет.

какие именно ключи реестра были найдены? то, что находит ремовер - скрытые и заблокированные объекты - не обязательно являются вредными.

(например, KIS хранит служебную информацию в заблокированных файлах system32/drivers/fidbox.dat, fidbox.idx - они обнаруживаются при сканировании)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
это known bug: ...на функционирование программы не влияет.

Я так и подумал.

какие именно ключи реестра были найдены?

К сожалению не сохранились. Но помню, что были убраны записи, ведущие на некоторые временные файлы, которые в том случае успели прописаться в реестре на автозапуск в HKEY CU и кое-что сделать, и 2 записи ведущие ещё в какие-то 2 места. Ничего критически важного для системы TDSS cleaner, естественно, не удалил. Там было больше пугающее, чем реальное заражение, и ему осталось только зачистить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

А что на счёт последнего зловреда ака Trojan.Win32.Cosmu.coh? Работы по включению его в общую процедуру удаления ведутся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
А что на счёт последнего зловреда ака Trojan.Win32.Cosmu.coh? Работы по включению его в общую процедуру удаления ведутся?

если под этим именем детектируют третье поколение TDSS, то да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Я не знаю, какое это поколение, только последняя версия этой тулзы ничего при активной инфекции на Варе не обнаружила. Возможно, TDSS-based не означает TDSS, но тем не менее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Я не знаю, какое это поколение, только последняя версия этой тулзы ничего при активной инфекции на Варе не обнаружила. Возможно, TDSS-based не означает TDSS, но тем не менее.

Кто вам сказал, что это вообще TDSS? Имя детектирования сэмпла ни о чем не говорит, особенно если оно различается от вендора к вендору.

Обнаружение и лечение любых произвольных вредоносов можно обсуждать, если имеется соответствующий экземпляр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Обнаружение и лечение любых произвольных вредоносов можно обсуждать, если имеется соответствующий экземпляр.

Если нужен экземпляр этого добра, плюс tdss.z, tdss.u и tdss.aa - v'qk мне в личку, вышлю с подробными замечаниями.

v'qk = мэйл, прошу прощения за опечатку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh

Вышла новая версия утилиты Rootkit.Win32.TDSS remover: 1.6.

Архив здесь

Новые функции:

* лечение руткита TDL3

* сохранение обнаруженных объектов в заданную директорию (специально для хелперов Virusinfo.info)

* отправка статистики и вредоносных файлов на наш сервер.

Механизм работы дезинфектора TDL3 (эксклюзивно для anti-malware.ru :)):

* детектируются все подменяемые при нормальном чтении с диска драйвера

* независимо от этого, детектируются драйвера с шелл-кодом (собственно, зараженные TDL3).

Детектированный файл заменяется чистым с инсталляционного CD Windows.

Багрепорты --> dmitry@esagelab.ru.

Приветы Fixxxer, vaber и Рабиновичу.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Алиса! Не хочу клянчить - но может всё-таки сделаете ту "опцию для продвинутых или безнадёжных", о которых мы вели речь в переписке? Я уверен, что её оценят! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Алиса! Не хочу клянчить - но может всё-таки сделаете ту "опцию для продвинутых или безнадёжных", о которых мы вели речь в переписке? Я уверен, что её оценят! :)

Сделаем, как только в этом появится реальная необходимость (пока не очевидная), преобладающая над рисками (очевидными уже сейчас).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

dr_diesel,

Ну если обратиться к истории, то "первыйна" был у DrWeb.

И у Касперского и у Данилова есть проблемы в исполнении, поэтому решения у обоих на уровне бета. В данном случае утилита - полноценный релиз, кое в чём превосходящий упомянутых конкурентов.

Правда, есть полумифическая последняя модификация TDL3, дроппер которой в розыске. Как будет работать с ней - интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Сделаем, как только в этом появится реальная необходимость (пока не очевидная), преобладающая над рисками (очевидными уже сейчас).

Может сделать для включения этой фичи специальный ключ?

Ну если обратиться к истории, то "первыйна" был у DrWeb.

Хм. Что-то я пропустил момент релиза из бэты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
dr_diesel,

Ну если обратиться к истории, то "первыйна" был у DrWeb.

И у Касперского и у Данилова есть проблемы в исполнении, поэтому решения у обоих на уровне бета. В данном случае утилита - полноценный релиз, кое в чём превосходящий упомянутых конкурентов.

В чем же ?

Правда, есть полумифическая последняя модификация TDL3, дроппер которой в розыске. Как будет работать с ней - интересно.

Вот у вас "в розыске", а у меня банально третий день руки не доходят RC3 выложить (заняты мы на другой войне) с лечением этого самого...

P.S. выложил. где брать - сами знаете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

А., Вам виднее - вы Гуру :) А я лишь скромный пользователь-хелпер. И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD. А вот с сабжем, даже в бете от 21.11.2009, нареканий не было. Да и карантин - вещь очень полезная, а утилиты от вирлабов, как правило, работают в режиме маленького кассетного бомбометания - фиг поймёшь потом, что же удалил и как детект к этому добавить :) Хотя признаю, в TDSSKiller минидамп - это уже что-то.

Вот у вас "в розыске", а у меня банально третий день руки не доходят RC3 выложить

У меня не в розыске. Был бы в розыске - я бы не писал "полумифический". А девелопер утилиты - Вы или Юрий Паршин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А., Вам виднее - вы Гуру :) А я лишь скромный пользователь-хелпер. И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD. А вот с сабжем, даже в бете от 21.11.2009, нареканий не было. Да и карантин - вещь очень полезная, а утилиты от вирлабов, как правило, работают в режиме маленького кассетного бомбометания - фиг поймёшь потом, что же удалил и как детект к этому добавить :) Хотя признаю, в TDSSKiller минидамп - это уже что-то.

У меня не в розыске. Был бы в розыске - я бы не писал "полумифический". А девелопер утилиты - Вы или Юрий Паршин?

"И попалась пара случаев, когда RC2 оставила хвосты, которые потом пришлось снимать с LiveCD" - давайте конкретику все-таки, а ? Что за хвосты ?

Девелопится утилита - силами спец.подразделения ЛК, причем это не единственная наша текущая разработка в отношении TDSS. Гнаться за вебом и идти по пути бесконечных "синек" и адских тормозов продукта - нам не надо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

давайте конкретику все-таки, а ? Что за хвосты ?

Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на newvirus@kaspersky.com и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на newvirus@kaspersky.com и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

правильно думали.

результат вы видите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

Не далее, чем 18 ноября 2009 года в 14:43 по Москве полный отчёт улетел в EsageLabs, а также на newvirus@kaspersky.com и на ящик Паршина (почему-то думал что он занимается утилитам от Катеса, Кидо и TDSS). Всё честно!

Привет. Судя по тому отчету, это был не TDSS, а драйвер какого-то легального эмулятора, который точно также перехватывал обработчики в atapi.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Кстати, вот видите: главное - желание и толчок! Не прошло и 10 минут, как вышел RC3 Гонка вооружений! :)

Как бы RC3 уже несколько дней как есть. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Ну тогда спасибо за труд! А что же тогда включено в RC3? Снят фалс на легальные эмуляторы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Ну тогда спасибо за труд! А что же тогда включено в RC3? Снят фалс на легальные эмуляторы?

Фолсов и не было.

Включен детект новых модификаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Win7 + TrueCrypt

d7eafdf5a45d.jpg

Лог отправлен на support@esagelab.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×