Перейти к содержанию

Recommended Posts

priv8v

Из этого сообщения у меня складывается впечатление, что авторы сего творения до этого успешно реверсили русток и освоили некоторые технологии :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Из этого сообщения у меня складывается впечатление, что авторы сего творения до этого успешно реверсили русток и освоили некоторые технологии smile.gif

Нет. Между новым вариантом TDSS (TDL3 который) и рустоком нет ничего общего. Если говорить о инфицировании системного драйвера и проводить аналогию между rustock.C - то нужно смотреть в сторону руткита-вируса Protector - вот он инфицирует драйвер и прошлые версии даже подсовывали при чтении файла оригинальной содержимое, не инфицированного. Этот вариант Protector и пойдет в тест на лечение, так как длительное время распространялся.

Касаемо этого нового TDSS - с середины сентября распространяется, в двух вариантах (кликер). Если в течении месяца будут более активно распространять - то и его возмем :)

З.Ы. Может кому интересно, но сабж обходит большинство хипсов ;) Причем документированным способом и благополучно ставиться в системе. Впрочем...как появились первые варианты TDSS - они тоже обходили большинство хипс путем работы с секцией \KnownDlls.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

М.б. Этот вариант я в руках не держал - сужу только по статье по ссылке - похожие слова (про то какой "cool", "никем не лечится", "заражает драйвер") говорили про русток на руткитс, вот я и провел аналогию))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
(про то какой "cool"

Так и есть...что не есть гуд :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://forum.kaspersky.com/index.php?showtopic=140188

Первый "пострадавший" заражена Windows 7 была. К сожалению процесс лечения KAV-ом системного драйвера(atapi.sys) прошел криво и ось не загрузилась у товарища-но работоспособность ОС он восстановил сам... АВЗ не видит TDSS(с AVZPM не пробывали) а вот GMER видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Все, приехали.

Старая версия, походу, навсегда пропала (TDL2) и ее заменила новая версия руткита - сабж.

Интересный факт - руткит стал убивать любой процесс с именем avp.exe :).

Судя по активному распространению уже есть смысл его брать в тест на активное заражение (вариант без прибиения).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Угу, "убивает".. sad.gif

Немножко поспешил...там не по имени процесс завершается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман

Кто-нибудь может привести статистику: какие продукты обходит/не обходит новая модификация? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
DrWeb "не умирает"от этого виря - самозащита не дает

http://forum.drweb.com/index.php?showtopic=284430&hl=

Похоже, что TDL3 просто "безразличен" к нему даже при отключённой самозащите: работают все модули, файлы все на месте, сканер запускается... Переименовал notepad.exe в drweb32w.exe (если вдруг по имени файла прибивает) -- всё работает. :) Единственно что, так это то, что сканер пока не лечит TDL3 в активном состоянии. Хотя, вроде ж как, исправлено в bug_id=0033069...

На счёт "не даёт" -- попробуйте проверить работу Dr.Web (при включённой самозащите) на TDSS подсемейства SKYNET*. Он блокирует работу SpIDerGuard'а, несмотря на включенную самозащиту DwProt. См. bug_id=0031606.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А что говорит эмулятор КИСа на сам инсталлер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Немножко поспешил...там не по имени процесс завершается.

Но завершается... :)

DrWeb "не умирает"от этого виря - самозащита не дает

Ясное дело,так как данного зловреда затачивают под продукцию ЛК, а не под Dr.Web,Nod или NIS...

А что говорит эмулятор КИСа на сам инсталлер?

Какой рейтинг набирает данный фаил в контроле программ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Какой рейтинг набирает данный фаил в контроле программ?

угу. просто я сомневаюсь, что на этапе инсталляции в систему он использует какой-то зиродей. наверняка все достаточно банально. а вот потом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
просто я сомневаюсь, что на этапе инсталляции в систему он использует какой-то зиродей. наверняка все достаточно банально

А зря ;) см. пост 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Драйвер руткита загружается или нет?

Конечно. На самом деле ни одна самозащита не спасет от драйвера и Артем Баранов из дрвеп лукавит говоря, что их защита им поможет. Не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

vaber

Хм... А что он теперь у нас не в виде инсталлятора кодеков?(Просто сам инстал еще не лицезрел) К примеру предыдущие версии при запуске с раб стола максимум набирали рейтинг в HIPS 35 а то и меньше(если не ошибает память) и попадали в слабые. Так как сначала как бы грузилась графическая оболочка инсталяшки с 2мя кнопками(там опасного ни че небыло) а вот потом... А тут надо бы узнать. Слав, сколько рейтинг у этой версии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Кто-нибудь может привести статистику: какие продукты обходит/не обходит новая модификация? :)

NIS 2010 убивается с настройками по умолчанию.

С агрессивными настройками sonar его ловит.

КИС 2001 463 - попадает в слабые ограничения с соответствующим эффектом убийства антивируса.

На самом деле ни одна самозащита не спасет от драйвера

Но низкая распространенность в данном случае это плюс в копилку Dr.Web.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Но низкая распространенность в данном случае это плюс в копилку Dr.Web.:)

Да ну? И как это поможет людям, которые ни в зуб ногой не знают про них? :)

Американец: "Знакомый программист из России подсказал". Так что ли? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
КИС 2001 463 - попадает в слабые ограничения с соответствующим эффектом убийства антивируса.

Вообще все семплы которые есть у ЛК детектятся эвристиком и рейтинг 100 у них... У Вас есть семпл которые еще не детектится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Стоит выйти в свет чему-нибудь уровнем выше криптора, как все терабайты дорогих аверских поделий с кучей продвинутых бсодящих и тормозящих технологий становятся бесполезными в лучшем случае, а в худшем помогают системе умереть (конечно же уже после отсылки всех паролей и регданных крекерам). :D

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Да ну? И как это поможет людям, которые ни в зуб ногой не знают про них? :)

Ну да.

Плюс для пользователей dr.web.

Придет лечилка, полечит без нервов от вынесенного антивируса.:)

Вообще все семплы которые есть у ЛК детектятся эвристиком и рейтинг 100 у них... У Вас есть семпл которые еще не детектится?

Он и с рейтингом 100, т.е. недоверенный убивает касперского?

Весело.

А чорт, забыл, в этом случае балун всплывает с вечными вопросами "Да или нет" :)

Получается, что есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Стоит выйти в свет чему-нибудь уровнем выше криптора, как все терабайты дорогих аверских поделий с кучей продвинутых бсодящих и тормозящих технологий становятся бесполезными в лучшем случае, а в худшем помогают системе умереть (конечно же уже после отсылки всех паролей и регданных крекерам). biggrin.gif

А нефиг под админом сидеть.

Он и с рейтингом 100, т.е. недоверенный убивает касперского?

Весело.

А чорт, забыл, в этом случае балун всплывает с вечными вопросами "Да или нет" smile.gif

1. TDL3 касперского, ту версию которую Вы указали не убивает. Там вообще нет целенаправленного убиения какого-либо антивируса (в отличии от вариантов TDL2, который действительно убивал avp.exe).

2. На инсталляк многие уже добавили женерики, т.к. пакер там пока не чистят.

3. По тому, что Вы написали - у вас нет семпла и Вы просто тут фантазируете на тему "Каким бы я его хотел видеть".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quinzy
      А хотели бы вы научиться рисовать в зрелом возрасте? Многие ведь жалеют, что когда-то их родители не отдали в художку или просто в местности, где жили, не было такой возможности, чтобы учиться рисовать. И вот мне интересно, есть ли у взрослых людей такое желание? Сам я даже университет закончил по специальности преподаватель изобразительного искусства. Но по профессии не работаю, ибо платят мало. Вот прочитал про одну бизнес-идею https://b-mag.ru/hudozhestvennaja-shkola-dlja-vzroslyh-plan-v-6-shagov/ про открытие частной художественной школы для взрослых. Думаете стоит попытать счастье и открыть что-то подобное? 
    • Liza2u
      Тут все зависит от политики компании, есть те что работают на совесть, а есть тем что важна только быстая прибыль, без оглядки на репутацию. Мне как то довелось заказывать синии розы, так я столько намучалась пока не нашла этих ребят flowers.ua/ru/articles/sinie-rozy . Были всегда на созвоне, предупредили что опоздают на пять минут и за это чуть скинули цену, так что впечатления в целом положительные.
      Тут мне кажеться нужно смотреть сколько компания на рынке и искать отзывы. 
    • Quinzy
      Я вам вот что скажу. Когда производитель решает за сколько продавать ту или иную технику, включая компьютер, то он рассчитывает и доходы населения. И если в той же Германии или Финляндии зарплаты 3-4 тысячи евро, то у нас не более 500. И там такой же компьютер будет стоит условные 500 евро, а у нас 100. Ориентация на доходы населения идёт. Понимаете?! Так что, берите лучше у нас. За границей найдете только б\у недорогую технику. И не знаю, как вы ищите, что не можете себе нормальный компьютер найти. Я себе без проблем нашёл хороший мощный компьютер Qbox https://qbox.ua/ua/product/kompyuter-qbox-a0165/ на базе процессора AMD с оперативой DDR4 на 4 GB и жестким на террабайт. Так мне его с лихвой хватает. И на игры, и для работы. 
    • Momo
      Можно, только я не могу найти для себя хороший компьютер для себя.
    • Ondrey
      А у нас, что нельзя нормальное что-то подобрать?
×