Перейти к содержанию

Recommended Posts

priv8v

Из этого сообщения у меня складывается впечатление, что авторы сего творения до этого успешно реверсили русток и освоили некоторые технологии :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Из этого сообщения у меня складывается впечатление, что авторы сего творения до этого успешно реверсили русток и освоили некоторые технологии smile.gif

Нет. Между новым вариантом TDSS (TDL3 который) и рустоком нет ничего общего. Если говорить о инфицировании системного драйвера и проводить аналогию между rustock.C - то нужно смотреть в сторону руткита-вируса Protector - вот он инфицирует драйвер и прошлые версии даже подсовывали при чтении файла оригинальной содержимое, не инфицированного. Этот вариант Protector и пойдет в тест на лечение, так как длительное время распространялся.

Касаемо этого нового TDSS - с середины сентября распространяется, в двух вариантах (кликер). Если в течении месяца будут более активно распространять - то и его возмем :)

З.Ы. Может кому интересно, но сабж обходит большинство хипсов ;) Причем документированным способом и благополучно ставиться в системе. Впрочем...как появились первые варианты TDSS - они тоже обходили большинство хипс путем работы с секцией \KnownDlls.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

М.б. Этот вариант я в руках не держал - сужу только по статье по ссылке - похожие слова (про то какой "cool", "никем не лечится", "заражает драйвер") говорили про русток на руткитс, вот я и провел аналогию))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
(про то какой "cool"

Так и есть...что не есть гуд :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://forum.kaspersky.com/index.php?showtopic=140188

Первый "пострадавший" заражена Windows 7 была. К сожалению процесс лечения KAV-ом системного драйвера(atapi.sys) прошел криво и ось не загрузилась у товарища-но работоспособность ОС он восстановил сам... АВЗ не видит TDSS(с AVZPM не пробывали) а вот GMER видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Все, приехали.

Старая версия, походу, навсегда пропала (TDL2) и ее заменила новая версия руткита - сабж.

Интересный факт - руткит стал убивать любой процесс с именем avp.exe :).

Судя по активному распространению уже есть смысл его брать в тест на активное заражение (вариант без прибиения).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Угу, "убивает".. sad.gif

Немножко поспешил...там не по имени процесс завершается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман

Кто-нибудь может привести статистику: какие продукты обходит/не обходит новая модификация? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
DrWeb "не умирает"от этого виря - самозащита не дает

http://forum.drweb.com/index.php?showtopic=284430&hl=

Похоже, что TDL3 просто "безразличен" к нему даже при отключённой самозащите: работают все модули, файлы все на месте, сканер запускается... Переименовал notepad.exe в drweb32w.exe (если вдруг по имени файла прибивает) -- всё работает. :) Единственно что, так это то, что сканер пока не лечит TDL3 в активном состоянии. Хотя, вроде ж как, исправлено в bug_id=0033069...

На счёт "не даёт" -- попробуйте проверить работу Dr.Web (при включённой самозащите) на TDSS подсемейства SKYNET*. Он блокирует работу SpIDerGuard'а, несмотря на включенную самозащиту DwProt. См. bug_id=0031606.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А что говорит эмулятор КИСа на сам инсталлер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Немножко поспешил...там не по имени процесс завершается.

Но завершается... :)

DrWeb "не умирает"от этого виря - самозащита не дает

Ясное дело,так как данного зловреда затачивают под продукцию ЛК, а не под Dr.Web,Nod или NIS...

А что говорит эмулятор КИСа на сам инсталлер?

Какой рейтинг набирает данный фаил в контроле программ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Какой рейтинг набирает данный фаил в контроле программ?

угу. просто я сомневаюсь, что на этапе инсталляции в систему он использует какой-то зиродей. наверняка все достаточно банально. а вот потом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
просто я сомневаюсь, что на этапе инсталляции в систему он использует какой-то зиродей. наверняка все достаточно банально

А зря ;) см. пост 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Драйвер руткита загружается или нет?

