Перейти к содержимому


Фото
- - - - -

Dr.web vs руткит Pihar

Dr.web Pihar TDL4

  • Please log in to reply
78 ответов в этой теме

#61 GEV

GEV

    Massive Poster

  • Posters
  • 2 111 Сообщений:

Отправлено 01 Май 2013 - 21:38

Глядя на видео-обзор некого "профессора" drweb руткиты вообще не видит на win8.



#62 CatalystX

CatalystX

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 01 Май 2013 - 22:52

Глядя на видео-обзор некого "профессора" drweb руткиты вообще не видит на win8.

Потому что под Win8 руткитов нет.



#63 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 750 Сообщений:

Отправлено 02 Май 2013 - 11:45

Извиняюсь, но отправил в вирлаб файлы раньше, чем это сделал топиксастер.

 

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.Tdlphaze.15, Trojan.Tdlphaze.15, Trojan.Tdlphaze.15, BackDoor.Tdss.9148, BackDoor.Tdss.5231


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#64 CatalystX

CatalystX

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 02 Май 2013 - 16:50

Может ли быть признаком активности буткита постоянно восстанавливающийся перехват функции irp_mj_internal_device_control в atapi.sys неизвестным модулем?

А также первая запись, как на втором скрине? И невозможность сделать бэйкап бут-сектора?

Система заражена Pihar'ом.c.

Прикрепленные файлы:

  • Прикрепленный файл  Device.png   178,73К   8 Скачано раз
  • Прикрепленный файл  Atapi.png   179,51К   3 Скачано раз

Сообщение было изменено CatalystX: 02 Май 2013 - 16:51


#65 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 02 Май 2013 - 18:02

Программа хорошая, но вердиктов она не выносит. А что другие не видят ?


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#66 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 750 Сообщений:

Отправлено 02 Май 2013 - 18:09

CatalystX, сравните перехваты на здоровой и инфицированной системах. Есть различия?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#67 CatalystX

CatalystX

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 02 Май 2013 - 18:21

Программа хорошая, но вердиктов она не выносит. А что другие не видят ?

Ну начнем с того что у меня Win7 x64, а под нее анти-руткитов не так уж и много, я знаю только три: GMER, PCHunter64(на скринах) и Win64AST. Гмер выдает только DR0 - Sector 0: rootkit like behavior, Win64AST видит только хук на irp_mj_internal_device_control, а при чтении MBR похоже не замечает подмены, так как успешно читает с ядра, и с Ring3 и пишет что MBR при чтении с разных уровней совпадают.



#68 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 02 Май 2013 - 18:28

 

Программа хорошая, но вердиктов она не выносит. А что другие не видят ?

Ну начнем с того что у меня Win7 x64, а под нее анти-руткитов не так уж и много, я знаю только три: GMER, PCHunter64(на скринах) и Win64AST. Гмер выдает только DR0 - Sector 0: rootkit like behavior, Win64AST видит только хук на irp_mj_internal_device_control, а при чтении MBR похоже не замечает подмены, так как успешно читает с ядра, и с Ring3 и пишет что MBR при чтении с разных уровней совпадают.

 

Понятно. Если лечить то с LiveCD (DrWeb!). Если исследовать - Там есть дисассемблер (шутка). aswMBR не помню точно вроде работает. Сделайте уже тогда экзаменирование PCHunter-ом и покажите.


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#69 CatalystX

CatalystX

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 02 Май 2013 - 18:59

lazarev.ee,

Проверю aswMBR чуть позже.

Сейчас опишу что получил от сравнения чистой и зараженной.

На чистой в Atapi.sys были перехваты неизвестным модулем  не только irp_mj_internal_device_control, а и irp_mj_create, irp_mj_close, irp_mj_device_control. Но кнопочка Restore All эти перехваты исправила и перехват irp_mj_internal_device_control не восстанавливался. Во вкладке Object Hijack остались лишь DeviceObject - 2058707732 и Kernelmodule - oem-drv64.sys. И бейкап бут-сектора успешно создался.


Сообщение было изменено CatalystX: 02 Май 2013 - 19:00


#70 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 02 Май 2013 - 19:59

Извиняюсь, но отправил в вирлаб файлы раньше

то есть drweb не знал эти вирусы? какой же тогда мог быть тест на лечение?

И Вы давайте номера тикетов.

#71 GEV

GEV

    Massive Poster

  • Posters
  • 2 111 Сообщений:

Отправлено 02 Май 2013 - 20:13

Дроппер нет, базы от 30 апреля.



#72 GEV

GEV

    Massive Poster

  • Posters
  • 2 111 Сообщений:

Отправлено 02 Май 2013 - 20:20

Вот лог сканера на момент создания темы, т.е. 30 апреля.

Прикрепленные файлы:



#73 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 750 Сообщений:

Отправлено 03 Май 2013 - 10:16


то есть drweb не знал эти вирусы?

Какую-то часть компонентов не детектил

 


какой же тогда мог быть тест на лечение?

Обычный. MBR детектит, значит должен вылечить, несмотря на все неизвестное активное в системе.

 


И Вы давайте номера тикетов.

[drweb.com #4041165] Обработано: SUBMITTED CURE REQUEST


Сообщение было изменено RomaNNN: 03 Май 2013 - 10:16

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#74 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 03 Май 2013 - 19:38

В uVS выбираю систему с win8 на E:\Windows ,а он почему то пишет на F:\Windows файлы не обнаружены (?). последствия этого виря. В итоге грузит пользователя и тёмный экран...


Сообщение было изменено lazarev.ee: 03 Май 2013 - 19:39

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#75 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 750 Сообщений:

Отправлено 04 Май 2013 - 12:49

У меня все лечит корректно CureIt-ом.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#76 CatalystX

CatalystX

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 05 Май 2013 - 09:48

У меня все лечит корректно CureIt-ом.

Подтверждаю, скачал сегодняшний CureIT  - Pihar.C вылечен без проблем.



#77 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 05 Май 2013 - 10:13

Подтверждаю, скачал сегодняшний CureIT  - Pihar.C вылечен без проблем.

Почитал аналитику http://www.securelist.com/ru/analysis/208050704/TDL4_Top_Bot , там много вариантов, если дать ему себя проявить (описание за 2011)

Какие вредоносные программы загружает сам TDL-4? С начала этого года на ботнет было установлено около 30 дополнительных вредоносных программ, включая фальшивые антивирусы, рекламные модули и спамбот Pushdo.


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#78 CatalystX

CatalystX

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 05 Май 2013 - 20:55

Наткнулся на пастбине на такую штуку: http://pastebin.com/ZJ9Gdhgm

Красивая реклама, а на деле неудачный клон TDL3.



#79 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 05 Май 2013 - 21:11

Наткнулся на пастбине на такую штуку: http://pastebin.com/ZJ9Gdhgm
Красивая реклама, а на деле неудачный клон TDL3.

Надеюсь у них нет пробного периода и промоакций ?!  :unsure: :( O_o

http://eric71.geekstogo.com/tools/MbrScan.exe а я такую прогу нашёл - TDL4 детектит

Device\Harddisk0\DR0 298.1 Go  [Fixed] ==> Possible TDL4 MBR Code

Spoiler


Сиюминутное Ригпа бессущностно и ясно.

drweb.png




Also tagged with one or more of these keywords: Dr.web, Pihar, TDL4

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых