Перейти к содержанию

Recommended Posts

priv8v

Из этого сообщения у меня складывается впечатление, что авторы сего творения до этого успешно реверсили русток и освоили некоторые технологии :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Из этого сообщения у меня складывается впечатление, что авторы сего творения до этого успешно реверсили русток и освоили некоторые технологии smile.gif

Нет. Между новым вариантом TDSS (TDL3 который) и рустоком нет ничего общего. Если говорить о инфицировании системного драйвера и проводить аналогию между rustock.C - то нужно смотреть в сторону руткита-вируса Protector - вот он инфицирует драйвер и прошлые версии даже подсовывали при чтении файла оригинальной содержимое, не инфицированного. Этот вариант Protector и пойдет в тест на лечение, так как длительное время распространялся.

Касаемо этого нового TDSS - с середины сентября распространяется, в двух вариантах (кликер). Если в течении месяца будут более активно распространять - то и его возмем :)

З.Ы. Может кому интересно, но сабж обходит большинство хипсов ;) Причем документированным способом и благополучно ставиться в системе. Впрочем...как появились первые варианты TDSS - они тоже обходили большинство хипс путем работы с секцией \KnownDlls.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

М.б. Этот вариант я в руках не держал - сужу только по статье по ссылке - похожие слова (про то какой "cool", "никем не лечится", "заражает драйвер") говорили про русток на руткитс, вот я и провел аналогию))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
(про то какой "cool"

Так и есть...что не есть гуд :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://forum.kaspersky.com/index.php?showtopic=140188

Первый "пострадавший" заражена Windows 7 была. К сожалению процесс лечения KAV-ом системного драйвера(atapi.sys) прошел криво и ось не загрузилась у товарища-но работоспособность ОС он восстановил сам... АВЗ не видит TDSS(с AVZPM не пробывали) а вот GMER видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Все, приехали.

Старая версия, походу, навсегда пропала (TDL2) и ее заменила новая версия руткита - сабж.

Интересный факт - руткит стал убивать любой процесс с именем avp.exe :).

Судя по активному распространению уже есть смысл его брать в тест на активное заражение (вариант без прибиения).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Угу, "убивает".. sad.gif

Немножко поспешил...там не по имени процесс завершается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман

Кто-нибудь может привести статистику: какие продукты обходит/не обходит новая модификация? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
DrWeb "не умирает"от этого виря - самозащита не дает

http://forum.drweb.com/index.php?showtopic=284430&hl=

Похоже, что TDL3 просто "безразличен" к нему даже при отключённой самозащите: работают все модули, файлы все на месте, сканер запускается... Переименовал notepad.exe в drweb32w.exe (если вдруг по имени файла прибивает) -- всё работает. :) Единственно что, так это то, что сканер пока не лечит TDL3 в активном состоянии. Хотя, вроде ж как, исправлено в bug_id=0033069...

На счёт "не даёт" -- попробуйте проверить работу Dr.Web (при включённой самозащите) на TDSS подсемейства SKYNET*. Он блокирует работу SpIDerGuard'а, несмотря на включенную самозащиту DwProt. См. bug_id=0031606.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А что говорит эмулятор КИСа на сам инсталлер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Немножко поспешил...там не по имени процесс завершается.

Но завершается... :)

DrWeb "не умирает"от этого виря - самозащита не дает

Ясное дело,так как данного зловреда затачивают под продукцию ЛК, а не под Dr.Web,Nod или NIS...

А что говорит эмулятор КИСа на сам инсталлер?

Какой рейтинг набирает данный фаил в контроле программ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Какой рейтинг набирает данный фаил в контроле программ?

угу. просто я сомневаюсь, что на этапе инсталляции в систему он использует какой-то зиродей. наверняка все достаточно банально. а вот потом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
просто я сомневаюсь, что на этапе инсталляции в систему он использует какой-то зиродей. наверняка все достаточно банально

А зря ;) см. пост 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Драйвер руткита загружается или нет?

Конечно. На самом деле ни одна самозащита не спасет от драйвера и Артем Баранов из дрвеп лукавит говоря, что их защита им поможет. Не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

vaber

Хм... А что он теперь у нас не в виде инсталлятора кодеков?(Просто сам инстал еще не лицезрел) К примеру предыдущие версии при запуске с раб стола максимум набирали рейтинг в HIPS 35 а то и меньше(если не ошибает память) и попадали в слабые. Так как сначала как бы грузилась графическая оболочка инсталяшки с 2мя кнопками(там опасного ни че небыло) а вот потом... А тут надо бы узнать. Слав, сколько рейтинг у этой версии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Кто-нибудь может привести статистику: какие продукты обходит/не обходит новая модификация? :)

NIS 2010 убивается с настройками по умолчанию.

С агрессивными настройками sonar его ловит.

КИС 2001 463 - попадает в слабые ограничения с соответствующим эффектом убийства антивируса.

На самом деле ни одна самозащита не спасет от драйвера

Но низкая распространенность в данном случае это плюс в копилку Dr.Web.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Но низкая распространенность в данном случае это плюс в копилку Dr.Web.:)

Да ну? И как это поможет людям, которые ни в зуб ногой не знают про них? :)

Американец: "Знакомый программист из России подсказал". Так что ли? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
КИС 2001 463 - попадает в слабые ограничения с соответствующим эффектом убийства антивируса.

Вообще все семплы которые есть у ЛК детектятся эвристиком и рейтинг 100 у них... У Вас есть семпл которые еще не детектится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Стоит выйти в свет чему-нибудь уровнем выше криптора, как все терабайты дорогих аверских поделий с кучей продвинутых бсодящих и тормозящих технологий становятся бесполезными в лучшем случае, а в худшем помогают системе умереть (конечно же уже после отсылки всех паролей и регданных крекерам). :D

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Да ну? И как это поможет людям, которые ни в зуб ногой не знают про них? :)

Ну да.

Плюс для пользователей dr.web.

Придет лечилка, полечит без нервов от вынесенного антивируса.:)

Вообще все семплы которые есть у ЛК детектятся эвристиком и рейтинг 100 у них... У Вас есть семпл которые еще не детектится?

Он и с рейтингом 100, т.е. недоверенный убивает касперского?

Весело.

А чорт, забыл, в этом случае балун всплывает с вечными вопросами "Да или нет" :)

Получается, что есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Стоит выйти в свет чему-нибудь уровнем выше криптора, как все терабайты дорогих аверских поделий с кучей продвинутых бсодящих и тормозящих технологий становятся бесполезными в лучшем случае, а в худшем помогают системе умереть (конечно же уже после отсылки всех паролей и регданных крекерам). biggrin.gif

А нефиг под админом сидеть.

Он и с рейтингом 100, т.е. недоверенный убивает касперского?

Весело.

А чорт, забыл, в этом случае балун всплывает с вечными вопросами "Да или нет" smile.gif

1. TDL3 касперского, ту версию которую Вы указали не убивает. Там вообще нет целенаправленного убиения какого-либо антивируса (в отличии от вариантов TDL2, который действительно убивал avp.exe).

2. На инсталляк многие уже добавили женерики, т.к. пакер там пока не чистят.

3. По тому, что Вы написали - у вас нет семпла и Вы просто тут фантазируете на тему "Каким бы я его хотел видеть".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
    • demkd
      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
×