Не панацея, если будет новый гипотетический буткит, то все антируткиты идут лесом по определению. Самый простой, смонтировать диск в другой системе. Далее проверить детект, считать бут. Загрузится в активную, считать там бут, сравнить. Идеология uvs в этом отношении проста и эффективна. но и тут есть нюансы. 100% способа не существует, нужно знать индивидуальные особенности зверя. А для тестов ав плюсом еще надо знать индивид. особенности антивируса, что не возможно на стороне. Про нас я уже пример выше привел.Спасибо за разъяснения.краткий эссе про проверке активного бут-заражения:
- заразить бутом
- убедится что бут активен и защищается. если не защищается можно дальше не идти
- деактивировать защиту бута и проверить что детектим ИМЕННО зараженный бут. ни в коем случае не проверять детект на дампе бута как файла. это разные алгоритмы и сигнатуры.
- активировать защиту бута и проверить есть ли детект и лечение.
Теперь другие вопросы:
- Как убедится что буткит защищается? Через антируткиты посмотреть, есть ли перехваты функций неизвестным драйвером?
- Потом вынести его перехватчики?
#41
Отправлено 30 Апрель 2013 - 17:42
Doctor Web, Ltd.
#42
Отправлено 30 Апрель 2013 - 18:06
Э, а когда был этот тест? И на какой вообще версии?
Ну насколько я понял про тест на ру-боард.
#44
Отправлено 30 Апрель 2013 - 19:11
Для меня это мало что меняет. Ссылку можно?Ну насколько я понял про тест на ру-боард.
Э, а когда был этот тест? И на какой вообще версии?
Doctor Web, Ltd.
#45
Отправлено 30 Апрель 2013 - 20:25
Обзор антивирусов под Windows (Часть 7) - [328] :: Программы ...
https://www.virustotal.com/ru/file/377886e5c70d727c0a983ab1171ea14a9fb4f1346d7f11dc9be2c757c975f6a8/analysis/1362311547/
Сдампил MBR зараженную буткитом Pihar.b. Оказывается в ав индустрии есть не только воры детекта, а и коллекционеры, которые добавляют в базы ту мальварь которую не способны обнаружить. Pihar видят и лечат только два авера(каспер и битдефендер), все остальные даже не способные его увидеть, но зато детектят дамп.
Отсюда вроде..
Сообщение было изменено lazarev.ee: 30 Апрель 2013 - 20:25
#46
Отправлено 30 Апрель 2013 - 20:45
http://forum.ru-board.com/topic.cgi?forum=5&topic=35850&start=6260 - тут начало.
http://forum.ru-board.com/topic.cgi?forum=5&topic=35850&start=6280 - тут 14:16 10-02-2013
#47
Отправлено 30 Апрель 2013 - 21:22
Не не отсюда, а со 314 страницы.
#49
Отправлено 01 Май 2013 - 00:48
Мужики, у нас проблема!
Пихар детектируется, но не лечится!
Взял другой дроппер, который ставит Pihar.C, буквально 15 минут назад нашел. Тот дроппер который я рассылал в лички интересующихся ставил в систему Pihar.b.
Я запустил дроппер, пихар.c установился и сразу вырубил запуск TDSSKiller'а, GMER'a, и ребутнул систему. После ребута через каспера узнал че за пихара поставил. Оказался - Rootkit.Boot.Pihar.c.
Запустил CureIT, свежескачанный, выставил в опциях проверки загрузочные секторы, запустил и сразу детект Trojan.Tdlphaze.1, CureIT предложил вылечится и ребутнутся, я согласился. После ребута через каспера проверил бут-сектора и опять "Обнаружено - Rootkit.Boot.Pihar.c. Месторасположение - Device/Harddisk0/DR0". DR0 - так у каспера MBR называется.
Кому дроппера со всей ФС руткита скидывать?
#50
Отправлено 01 Май 2013 - 01:11
Кому дроппера со всей ФС руткита скидывать?
