78 ответов в этой теме

[GEV]

Глядя на видео-обзор некого "профессора" drweb руткиты вообще не видит на win8.

[CatalystX]

Глядя на видео-обзор некого "профессора" drweb руткиты вообще не видит на win8.

Потому что под Win8 руткитов нет.

[RomaNNN]

Извиняюсь, но отправил в вирлаб файлы раньше, чем это сделал топиксастер.

 

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.Tdlphaze.15, Trojan.Tdlphaze.15, Trojan.Tdlphaze.15, BackDoor.Tdss.9148, BackDoor.Tdss.5231

[CatalystX]

Может ли быть признаком активности буткита постоянно восстанавливающийся перехват функции irp_mj_internal_device_control в atapi.sys неизвестным модулем?

А также первая запись, как на втором скрине? И невозможность сделать бэйкап бут-сектора?

Система заражена Pihar'ом.c.

Прикрепленные файлы:

•  Device.png   178,73К   8 Скачано раз
•  Atapi.png   179,51К   3 Скачано раз

Сообщение было изменено CatalystX: 02 Май 2013 - 16:51

[l.e.e.]

Программа хорошая, но вердиктов она не выносит. А что другие не видят ?

[RomaNNN]

CatalystX, сравните перехваты на здоровой и инфицированной системах. Есть различия?

[CatalystX]

Программа хорошая, но вердиктов она не выносит. А что другие не видят ?

Ну начнем с того что у меня Win7 x64, а под нее анти-руткитов не так уж и много, я знаю только три: GMER, PCHunter64(на скринах) и Win64AST. Гмер выдает только DR0 - Sector 0: rootkit like behavior, Win64AST видит только хук на irp_mj_internal_device_control, а при чтении MBR похоже не замечает подмены, так как успешно читает с ядра, и с Ring3 и пишет что MBR при чтении с разных уровней совпадают.

[l.e.e.]

 

Программа хорошая, но вердиктов она не выносит. А что другие не видят ?

Ну начнем с того что у меня Win7 x64, а под нее анти-руткитов не так уж и много, я знаю только три: GMER, PCHunter64(на скринах) и Win64AST. Гмер выдает только DR0 - Sector 0: rootkit like behavior, Win64AST видит только хук на irp_mj_internal_device_control, а при чтении MBR похоже не замечает подмены, так как успешно читает с ядра, и с Ring3 и пишет что MBR при чтении с разных уровней совпадают.

 

Понятно. Если лечить то с LiveCD (DrWeb!). Если исследовать - Там есть дисассемблер (шутка). aswMBR не помню точно вроде работает. Сделайте уже тогда экзаменирование PCHunter-ом и покажите.

[CatalystX]

lazarev.ee,

Проверю aswMBR чуть позже.

Сейчас опишу что получил от сравнения чистой и зараженной.

На чистой в Atapi.sys были перехваты неизвестным модулем  не только irp_mj_internal_device_control, а и irp_mj_create, irp_mj_close, irp_mj_device_control. Но кнопочка Restore All эти перехваты исправила и перехват irp_mj_internal_device_control не восстанавливался. Во вкладке Object Hijack остались лишь DeviceObject - 2058707732 и Kernelmodule - oem-drv64.sys. И бейкап бут-сектора успешно создался.

Сообщение было изменено CatalystX: 02 Май 2013 - 19:00

[userr]

Извиняюсь, но отправил в вирлаб файлы раньше

то есть drweb не знал эти вирусы? какой же тогда мог быть тест на лечение?

И Вы давайте номера тикетов.

[GEV]

Дроппер нет, базы от 30 апреля.

[GEV]

Вот лог сканера на момент создания темы, т.е. 30 апреля.

Прикрепленные файлы:

•  dwscanner.zip   5,42К   5 Скачано раз

[RomaNNN]

то есть drweb не знал эти вирусы?

Какую-то часть компонентов не детектил

 

какой же тогда мог быть тест на лечение?

Обычный. MBR детектит, значит должен вылечить, несмотря на все неизвестное активное в системе.

 

И Вы давайте номера тикетов.

[drweb.com #4041165] Обработано: SUBMITTED CURE REQUEST

Сообщение было изменено RomaNNN: 03 Май 2013 - 10:16

[l.e.e.]

В uVS выбираю систему с win8 на E:\Windows ,а он почему то пишет на F:\Windows файлы не обнаружены (?). последствия этого виря. В итоге грузит пользователя и тёмный экран...

Сообщение было изменено lazarev.ee: 03 Май 2013 - 19:39

[RomaNNN]

У меня все лечит корректно CureIt-ом.

[CatalystX]

У меня все лечит корректно CureIt-ом.