Конечно. На самом деле ни одна самозащита не спасет от драйвера и Артем Баранов из дрвеп лукавит говоря, что их защита им поможет. Не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

vaber

Хм... А что он теперь у нас не в виде инсталлятора кодеков?(Просто сам инстал еще не лицезрел) К примеру предыдущие версии при запуске с раб стола максимум набирали рейтинг в HIPS 35 а то и меньше(если не ошибает память) и попадали в слабые. Так как сначала как бы грузилась графическая оболочка инсталяшки с 2мя кнопками(там опасного ни че небыло) а вот потом... А тут надо бы узнать. Слав, сколько рейтинг у этой версии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Кто-нибудь может привести статистику: какие продукты обходит/не обходит новая модификация? :)

NIS 2010 убивается с настройками по умолчанию.

С агрессивными настройками sonar его ловит.

КИС 2001 463 - попадает в слабые ограничения с соответствующим эффектом убийства антивируса.

На самом деле ни одна самозащита не спасет от драйвера

Но низкая распространенность в данном случае это плюс в копилку Dr.Web.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Но низкая распространенность в данном случае это плюс в копилку Dr.Web.:)

Да ну? И как это поможет людям, которые ни в зуб ногой не знают про них? :)

Американец: "Знакомый программист из России подсказал". Так что ли? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
КИС 2001 463 - попадает в слабые ограничения с соответствующим эффектом убийства антивируса.

Вообще все семплы которые есть у ЛК детектятся эвристиком и рейтинг 100 у них... У Вас есть семпл которые еще не детектится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Стоит выйти в свет чему-нибудь уровнем выше криптора, как все терабайты дорогих аверских поделий с кучей продвинутых бсодящих и тормозящих технологий становятся бесполезными в лучшем случае, а в худшем помогают системе умереть (конечно же уже после отсылки всех паролей и регданных крекерам). :D

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Да ну? И как это поможет людям, которые ни в зуб ногой не знают про них? :)

Ну да.

Плюс для пользователей dr.web.

Придет лечилка, полечит без нервов от вынесенного антивируса.:)

Вообще все семплы которые есть у ЛК детектятся эвристиком и рейтинг 100 у них... У Вас есть семпл которые еще не детектится?

Он и с рейтингом 100, т.е. недоверенный убивает касперского?

Весело.

А чорт, забыл, в этом случае балун всплывает с вечными вопросами "Да или нет" :)

Получается, что есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Стоит выйти в свет чему-нибудь уровнем выше криптора, как все терабайты дорогих аверских поделий с кучей продвинутых бсодящих и тормозящих технологий становятся бесполезными в лучшем случае, а в худшем помогают системе умереть (конечно же уже после отсылки всех паролей и регданных крекерам). biggrin.gif

А нефиг под админом сидеть.

Он и с рейтингом 100, т.е. недоверенный убивает касперского?

Весело.

А чорт, забыл, в этом случае балун всплывает с вечными вопросами "Да или нет" smile.gif

1. TDL3 касперского, ту версию которую Вы указали не убивает. Там вообще нет целенаправленного убиения какого-либо антивируса (в отличии от вариантов TDL2, который действительно убивал avp.exe).

2. На инсталляк многие уже добавили женерики, т.к. пакер там пока не чистят.

3. По тому, что Вы написали - у вас нет семпла и Вы просто тут фантазируете на тему "Каким бы я его хотел видеть".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Да сейчас вот такие мошенники и взломщики очень продвинулись, с развитием технологий и различные мошеннические схемы развиваются. Обычные пользователи очень часто становятся жертвами взломов, обычно из-за того что слабо защищают аккаунт, думая, что их это никогда не коснется. Чтобы противостоять взлому необходимо знать определенные секреты защиты аккаунта, мне вот это пригодилось бы год назад, когда меня несколько раз взламывали и я не знал, что делать. Благо друг недавно скинул статью где детально расписано как обезопасить свой аккаунт  , только так смог уже поставить себе толковую защиту, теперь уже спокоен, что никто не взломает и не будет у моих друзей требовать деньги.
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×