29 ответов в этой теме

[fknp]

Свеженький BackDoor.Tdss.1505 не обнаруживается последним CureIt!. Похоже авторы поменяли подход к написанию этого зверька, GMER'ом обнаруживается руткит и неприличная куча разнообразных перехватов, а кьюрит молчит как рыба. База от 28.11.2009 13:33 (бекдор значится обнаруженным с 13:28, т.е. по-идее должен бы детектиться). Когда планируется добавление возможности лечения активного заражения?

[Stefan Dashich]

Свеженький BackDoor.Tdss.1505 не обнаруживается последним CureIt!. Похоже авторы поменяли подход к написанию этого зверька, GMER'ом обнаруживается руткит и неприличная куча разнообразных перехватов, а кьюрит молчит как рыба. База от 28.11.2009 13:33 (бекдор значится обнаруженным с 13:28, т.е. по-идее должен бы детектиться). Когда планируется добавление возможности лечения активного заражения?

Вот у меня возник вопрос. Я сегодня отправил файл и пришел ответ что BackDoor.Tdss.1505 добавлен в базу. Как же аналитики знают какой вирус чересчур опасный если вирус добавлен автоматически роботом?

[userr]

fknp

Свеженький BackDoor.Tdss.1505 не обнаруживается последним CureIt!.

ОС? Виртуальная машина?
Логи gmer и Быстрой проверки cureit?

База от 28.11.2009 13:33 (бекдор значится обнаруженным с 13:28

то есть в неактивном состоянии тот же самый cureit видит BackDoor.Tdss.1505 ?

[YVS]

fknp
В бете появился новый сканер.
Интересно было бы им проверить

то есть в неактивном состоянии тот же самый cureit видит BackDoor.Tdss.1505 ?

Да, как определили, что это BackDoor.Tdss.1505?

[Konstantin Yudin]

Вот у меня возник вопрос. Я сегодня отправил файл и пришел ответ что BackDoor.Tdss.1505 добавлен в базу. Как же аналитики знают какой вирус чересчур опасный если вирус добавлен автоматически роботом?

мать моя женщина...

[fknp]

userr
ОС: Windows XP Professional SP3 обновлённая до актуального состояния
Виртуальная машина: Windows Virtual PC в составе Windows 7
Дроппер, дополнительно извлечённый из архива (т.к. прошлый после установки самоуничтожился), CureIt! увидел, а вот скрытый драйвер в папке \WINDOWS\system32\drivers - нет.
Логи: ifolder.ru/15214896
YVS, определил вполне обыденно - взял дроппер, выгрузил на VirusTotal, он мне выдал 17 детектов, + кьюрит видит дроппер, но не активное заражение. Как же "универсальный детект" всех TDSS? При том что в новой модификации никаких супер новых технологий, видимо, не использовано, скрытая служба видна в GMER, как и скрытый файл драйвера и сотня перехватов, АВ руткитом не убиваются, некоторые конкуренты с успехом детектируют и лечат активное заражение. Разработчики, доработайте сканер.

[Stefan Dashich]

fknp

тестирование лечения руткитов на виртуальныйх машинах не представляет ни какого интереса. как минимум виртуальные машины должны быть специально настроены (акселерация, детект железа и т.п. должно быть устранено). мы работаем с железом, а в виртуалках оно не настоящее. вот только этого никто не хочет понимать и делать, а потом появляются тесты...

[userr]

fknp
Я просил лог Быстрой проверки cureit (нужен детальный лог), а не информацию о найденных вирусах

[fknp]

http://ifolder.ru/15216199

[userr]

fknp
[Проверяемый путь] c:\windows\system32\drivers\yyyaalofaukrqzs.sys
c:\windows\system32\drivers\yyyaalofaukrqzs.sys - OK
-----------
о чём это говорит? Скорее всего так - антируткит сканера drweb позволяет видеть этот файл и работать с ним, но именно этой модификации нет в базах drweb.
"Дорабатывать" нужно не сканер, а базы - добавить запись. Пожалуйста, скорее пришлите этот файл в вирлаб, тикет сюда.
Вытащить файл можно через gmer или сам cureit, таким батником:
------------------------
:cureit
c:
md c:\test
cd c:\test\
:скопировать в c:\test\ cureit и назвать xyz.exe

echo c:\windows\system32\drivers\yyyaalofaukrqzs.sys> 1.txt

xyz.exe -sp"/copy:c:\test\1.txt /rpc:\test\drweb32w.log"

xcopy "%userprofile%\DoctorWeb\Quarantine" /g /h
dir "%userprofile%\DoctorWeb\Quarantine\" /a > c:\test\dir.txt
dir c:\test\ /a > c:\test\dir1.txt
copy /a /y "c:\test\drweb32w.log" + c:\test\dir.txt + c:\test\dir1.txt c:\test\result.txt
--------------------------------------------------------------------------------

смотрите в c:\test\ файлы *.dwq, прикрепите c:\test\result.txt

А я ведь Вас спрашивал: то есть в неактивном состоянии тот же самый cureit видит BackDoor.Tdss.1505 ? ...

[fknp]

Мда, Вы были правы - просто эти драйверы отсутствуют в базах. Меня сбило, что другие антивирусы дроппер и драйверы детектируют под одинаковыми именами, я думал там одна и та же сигнатура. Выслал, но номер тикета не скажу - по ошибке неправильно указал свой E-Mail.

[Pavel Plotnikov]

Мда, Вы были правы - просто эти драйверы отсутствуют в базах. Меня сбило, что другие антивирусы дроппер и драйверы детектируют под одинаковыми именами, я думал там одна и та же сигнатура. Выслал, но номер тикета не скажу - по ошибке неправильно указал свой E-Mail.

Вышлите ещё раз?

[fknp]

В этом нет необходимости. Драйвер обнаруживается как Trojan.NtRootkit.2965.

[userr]

fknp
есть лечение активного заражения?

[fknp]

Протестирую при первой возможности. Пока лишь скажу, что активное заражение кьюритом обнаруживается, и ВРОДЕ БЫ вредоносный драйвер удаляется, но не появляется ли он ановь после перезагрузки, т.е. эффективно ли лечение - не знаю.

Добыл пару дропперов тдсс, традиционно заражающих atapi.sys, кьюрит заражённый драйвер не обнаруживает. Подробности - где-то на выходных, дел много сейчас.

[Borka]

Добыл пару дропперов тдсс, традиционно заражающих atapi.sys, кьюрит заражённый драйвер не обнаруживает.

А в Вирлаб этих дропперов заслали?

[Konstantin Yudin]

Добыл пару дропперов тдсс, традиционно заражающих atapi.sys, кьюрит заражённый драйвер не обнаруживает.

А в Вирлаб этих дропперов заслали?

у нас все это есть.

на сегодня никто не может лечить активного tdl3 версии 3.20

[SergM]

на сегодня никто не может лечить активного tdl3 версии 3.20

И мы?

[ALEX(XX)]

на сегодня никто не может лечить активного tdl3 версии 3.20

И мы?

Судя по смайлу - да.

[fknp]

TDSS неизвестной версии (timestamp указывает дату 21 декабря, наверное свежий) vs CureIt!
CureIt просто зависает и вешает систему, после "Завершения работы" - "Перезагрузка" получаем ошибку svchost.exe - память не может быть read. С горем пополам ребут проходит. После ребута CureIt таки смог запуститься. При проверке в процессе WINLOGON.EXE обнаруживается код BackDoor.Tdss.565. ATAPI.SYS не помечается как заражённый. GMER же явно указывает на модификацию этого драйвера. Итог - детектить способен, лечить - нет.