Здравствуйте! Раздобыл я семплы TDSS.565, и решил проверить эффективность антивирусных решений от разных производителей. Проверял на виртуальной машине MS Virtual PC 2007 SP1 (x64). Ни на XP Pro x86 SP3, ни на Vista Ultimate x86 SP2 ни один антивирус (кроме Dr.Web) не может определить активное заражение. Попробовал CureIt!. При каждом сканировании он находит в одном из системных процессов (а когда я поставил NOD32 4, код руткита был найден в главном процессе антивируса NOD32, самозащита у него ни к чёрту...) BackDoor.Tdss.565, обезвреживает код руткита, но при следующем сканировании всё повторяется снова. Другими словами, полного излечивания не наблюдается. Прошу как-то доработать свою антивирусную утилиту, чтобы она полностью излечивала последний TDSS. Спасибо за внимание.
Cureit! Vs Tdss.565
Автор
fknp
, ноя 21 2009 23:46
43 ответов в этой теме
#2
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 21 Ноябрь 2009 - 23:48
Когда качали CureIT?Здравствуйте! Раздобыл я семплы TDSS.565, и решил проверить эффективность антивирусных решений от разных производителей. Проверял на виртуальной машине MS Virtual PC 2007 SP1 (x64). Ни на XP Pro x86 SP3, ни на Vista Ultimate x86 SP2 ни один антивирус (кроме Dr.Web) не может определить активное заражение. Попробовал CureIt!. При каждом сканировании он находит в одном из системных процессов (а когда я поставил NOD32 4, код руткита был найден в главном процессе антивируса NOD32, самозащита у него ни к чёрту...) BackDoor.Tdss.565, обезвреживает код руткита, но при следующем сканировании всё повторяется снова. Другими словами, полного излечивания не наблюдается. Прошу как-то доработать свою антивирусную утилиту, чтобы она полностью излечивала последний TDSS. Спасибо за внимание.
Было исправление.
md5?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#3
fknp
-
- Posters
- 30 Сообщений:
Newbie
Отправлено 21 Ноябрь 2009 - 23:53
качал сегодня в 17:16.
8a0641322ae68f4c5b456a00efd30c9e *jgljbelj.exe
MD5 ^^
8a0641322ae68f4c5b456a00efd30c9e *jgljbelj.exe
MD5 ^^
#4
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 21 Ноябрь 2009 - 23:58
На виртуальной машине могут быть ньюансыПроверял на виртуальной машине MS Virtual PC 2007 SP1 (x64).
#5
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 22 Ноябрь 2009 - 00:02
Киньте в личку плиз этот злосчасный TdSS....погоняю на виртуалке...интересно ведь )качал сегодня в 17:16.
8a0641322ae68f4c5b456a00efd30c9e *jgljbelj.exe
MD5 ^^
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#6
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 22 Ноябрь 2009 - 00:08
А зараженный драйвер не находит? Какая файловая система?При каждом сканировании он находит в одном из системных процессов (а когда я поставил NOD32 4, код руткита был найден в главном процессе антивируса NOD32, самозащита у него ни к чёрту...) BackDoor.Tdss.565, обезвреживает код руткита, но при следующем сканировании всё повторяется снова. Другими словами, полного излечивания не наблюдается.
#7
fknp
-
- Posters
- 30 Сообщений:
Newbie
Отправлено 22 Ноябрь 2009 - 00:11
Какие ещё ньюансы? Руткит встал аж бегом и без проблем, а у лечилки могут быть проблемы? Ну ок, сейчас на VMware Workstation погоняю.
mrbelyash, я бы скинул, да вот незадача - у меня заблокированы ЛС почему-то. ... вот линк на обменник. Архив без пароля, в нём - Packed.Win32.TDSS.z (BackDoor.Tdss.based.1 по классификации Dr.Web), при его запуске активируется BackDoor.Tdss.565 (Rootkit.Win32.TDSS.u). Подтвердите скачивание, да я удалю его, чтобы другие не качали
YVS, кроме заражённого системного процесса больше ничего не находит.
mrbelyash, я бы скинул, да вот незадача - у меня заблокированы ЛС почему-то. ... вот линк на обменник. Архив без пароля, в нём - Packed.Win32.TDSS.z (BackDoor.Tdss.based.1 по классификации Dr.Web), при его запуске активируется BackDoor.Tdss.565 (Rootkit.Win32.TDSS.u). Подтвердите скачивание, да я удалю его, чтобы другие не качали
YVS, кроме заражённого системного процесса больше ничего не находит.
#8
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 22 Ноябрь 2009 - 00:12
ВиртуальныеКакие ещё ньюансы? Руткит встал аж бегом и без проблем, а у лечилки могут быть проблемы? Ну ок, сейчас на VMware Workstation погоняю.
Лечение разрабатывается для реального железа.
Какая файловая система?кроме заражённого системного процесса больше ничего не находит.
#10
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 22 Ноябрь 2009 - 00:15
Скачал,спасибо.....А теперь удалите ссылки
В посте http://forum.drweb.com/index.php?s=&sh...st&p=351185
В посте http://forum.drweb.com/index.php?s=&sh...st&p=351185
Сообщение было изменено mrbelyash: 22 Ноябрь 2009 - 00:18
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#11
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 22 Ноябрь 2009 - 00:17
Можете проверить сканер, который сейчас в бете?YVS, NTFS.
#12
unknown_person
-
- Posters
- 296 Сообщений:
Member
Отправлено 22 Ноябрь 2009 - 00:18
Скачал,спасибо.....А теперь удалите ссылки
Не один Вы себе игрушку скачали
#13
fknp
-
- Posters
- 30 Сообщений:
Newbie
Отправлено 22 Ноябрь 2009 - 00:18
Я удалил файл с обменника, так что ссылка уже бесполезна. Какие будут идеи?
#14
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 22 Ноябрь 2009 - 00:20
Цыц..Немедленно удалитеСкачал,спасибо.....А теперь удалите ссылки
Не один Вы себе игрушку скачали
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#15
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 22 Ноябрь 2009 - 00:20
Включается после 3-х постов (или 5-ти)...да вот незадача - у меня заблокированы ЛС почему-то
#16
fknp
-
- Posters
- 30 Сообщений:
Newbie
Отправлено 22 Ноябрь 2009 - 00:20
Можете проверить сканер, который сейчас в бете?YVS, NTFS.
Пожалуйста конкретную ссылку.
#17
unknown_person
-
- Posters
- 296 Сообщений:
Member
Отправлено 22 Ноябрь 2009 - 00:21
Я удалил файл с обменника, так что ссылка уже бесполезна. Какие будут идеи?
Dr.Web (beta) успешно с ним справилась
#18
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 22 Ноябрь 2009 - 00:21
Для бета-тестеровПожалуйста конкретную ссылку.
"Файловая область" /win/ws/drweb-500-win-space-pro-beta-x86.exe
#19
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 22 Ноябрь 2009 - 00:22
Никакой беты..."это" уже в релизе и курилкеМожете проверить сканер, который сейчас в бете?YVS, NTFS.
Пожалуйста конкретную ссылку.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#20
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 22 Ноябрь 2009 - 00:23
Зараженный драйвер был обнаружен?Dr.Web (beta) успешно с ним справилась
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
