78 ответов в этой теме

[CatalystX]

"Alexgrits" это заместитель Бога по тестингу?
Отправить файл на анализ в антивирусную лабораторию Drweb https://vms.drweb.com/sendvirus/?lng=ru -- что может быть проще и надежнее? Но нет, у нас свой особый, граблями усеянный путь...
"Признаюсь, это уж совсем непостижимо, это точно... нет, нет, совсем не понимаю. Во-первых, пользы отечеству решительно никакой; во-вторых... но и во-вторых тоже нет пользы. Просто я не знаю, что это..." (с)

 

Я по КСН смотрю и там пишет что лабовцам дроппер стал известен более года назад.

[Borka]

"Alexgrits" это заместитель Бога по тестингу?

О, генеральный прокурор появился.

Отправить файл на анализ в антивирусную лабораторию Drweb https://vms.drweb.com/sendvirus/?lng=ru -- что может быть проще и надежнее? Но нет, у нас свой особый, граблями усеянный путь...

Только я вижу разницу между детектом тушки и лечением активного заражения?

[VVS]

CatalystX, а DrWeb вообще его детектит?

[userr]

Я по КСН смотрю и там пишет что лабовцам дроппер стал известен более года назад.

кто пишет? что пишет? где пишет? это все пустые слова.
нужно сделать очень простую вещь - послать файл в вирлаб drweb, категория "Запрос на лечение". Три клика мышкой. номер запроса из ответа автомата сюда.
И всё очень скоро станет ясно.

[CatalystX]

CatalystX, а DrWeb вообще его детектит?

Конечно. Вот скрин с поста Alexgrits http://fastpic.ru/view/52/2013/0210/35b4ad842fa92be054bc9a7884b8f2f3.jpg.html

Пост был  Отправлено: 14:25 10-02-2013

Сообщение было изменено CatalystX: 30 Апрель 2013 - 14:45

[userr]

Только я вижу разницу между детектом тушки и лечением активного заражения?

пока никто ничего не видит, потому что фактов - ноль.

[VVS]

CatalystX, ЛС заработали.

[VVS]

Да, детектится:

20130430.155201 [CL,LO] D:\downloads\pihar.exe - infected with Trojan.Tdlphaze.3

[GEV]

Ну и .... лечит активное заражение? Не томите.

[Konstantin Yudin]

CatalystX, а DrWeb вообще его детектит?

Конечно. Вот скрин с поста Alexgrits http://fastpic.ru/view/52/2013/0210/35b4ad842fa92be054bc9a7884b8f2f3.jpg.html
Пост был  

Отправлено: 14:25 10-02-2013


вы прям как ам. детектит тушку и говорить что в активной фазе не видим.

краткий эссе про проверке активного бут-заражения:

- заразить бутом
- убедится что бут активен и защищается. если не защищается можно дальше не идти
- деактивировать защиту бута и проверить что детектим ИМЕННО зараженный бут. ни в коем случае не проверять детект на дампе бута как файла. это разные алгоритмы и сигнатуры.
- активировать защиту бута и проверить есть ли детект и лечение.

вот тогда уже можно судить о тестировании именно активного заражения.

[CatalystX]

краткий эссе про проверке активного бут-заражения:

- заразить бутом
- убедится что бут активен и защищается. если не защищается можно дальше не идти
- деактивировать защиту бута и проверить что детектим ИМЕННО зараженный бут. ни в коем случае не проверять детект на дампе бута как файла. это разные алгоритмы и сигнатуры.
- активировать защиту бута и проверить есть ли детект и лечение.

 

Спасибо за разъяснения.

Теперь другие вопросы: 

- Как убедится что буткит защищается? Через антируткиты посмотреть, есть ли перехваты функций неизвестным драйвером?

- Потом вынести его перехватчики? 

[Borka]

- Как убедится что буткит защищается?

Попробовать модифицировать MBR/boot при активном суслике.

[CatalystX]

 

Попробовать модифицировать MBR/boot при активном суслике.

 

Hiew подойдет?

[Borka]

 

Попробовать модифицировать MBR/boot при активном суслике.

Hiew подойдет?

 

А он умеет работать на физическом уровне с устройством?
Если Вы программист, то можно написАть простенькую прогу, если нет - Парагон/Акронис.

[Konstantin Yudin]

ваш семпл:

scan-boot:
HDD = 1, FDD = 0, CDROM = 1
HDD0 MBR - infected with Trojan.Tdlphaze.1 [t:1]
HDD0 MBR - infected [e:1]
HDD0 Partition 1: Active NTFS/exFAT - Ok [e:0]
scan-boot: complete

mbr-info: 0
MBR anomaly:
faked MBR - probably active bootkit
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
Dump Primary partitions info for HDD0:
Partition 1:
Type : 0x7 (NTFS/exFAT)
Boot flag: 0x80 (Boot)
Start CHS: 0:1:1
End CHS : 3ff:fe:3f
Start LBA: 0x3f (offset in bytes: 0x7e00, 32256)
Size : 0x13fa6d9 sectors (10725732864 bytes, 10228 MB)
Partition 2:
Type : 0x0 (Unknown)
Boot flag: 0x0
Start CHS: 0:0:0
End CHS : 0:0:0
Start LBA: 0x0 (offset in bytes: 0x0, 0)
Size : 0x0 sectors (0 bytes, 0 MB)
Partition 3:
Type : 0x0 (Unknown)
Boot flag: 0x0
Start CHS: 0:0:0
End CHS : 0:0:0
Start LBA: 0x0 (offset in bytes: 0x0, 0)
Size : 0x0 sectors (0 bytes, 0 MB)
Partition 4:
Type : 0x0 (Unknown)
Boot flag: 0x0
Start CHS: 0:0:0
End CHS : 0:0:0
Start LBA: 0x0 (offset in bytes: 0x0, 0)
Size : 0x0 sectors (0 bytes, 0 MB)
mbr-info: complete

[Konstantin Yudin]

А он умеет работать на физическом уровне с устройством?

hiew32 \\.\PhysicalDriveX

[Borka]

Ясно, умеет.

[userr]

CatalystX,
смотрите, если бы в Вашем первом письме были еще всего-навсего 4 слова тикет вирлаба Drweb [drweb.com #NNNNN]

то писем со 2 по 29 в этой теме не было бы, они напрямую к делу не относятся.

Учтите на будущее, пожалуйста.

[userr]

Konstantin Yudin,

я правильно понимаю, что вывод такой - заражение этим экземпляром видим и лечим сейчас, и видели и лечили тогда, когда кто-то где-то провел свой "странный" тест?

[Konstantin Yudin]

Э, а когда был этот тест? И на какой вообще версии?