43 ответов в этой теме

[unknown_person]

Dr.Web (beta) успешно с ним справилась

Зараженный драйвер был обнаружен?

На проверке виртушка упала, не успел скопировать. Пока ось выдает следующее при загрузке. Завтра время будет - сменю ось и снова попробую с бетой Dr.Web поиграться

[fknp]

Потеряв надежду справиться с этим злодеем при помощи CureIt!, качнул Dr.Web (лицензия - ознакомительная). ОС - Windows Vista Ultimate x86 SP2 со всеми доступными обновлениями. При установке запустилась быстрая проверка, и наш "герой" был найден в самом "подходящем" для него системном процессе - C:\Program Files\Windows Defender\MSASCui.exe:428 (любит он в противовирусные программы внедряться я смотрю). Вердикт - "Обезврежен". В заражённом драйвере (atapi.sys) вредоносный код обнаружен не был. Компьютер (тоесть виртуальная машина) перезагрузился в рамках завершения установки Dr.Web, SpIDer Mail "порадовал" ошибкой, что "Демонстрационный ключ не соответствует Вашей системе" (хотя я получал его на той же системе). Мог бы просто сообщить, что в ознакомительной версии модуль проверки почты не работает. Ладно. Запустилась быстрая проверка. На этот раз руткит Tdss.565 был найден в запущенном процессе C:\Windows\System32\taskeng.exe:116, atapi.sys снова прошёл проверку без каких-либо нареканий со стороны Dr.Web. Быстрая проверка завершилась, больше ничего вредоносного не нашлось. Сделал лог GMER (при проверке сняты галочки напротив Sections и IAT/EAT), он обнаружил модификацию atapi.sys

Прикрепленные файлы:

•  GMER.log   267,39К   46 Скачано раз

[Cathy]

Я запустила tdss (размещенный участником fknp) на VMware Workstation 7- Windows XP SP3, FS-NTFS, и после этого проверила систему при помощи CureIt!
Результат:


1.Процесс в памяти обнаружен и искоренен.
2.Зараженный драйвер обнаружен и вылечен.

После перезагрузки система загрузилась без каких-либо проблем, и при повторном сканировании ничего обнаружено не было.

P.S. Возможно, все дело в виртуальной машине- если и проверять что-то на виртуальной, а не на реальной машине,
то, по крайней мере, нужно использовать последнюю версию VMware- остальные виртуальные машины гарантированное "зло".

[unknown_person]

Я запустила tdss

У меня после его запуска виртушка (VirtualBox3.0.12) сразу ушла в аут. Реанимировать бесполезно

[Cathy]

У меня после его запуска виртушка (VirtualBox3.0.12) сразу ушла в аут. Реанимировать бесполезно

К сожалению, ни Virtual PC, ни VirtualBox не обеспечивают должного уровня совместимости - так что либо VMware, либо реальная машина- третьего не дано

[unknown_person]

У меня после его запуска виртушка (VirtualBox3.0.12) сразу ушла в аут. Реанимировать бесполезно

К сожалению, ни Virtual PC, ни VirtualBox не обеспечивают должного уровня совместимости - так что либо VMware, либо реальная машина- третьего не дано

Завтра попробую с ним. А на Vbox после его запуска вылетает bsod и при каждой новой попытке загрузки можно наблюдать следующее

[YVS]

Cathy
Спасибо за эксперимент

fknp
А как у Вас дела с проверкой на VMware?

[userr]

fknp
Никогда больше не помещайте на форум вирусы/прямые ссылки на вирусы
Замечание.
Модератор.

[unknown_person]

Dr.Web (beta) успешно с ним справилась

Зараженный драйвер был обнаружен?

Да, драйвер был обнаружен. Сегодня поменял ось на виртушке и начал все с нуля. В итоге - вот скриншот проверки курилкой, скаченной за 5 минут до начала проверки. Неким образом в папке Windows оказался LDPinch. Вчера, до того как запустить TDSS_565, я делал полную проверку системы Dr.Web (beta) - было чисто. Ну сеть была активна, возможно и TDSS друга впустил... Сейчас еще прогоню Dr.Web (beta). Скрин выложу

Прикрепленные файлы:

•  01.JPG   126,6К   70 Скачано раз

[fknp]

fknp
А как у Вас дела с проверкой на VMware?

Печально дела. Поставил Vista Ultimate x86 SP2, на него - все имеющиеся обновления через Windows Update. Запустил TDSS. Он установился и удалил свой дроппер (или чем там является Packed.Win32.TDSS.z). Запустил GMER. Модификацию atapi.sys он не обнаружил (вот так... TDSS сейчас ещё хитрее). Лог прикреплён как GMER.log. Поставил Dr.Web beta. BackDoor.Tdss.565 был обнаружен в C:\Program Files\VMware\VMware Tools\VMUpgradeHelper.exe:116 (TDSS повадился внедряться в процессы VMware, стрёмно... А TDSS через VMware Tools не может выйти за пределы виртуальной машины?). Больше ничего обнаружено не было. Запланированный ребут.

Сразу куча алертов от фаерволла. Заблокировал (некогда разбираться).

Долбаный UAC, когда TDSS устанавливался, ни одного предупреждения не было, а про Dr.Web и различные его компоненты приходится по 100 раз разрешать активность. Не зря его все отключают, никакой пользы. Идём дальше.

Обновил базы. Запустил сканер (быстрая проверка).
Процесс в памяти: C:\Program Files\VMware\VMware Tools\VMwareTray.exe:328 BackDoor.Tdss.565 Обезврежен
Процесс в памяти: C:\Windows\system32\svchost.exe:1100 Win32.Valhala.2048 Обезврежен

О как... TDSS подогнал за собой полноценный файловый вирус. Между тем, модификация системных драйверов не замечена. Странно. Лог GMER после быстрой проверки Dr.Web прикреплён как GMER_After_Reboot.log.

Прогнал полную проверку (см. прикреплённый скриншот). Кроме обезвреженных в процессе быстрой проверки вредоносов больше никаких пунктов в лог обнаруженных угроз не добавилось, итог - вирусов не найдено.

Глобальных выводов делать не хочется, но пока что у Dr.Web с лечением BackDoor.Tdss.565 на Windows Vista туговато, а точнее - никак. На WinXP, судя по сообщениям предыдущих пользователей, он справляется с активным заражением, а вот с Вистой почему-то не сложилось.

Прикрепленные файлы:

•  GMER.log   1,62К   32 Скачано раз
•  GMER_After_Reboot.log   236,39К   38 Скачано раз
•  Dr.Web.jpg   226,54К   43 Скачано раз

[unknown_person]

Ну вот проверка Dr.Web (beta). Все тоже самое, в принципе

P.S. Вторую виртуальную систему я ставил на тот же виртуальный диск, и после удаления всех тварей - система загрузилась как ничего не было. Как она грузилась до этого - я выкладывал видео. Сейчас все в норме

Прикрепленные файлы:

•  01.JPG   74,06К   61 Скачано раз

[maxic]

Печально дела. Поставил Vista Ultimate x86 SP2, на него - все имеющиеся обновления через Windows Update. Запустил TDSS. Он установился и удалил свой дроппер (или чем там является Packed.Win32.TDSS.z).

Долбаный UAC, когда TDSS устанавливался, ни одного предупреждения не было, а про Dr.Web и различные его компоненты приходится по 100 раз разрешать активность. Не зря его все отключают, никакой пользы. Идём дальше.

TDSS установился без поднятия привилегий? С юзерскими правами?

[Konstantin Yudin]

тестирование лечения руткитов на виртуальныйх машинах не представляет ни какого интереса. как минимум виртуальные машины должны быть специально настроены (акселерация, детект железа и т.п. должно быть устранено). мы работаем с железом, а в виртуалках оно не настоящее. вот только этого никто не хочет понимать и делать, а потом появляются тесты...

[Konstantin Yudin]

касательно tdl3. первые версии работали не стабильно, были случаи когда драйвер не заражался, либо заражался со второй попытке. так же были случаи когда файл заражался не до конца (правилась точка входа а загрузчик не записывался в драйвер) в этом случае на ребуте будет бсод. новые версии tdl3 не стабильны сами по себе. как минимум после заражения нужен ребут, чтобы убедится что все прошло гладко. ни гмер ни tdsskiller не видят последние версии. так что отладчик в руки, ну или livecd, проверить заражен ли драйвер. только потом вердикты в студию.

[fknp]

Я понял, значит не лечит потому что машина не реальная. Но на реальной стрёмно проверять, да и придётся специально 32-битную ОС ставить... Кстати о последних версиях TDSS, к сожалению, у меня на руках только самая первая его версия (Tdss.565), не могли бы вы мне в ПМ скинуть последнюю версию этого зверька?..

[Konstantin Yudin]

Я понял, значит не лечит потому что машина не реальная. Но на реальной стрёмно проверять, да и придётся специально 32-битную ОС ставить... Кстати о последних версиях TDSS, к сожалению, у меня на руках только самая первая его версия (Tdss.565),

в памяти универсальный детект на любую версию (респект нашим аналитикам), он всегда будет Tdss.565, так что не факт что у вас первая версия.

не могли бы вы мне в ПМ скинуть последнюю версию этого зверька?..

к сожалению не могу.

[YVS]

fknp
Достаньте с помощью LiveCD atapi.sys (если системный диск на IDE) и проверьте, заражен ли он

[fknp]

не могли бы вы мне в ПМ скинуть последнюю версию этого зверька?..

к сожалению не могу.

Глупо было просить у админа антивирусного форума скинуть семпл вредоноса))) Не заметил ваш статус

YVS, я удалил VMware. Как только поставлю снова - скину.

Konstantin Yudin Tdss.1365 относится к "последним версиям"? Видит её GMER:

А бета Dr.Web'а успешно убивает при установке на быстром скане:

Но это - на Windows XP Professional SP3.

[Konstantin Yudin]

не могли бы вы мне в ПМ скинуть последнюю версию этого зверька?..

к сожалению не могу.

Глупо было просить у админа антивирусного форума скинуть семпл вредоноса))) Не заметил ваш статус

YVS, я удалил VMware. Как только поставлю снова - скину.

Konstantin Yudin Tdss.1365 относится к "последним версиям"? Видит её GMER:

значит это старый

А бета Dr.Web'а успешно убивает при установке на быстром скане:

Но это - на Windows XP Professional SP3.

в бете и релизе сканеры одинаковые

[fknp]

fknp
Достаньте с помощью LiveCD atapi.sys (если системный диск на IDE) и проверьте, заражен ли он

С помощью LiveCD скопировал недетектируемый в активном виде atapi.sys на рабочий стол. VirusTotal выдал вердикт - BackDoor.Tdss.565. Странно, Tdss.1365 Др.Веб нормально лечит, а Tdss.565 даже не замечает (ну разве что в оперативной памяти). Чё дальше делать?

Konstantin Yudin, вы хотя бы автору GMER'а семплы скинете, чтобы он поправил свою утилиту? Вроде же существует обмен семплами между борцами с компьютерной нечистью?..