Подтверждаю, скачал сегодняшний CureIT  - Pihar.C вылечен без проблем.

[l.e.e.]

Подтверждаю, скачал сегодняшний CureIT  - Pihar.C вылечен без проблем.

Почитал аналитику http://www.securelist.com/ru/analysis/208050704/TDL4_Top_Bot , там много вариантов, если дать ему себя проявить (описание за 2011)

Какие вредоносные программы загружает сам TDL-4? С начала этого года на ботнет было установлено около 30 дополнительных вредоносных программ, включая фальшивые антивирусы, рекламные модули и спамбот Pushdo.

[CatalystX]

Наткнулся на пастбине на такую штуку: http://pastebin.com/ZJ9Gdhgm

Красивая реклама, а на деле неудачный клон TDL3.

[l.e.e.]

Наткнулся на пастбине на такую штуку: http://pastebin.com/ZJ9Gdhgm
Красивая реклама, а на деле неудачный клон TDL3.

Надеюсь у них нет пробного периода и промоакций ?! 

http://eric71.geekstogo.com/tools/MbrScan.exe а я такую прогу нашёл - TDL4 детектит

Device\Harddisk0\DR0 298.1 Go  [Fixed] ==> Possible TDL4 MBR Code

Spoiler

MBRScan v1.1.1

OS             : Windows 7  (32 bit)
PROCESSOR      : x86 Family 6 Model 54 Stepping 1, GenuineIntel
BOOT           : Normal Boot
DATE           : 2013/05/06 (ISO 8601) at 03:42:39
________________________________________________________________________________

DISK           : Device\Harddisk0\DR0 __TOSHIBA MK3259GSXP (GN003J)
BUS_TYPE       : (0x03)  P-ATA
USE_PIO        : NO
MAX_TRANSFER   : 128 Kb
ALIGNMENT_MASK : word aligned
________________________________________________________________________________

DISK           : Device\Harddisk1\DR1 __ (1.00)
BUS_TYPE       : (0x07)  USB
USE_PIO        : NO
MAX_TRANSFER   : 64 Kb
ALIGNMENT_MASK : byte aligned
________________________________________________________________________________

Device\Harddisk0\DR0 298.1 Go  [Fixed] ==> Possible TDL4 MBR Code

MBR_MD5   : 6C96617B5F07A37DC849B1788BF48CB7
MBR_SHA1  : 7910D8F4DFB1B8F5CE7E75A6B4B808795201822C

Device\Harddisk0\Partition1 149.0 Go   0x07 NTFS / HPFS __ BOOTABLE __
Device\Harddisk0\Partition2 149.0 Go   0x07 NTFS / HPFS
________________________________________________________________________________

Device\Harddisk1\DR1 7.25 Go  [Removable] ==> Unknown MBR Code

MBR_MD5   : D17F0C0104D3096FE112CC1370054AAA
MBR_SHA1  : 894F9CE9870C4CE64FC1A727D39632D0D34FECA7

Device\Harddisk1\Partition1 7.24 Go   0x0B FAT32 [CHS]
________________________________________________________________________________

############################### Additional scan ################################

DRIVER  : C:\Windows\System32\Drivers\dump_dumpata.sys => Invisible on the disk
ADDRESS : 0x8E90A000
SIZE    : 44.0 Ko

DRIVER  : C:\Windows\System32\Drivers\dump_atapi.sys => Invisible on the disk
ADDRESS : 0x8E915000
SIZE    : 36.0 Ko

DRIVER  : C:\Windows\System32\Drivers\dump_dumpfve.sys => Invisible on the disk
ADDRESS : 0x8E91E000
SIZE    : 68.0 Ko

BCD EmsSettings {0CE4991B-E6B3-4B16-B23C-5E0D9250E5D9} => BcdLibraryBoolean_EmsEnabled (16000020)

SystemStartOptions :  NOEXECUTE=OPTIN

________________________________________________________________________________

_____FAKED   \Device\Harddisk0\DR0 

0x00000000   31 C0 8E D0 BC 00 7C 8E C0 8E D8 FC FB 60 B9 DC   1À.м.|.À.Øüû`¹Ü
0x00000010   00 BD 1A 7C D2 4E 00 45 E2 FA 88 B0 50 FA 83 17   .½.|ÒN.Eâú.°Pú..
0x00000020   C4 80 01 0D 4C 08 C1 70 81 74 B6 E3 1F 0C F6 3E   Ä...L.Áp.t¶ã..ö>
0x00000030   87 00 66 89 03 CC A3 08 5F 96 84 F5 DB F8 CD 89   ..f..Ì£._..õÛøÍ.
0x00000040   EF 3E C7 CD 14 00 E8 39 00 CC B8 22 40 FF 36 B5   ï>ÇÍ..è9.̸"@.6µ
0x00000050   1F E0 13 FF A3 2C 00 5F CA AF B8 70 A4 FA F3 52   .à..£,._ʯ¸p¤úóR
0x00000060   68 E4 D7 2C 03 EA ED B0 BA 00 00 00 00 C0 C6 03   hä×,.êí°º....ÀÆ.
0x00000070   85 AF 00 36 18 30 7D 00 B1 C0 51 EB 40 8D 06 8B   .¯.6.0}.±ÀQë@...
0x00000080   5F 20 E0 7C 18 36 7D E3 81 23 D7 29 F5 CC FF 1B   _ à|.6}ã.#×)õÌ..
0x00000090   81 AF 66 7C 18 3A 7D 33 FF C6 A0 EB 99 1F 06 90   .¯f|.:}3.Æ.ë....
0x000000A0   5F CC 04 33 A4 0C 1D BE 99 70 E1 09 F5 00 B4 21   _Ì.3¤..¾.pá.õ.´!
0x000000B0   AF A2 D7 54 58 28 7D E6 C4 2C 3C 33 C4 81 E8 56   ¯¢×TX(}æÄ,<3Ä.èV
0x000000C0   FF 30 E3 29 F5 A6 44 3A 43 CC FF 70 18 FA 66 C1   .0ã)õ¦D:CÌ.p.úfÁ
0x000000D0   87 41 D7 00 AF CB 89 E6 EE 02 00 F5 AC FA 56 AB   .A×.¯Ë.æî..õ¬úV«
0x000000E0   FC D4 F5 F2 16 93 74 04 E0 D8 02 4C A7 96 75 77   üÔõò..t.àØ.L§.uw
0x000000F0   F0 0E 86 63 91 00 F9 02 01 72 2C 66 68 07 BB 00   ð..c..ù..r,fh.».
0x00000100   00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66   .fh....fh....fSf
0x00000110   53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66   SfUfh....fh.|..f
0x00000120   61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD   ah...Í.Z2öê.|..Í
0x00000130   18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4   ..·.ë..¶.ë..µ.2ä
0x00000140   05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD   ....ð¬<.t.»..´.Í
0x00000150   10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8   .ëòôëý+Éädë.$.àø
0x00000160   24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69   $.ÃInvalid parti
0x00000170   74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72   tion table.Error
0x00000180   20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69    loading operati
0x00000190   6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E   ng system.Missin
0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst
0x000001B0   65 6D 00 00 00 63 7B 9A AA 2E 4C ED 00 00 80 20   em...c{.ª.Lí...
0x000001C0   21 00 07 FE FF FF 00 08 00 00 C1 82 A1 12 00 FE   !..þ......Á.¡..þ
0x000001D0   FF FF 07 FE FF FF 00 90 A1 12 00 50 A1 12 00 00   ...þ....¡..P¡...
0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª

__ORIGINAL   \Device\Harddisk0\DR0 

0x00000000   33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00   3À.м.|.À.ؾ.|¿.
0x00000010   06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00   .¹..üó¤Ph..Ëû¹..
0x00000020   BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10   ½¾..~..|......Å.
0x00000030   E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00   âñÍ..V.UÆF..ÆF..
0x00000040   B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09   ´A»ªUÍ.]r..ûUªu.
0x00000050   F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74   ÷Á..t.þF.f`.~..t
0x00000060   26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00   &fh....f.v.h..h.
0x00000070   7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13   |h..h..´B.V..ôÍ.
0x00000080   9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00   ..Ä..ë.¸..».|.V.
0x00000090   8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE   .v..N..n.Í.fas.þ
0x000000A0   4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84   N.u..~......².ë.
0x000000B0   55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55   U2ä.V.Í.]ë..>þ}U
0x000000C0   AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64   ªun.v.è..u.ú°Ñæd
0x000000D0   E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75   è..°ßæ`è|.°.ædèu
0x000000E0   00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54   .û¸.»Í.f#Àu;f.ûT
0x000000F0   43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00   CPAu2.ù..r,fh.».
0x00000100   00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66   .fh....fh....fSf
0x00000110   53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66   SfUfh....fh.|..f
0x00000120   61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD   ah...Í.Z2öê.|..Í
0x00000130   18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4   ..·.ë..¶.ë..µ.2ä
0x00000140   05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD   ....ð¬<.t.»..´.Í
0x00000150   10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8   .ëòôëý+Éädë.$.àø
0x00000160   24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69   $.ÃInvalid parti
0x00000170   74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72   tion table.Error
0x00000180   20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69    loading operati
0x00000190   6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E   ng system.Missin
0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst
0x000001B0   65 6D 00 00 00 63 7B 9A AA 2E 4C ED 00 00 80 20   em...c{.ª.Lí...
0x000001C0   21 00 07 FE FF FF 00 08 00 00 C1 82 A1 12 00 FE   !..þ......Á.¡..þ
0x000001D0   FF FF 07 FE FF FF 00 90 A1 12 00 50 A1 12 00 00   ...þ....¡..P¡...
0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª

_______MBR   \Device\Harddisk1\DR1 

0x00000000   33 C0 FA 8E D8 8E D0 BC 00 7C 89 E6 06 57 8E C0   3Àú.Ø.м.|.æ.W.À
0x00000010   FB FC BF 00 06 B9 00 01 F3 A5 EA 1F 06 00 00 52   ûü¿..¹..ó¥ê....R
0x00000020   52 B4 41 BB AA 55 31 C9 30 F6 F9 CD 13 72 13 81   R´A»ªU1É0öùÍ.r..
0x00000030   FB 55 AA 75 0D D1 E9 73 09 66 C7 06 8D 06 B4 42   ûUªu.Ñés.fÇ...´B
0x00000040   EB 15 5A B4 08 CD 13 83 E1 3F 51 0F B6 C6 40 F7   ë.Z´.Í..á?Q.¶Æ@÷
0x00000050   E1 52 50 66 31 C0 66 99 E8 66 00 E8 21 01 4D 69   áRPf1Àf.èf.è!.Mi
0x00000060   73 73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20   ssing operating
0x00000070   73 79 73 74 65 6D 2E 0D 0A 66 60 66 31 D2 BB 00   system...f`f1Ò».
0x00000080   7C 66 52 66 50 06 53 6A 01 6A 10 89 E6 66 F7 36   |fRfP.Sj.j..æf÷6
0x00000090   F4 7B C0 E4 06 88 E1 88 C5 92 F6 36 F8 7B 88 C6   ô{Àä..á.Å.ö6ø{.Æ
0x000000A0   08 E1 41 B8 01 02 8A 16 FA 7B CD 13 8D 64 10 66   .áA¸....ú{Í..d.f
0x000000B0   61 C3 E8 C4 FF BE BE 7D BF BE 07 B9 20 00 F3 A5   aÃèÄ.¾¾}¿¾.¹ .ó¥
0x000000C0   C3 66 60 89 E5 BB BE 07 B9 04 00 31 C0 53 51 F6   Ãf`.廾.¹..1ÀSQö
0x000000D0   07 80 74 03 40 89 DE 83 C3 10 E2 F3 48 74 5B 79   ..t.@.Þ.Ã.âóHt[y
0x000000E0   39 59 5B 8A 47 04 3C 0F 74 06 24 7F 3C 05 75 22   9Y[.G.<.t.$.<.u"
0x000000F0   66 8B 47 08 66 8B 56 14 66 01 D0 66 21 D2 75 03   f.G.f.V.f.Ðf!Òu.
0x00000100   66 89 C2 E8 AC FF 72 03 E8 B6 FF 66 8B 46 1C E8   f.Âè¬.r.è¶.f.F.è
0x00000110   A0 FF 83 C3 10 E2 CC 66 61 C3 E8 62 00 4D 75 6C   ...Ã.âÌfaÃèb.Mul
0x00000120   74 69 70 6C 65 20 61 63 74 69 76 65 20 70 61 72   tiple active par
0x00000130   74 69 74 69 6F 6E 73 2E 0D 0A 66 8B 44 08 66 03   titions...f.D.f.
0x00000140   46 1C 66 89 44 08 E8 30 FF 72 13 81 3E FE 7D 55   F.f.D.è0.r..>þ}U
0x00000150   AA 0F 85 06 FF BC FA 7B 5A 5F 07 FA FF E4 E8 1E   ª....¼ú{Z_.ú.äè.
0x00000160   00 4F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65   .Operating syste
0x00000170   6D 20 6C 6F 61 64 20 65 72 72 6F 72 2E 0D 0A 5E   m load error...^
0x00000180   AC B4 0E 8A 3E 62 04 B3 07 CD 10 3C 0A 75 F1 CD   ¬´..>b.³.Í.<.uñÍ
0x00000190   18 F4 EB FD 00 00 00 00 00 00 00 00 00 00 00 00   .ôëý............
0x000001A0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001B0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 80 00   ................
0x000001C0   01 01 0F FE FF B1 C1 3E 00 00 71 A6 E7 00 00 00   ...þ.±Á>..q¦ç...
0x000001D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª