78 ответов в этой теме

[Konstantin Yudin]

краткий эссе про проверке активного бут-заражения:

- заразить бутом
- убедится что бут активен и защищается. если не защищается можно дальше не идти
- деактивировать защиту бута и проверить что детектим ИМЕННО зараженный бут. ни в коем случае не проверять детект на дампе бута как файла. это разные алгоритмы и сигнатуры.
- активировать защиту бута и проверить есть ли детект и лечение.

Спасибо за разъяснения.
Теперь другие вопросы:
- Как убедится что буткит защищается? Через антируткиты посмотреть, есть ли перехваты функций неизвестным драйвером?
- Потом вынести его перехватчики?

Не панацея, если будет новый гипотетический буткит, то все антируткиты идут лесом по определению. Самый простой, смонтировать диск в другой системе. Далее проверить детект, считать бут. Загрузится в активную, считать там бут, сравнить. Идеология uvs в этом отношении проста и эффективна. но и тут есть нюансы. 100% способа не существует, нужно знать индивидуальные особенности зверя. А для тестов ав плюсом еще надо знать индивид. особенности антивируса, что не возможно на стороне. Про нас я уже пример выше привел.

[CatalystX]

Э, а когда был этот тест? И на какой вообще версии?

Ну насколько я понял про тест на ру-боард.

[l.e.e.]

Ну насколько я понял про тест на ру-боард.

А какой версией проверяли ? Не пиратской сборкой ли ?

[Konstantin Yudin]

Э, а когда был этот тест? И на какой вообще версии?

Ну насколько я понял про тест на ру-боард.

Для меня это мало что меняет. Ссылку можно?

[l.e.e.]

Обзор антивирусов под Windows (Часть 7) - [328] :: Программы ...
https://www.virustotal.com/ru/file/377886e5c70d727c0a983ab1171ea14a9fb4f1346d7f11dc9be2c757c975f6a8/analysis/1362311547/

Сдампил MBR зараженную буткитом Pihar.b. Оказывается в ав индустрии есть не только воры детекта, а и коллекционеры, которые добавляют в базы ту мальварь которую не способны обнаружить. Pihar видят и лечат только два авера(каспер и битдефендер), все остальные даже не способные его увидеть, но зато детектят дамп.

Отсюда вроде..

Сообщение было изменено lazarev.ee: 30 Апрель 2013 - 20:25

[l.e.e.]

http://forum.ru-board.com/topic.cgi?forum=5&topic=35850&start=6260 - тут начало.

http://forum.ru-board.com/topic.cgi?forum=5&topic=35850&start=6280 - тут 14:16 10-02-2013

[CatalystX]

Обзор антивирусов под Windows (Часть 7) - [328] :: Программы ...
https://www.virustotal.com/ru/file/377886e5c70d727c0a983ab1171ea14a9fb4f1346d7f11dc9be2c757c975f6a8/analysis/1362311547/

Отсюда вроде..

Не не отсюда, а со 314 страницы.

[l.e.e.]

Не не отсюда, а со 314 страницы.

Ну февраль , сейчас уже завтра май !

[CatalystX]

Мужики, у нас проблема!

Пихар детектируется, но не лечится! 

Взял другой дроппер, который ставит Pihar.C, буквально 15 минут назад нашел. Тот дроппер который я рассылал в лички интересующихся ставил в систему Pihar.b.

Я запустил дроппер, пихар.c установился и сразу вырубил запуск TDSSKiller'а, GMER'a, и ребутнул систему. После ребута через каспера узнал че за пихара поставил. Оказался - Rootkit.Boot.Pihar.c.

Запустил CureIT, свежескачанный, выставил в опциях проверки загрузочные секторы, запустил и сразу детект Trojan.Tdlphaze.1, CureIT предложил вылечится и ребутнутся, я согласился. После ребута через каспера проверил бут-сектора и опять "Обнаружено - Rootkit.Boot.Pihar.c. Месторасположение - Device/Harddisk0/DR0". DR0 - так у каспера MBR называется.

Кому дроппера со всей ФС руткита скидывать?

[SergM]

Кому дроппера со всей ФС руткита скидывать?

Сюда и только сюда 

https://vms.drweb.com/sendvirus/?lng=ru

 

Категория: Запрос на лечение. В комментах опишите ситуацию.

[GEV]

Мужики, у нас проблема!

А вирус то живой? Емнип после лечения tdss drweb не убивает его файловую систему которую находит после него tdsskiller.  

[CatalystX]

А вирус то живой? Емнип после лечения tdss drweb не убивает его файловую систему которую находит после него tdsskiller.  

 

Дамп ФС в одном архиве с дроппером. А сам буткит не лечится, инфекция в MBR всегда остается.

[GEV]

Посмотрел у себя в VirtualBox. Взял чистый win_xpsp3, запустил дроппер, перегруз, установка drweb (бета) в процессе которой закачались свежие базы/ect, перегруз, старт сканера, быстрая проверка, лечение, перегруз, проверка tdsskiler_ом. Судя по всему пихар не стартовал вместе с win в моей виртуалке.

Прикрепленные файлы:

•  all.zip   17,74К   6 Скачано раз
•  p.PNG   21,61К   0 Скачано раз

[userr]

Мужики, у нас проблема!

...

Кому дроппера со всей ФС руткита скидывать?

сколько же раз можно повторять, куда и как слать вирусы? Может быть Вам Предупреждение дать, для улучшения  понимания?

 

Последнее устное замечание.

Модератор.

 

Ко всем

Не надо превращать форум в базар по обмену вирусами. Есть ЛС.

[CatalystX]

Сколько же раз можно повторять, куда и как слать вирусы? Может быть Вам Предупреждение дать, для улучшения  понимания?

 

 

 

Все, я больше не буду. 

SergM

Показал куда скидывать пихара, уже пихара отправил с пометкой "запрос на лечение".

 

 

Посмотрел у себя в VirtualBox. Взял чистый win_xpsp3, запустил дроппер, перегруз, установка drweb (бета) в процессе которой закачались свежие базы/ect, перегруз, старт сканера, быстрая проверка, лечение, перегруз, проверка tdsskiler_ом. Судя по всему пихар не стартовал вместе с win в моей виртуалке.

Pihar скорей всего проверяет окружение, запущен на виртуалке или на реальной тачке.

У меня на реальной Win7 x64 сразу после запуска дроппера заблокировал запуск Tdsskiller'a и Gmer'а через повреждение ФС и система ушла в ребут, а после ребута tdsskiller и Gmer запускались нормально. Лечил через CureIT два раза. Первый раз отложил перезагрузку и Пихар остался, второй раз - после нажатия на перезагрузить сейчас CureIT завис. Писал что обработка угроз, ждал минут 10-15 и пришлось ребут делать через кнопку на системнике. После ребута пихар остался на месте и в полной работоспособности. Вылечился от пихара только через Advanced Disifection каспера.

[RomaNNN]

Бетой лечится, сейчас проверю CureIt-ом.

[userr]

уже пихара отправил с пометкой "запрос на лечение".

очень хорошо. приведите номер запроса.

[CatalystX]

очень хорошо. приведите номер запроса.

 

 [drweb.com #4040605].

[l.e.e.]

Если дать вирусу Trojan.Tdlphaze.3 (A1B3E59AE17BA6F940AFAF86485E5907) полностью отработать, то система умирает на виртуалке win8 enterprise x86 и восстановлению не подлежит (2 раза пробовал). Так что опыт не удался. (защитник отключал полностью)

[RomaNNN]

Если дать вирусу Trojan.Tdlphaze.3 (A1B3E59AE17BA6F940AFAF86485E5907) полностью отработать, то система умирает на виртуалке win8 enterprise x86 и восстановлению не подлежит (2 раза пробовал). Так что опыт не удался. (защитник отключал полностью)

 

Может особенность работы на Win8...на Win7 норм.