Сюда и только сюда
https://vms.drweb.com/sendvirus/?lng=ru
Категория: Запрос на лечение. В комментах опишите ситуацию.
#51
Отправлено 01 Май 2013 - 08:30
Мужики, у нас проблема!А вирус то живой? Емнип после лечения tdss drweb не убивает его файловую систему которую находит после него tdsskiller.
#52
Отправлено 01 Май 2013 - 09:14
А вирус то живой? Емнип после лечения tdss drweb не убивает его файловую систему которую находит после него tdsskiller.
Дамп ФС в одном архиве с дроппером. А сам буткит не лечится, инфекция в MBR всегда остается.
#53
Отправлено 01 Май 2013 - 11:27
Посмотрел у себя в VirtualBox. Взял чистый win_xpsp3, запустил дроппер, перегруз, установка drweb (бета) в процессе которой закачались свежие базы/ect, перегруз, старт сканера, быстрая проверка, лечение, перегруз, проверка tdsskiler_ом. Судя по всему пихар не стартовал вместе с win в моей виртуалке.
Прикрепленные файлы:
#54
Отправлено 01 Май 2013 - 12:50
Мужики, у нас проблема!
...
Кому дроппера со всей ФС руткита скидывать?
сколько же раз можно повторять, куда и как слать вирусы? Может быть Вам Предупреждение дать, для улучшения понимания?
Последнее устное замечание.
Модератор.
Ко всем
Не надо превращать форум в базар по обмену вирусами. Есть ЛС.
#55
Отправлено 01 Май 2013 - 13:36
Сколько же раз можно повторять, куда и как слать вирусы? Может быть Вам Предупреждение дать, для улучшения понимания?
Все, я больше не буду.
SergMПоказал куда скидывать пихара, уже пихара отправил с пометкой "запрос на лечение".
Посмотрел у себя в VirtualBox. Взял чистый win_xpsp3, запустил дроппер, перегруз, установка drweb (бета) в процессе которой закачались свежие базы/ect, перегруз, старт сканера, быстрая проверка, лечение, перегруз, проверка tdsskiler_ом. Судя по всему пихар не стартовал вместе с win в моей виртуалке.
Pihar скорей всего проверяет окружение, запущен на виртуалке или на реальной тачке.
У меня на реальной Win7 x64 сразу после запуска дроппера заблокировал запуск Tdsskiller'a и Gmer'а через повреждение ФС и система ушла в ребут, а после ребута tdsskiller и Gmer запускались нормально. Лечил через CureIT два раза. Первый раз отложил перезагрузку и Пихар остался, второй раз - после нажатия на перезагрузить сейчас CureIT завис. Писал что обработка угроз, ждал минут 10-15 и пришлось ребут делать через кнопку на системнике. После ребута пихар остался на месте и в полной работоспособности. Вылечился от пихара только через Advanced Disifection каспера.
#56
Отправлено 01 Май 2013 - 14:12
Бетой лечится, сейчас проверю CureIt-ом.
#57
Отправлено 01 Май 2013 - 14:36
очень хорошо. приведите номер запроса.уже пихара отправил с пометкой "запрос на лечение".
#59
Отправлено 01 Май 2013 - 21:19
Если дать вирусу Trojan.Tdlphaze.3 (A1B3E59AE17BA6F940AFAF86485E5907) полностью отработать, то система умирает на виртуалке win8 enterprise x86 и восстановлению не подлежит (2 раза пробовал). Так что опыт не удался. (защитник отключал полностью)
#60
Отправлено 01 Май 2013 - 21:27
Если дать вирусу Trojan.Tdlphaze.3 (A1B3E59AE17BA6F940AFAF86485E5907) полностью отработать, то система умирает на виртуалке win8 enterprise x86 и восстановлению не подлежит (2 раза пробовал). Так что опыт не удался. (защитник отключал полностью)
Может особенность работы на Win8...на Win7 норм.
Also tagged with one or more of these keywords: Dr.web, Pihar, TDL4
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых