Страница 2 из 3 Первая 123 Последняя
Показано с 21 по 40 из 50.

Win32.Ntldrbot (aka Rustock.C) больше не миф.

  1. #21
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    59
    Хотелось-бы линк с вирустотала увидеть с отловленным рустоком...
    Сорри за оффтоп, но где можно скачать и протестить вебвашер?
    Как показала практика использования вирустотала, очень не плохой детект и эвристика у него.
    Пост написал раньше, чем ссылка на вирустотал открылась...
    Последний раз редактировалось Username; 08.05.2008 в 02:46. Причина: ступил :)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    http://www.virustotal.com/ru/analisi...bec54356805a62

    ЗЫ: См. также детект MBR руткита:
    http://www.virustotal.com/ru/analisi...6bf113cd6907c0
    а этому экземпляру уже скоро две недели. Многие уже явно и не пытаются детектить - нет смысла, троянский MBR сектор всё равно не видят.

    Если я не заблуждаюсь, вебвашер недоступен домашним пользователям, это корпоративный продукт.

  4. #23
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от Groft Посмотреть сообщение
    все просто - это новая модификация вируса
    Меня пытаются уверить, что это старая версия, которую ловили все кому не лень еще в прошлом году. Вот и интересно.

    Добавлено через 2 минуты

    Цитата Сообщение от Alexey P. Посмотреть сообщение
    Многие уже явно и не пытаются детектить - нет смысла, троянский MBR сектор всё равно не видят.
    А может, и нет никакого BackDoor.MaosBoot ? А это очередной пиар?
    Последний раз редактировалось borka; 08.05.2008 в 13:04. Причина: Добавлено
    ---
    С уважением,
    Borka.

  5. #24
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    142
    Z:\NewProjects\spambot\last\driver\objfre\i386\dri ver.pdb

    грязный пиар )))

  6. #25
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    http://www.rootkits.ru/viewtopic.php?pid=4931#p4931 ( Мат included, детям не ходить )
    Что это за x80368 ? это некто известный ранее под ником евел_пхентези, который настолько боится, что сидит, наверно через 10 проксей. Но он либо соавтор данного "руткида", либо близко с ним знаком, форум на антималвари это доказывает.
    ---
    Последний раз редактировалось Alexey P.; 08.05.2008 в 20:06. Причина: Поиск троянов на форуме запрещен
    Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves

  7. #26
    Junior Member Репутация
    Регистрация
    15.08.2005
    Сообщений
    48
    Вес репутации
    69
    Жёстко, но, видимо, справедливо:
    Вся та истерика, что наблюдается сейчас на форумах типа virusinfo.info, wilderssecurity, rootkits радует глаз
    http://www.anti-malware.ru/forum/ind...ndpost&p=37575
    Последний раз редактировалось Mamont; 08.05.2008 в 18:21.

  8. #27
    External Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    14.04.2006
    Сообщений
    8
    Вес репутации
    116
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    ЗЫ: См. также детект MBR руткита:
    http://www.virustotal.com/ru/analisi...6bf113cd6907c0
    А дроппер от него есть?

  9. #28
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Wordmonger Посмотреть сообщение
    А дроппер от него есть?
    В паблике- нет. Пока...
    http://www.softsphere.com - DefenseWall, DefencePlus

  10. #29
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Цитата Сообщение от Surfer Посмотреть сообщение
    http://www.rootkits.ru/viewtopic.php?pid=4931#p4931 ( Мат included, детям не ходить )
    Что это за x80368 ? это некто известный ранее под ником евел_пхентези, который настолько боится, что сидит, наверно через 10 проксей. Но он либо соавтор данного "руткида", либо близко с ним знаком, форум на антималвари это доказывает.
    ---
    Surfer не соглашусь с Вами евел_пхентези - не похож он на трусливого товарища. Чтоб сидеть под 10 проксями ни чего особо страшного и позорного не вижу, для того чтоб под ними сидеть нужно их еще найти особенно под действительно анонимными! Ну а что же касается ников то любой в праве его сменить! Ну, а то чтоб узнать о его авторстве или соавторстве думаю оптимальный вариант будет спросить у него самого если конечно он ответит...
    Ну и конечно же о том что "ищут пожарные ищут милиция...." Если цель поставлена она будет найдена все зависит от того кем она поставлена и насколько правильно! Что написано на антималваре еще ни чего не доказывает ИМХО!
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  11. #30
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Собственно не суть. Можно и за Tor сидеть.
    Наверно насчёт пиара я неправ, но мне что-то не удаётся найти данный руткит ITW.
    Уже попросил многих своих знакомых, друзей, просканил рабочие тачки - нет его.
    Странно.
    ---
    Кстати мой запрос про дроппер удалили
    Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves

  12. #31

  13. #32
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Цитата Сообщение от Username Посмотреть сообщение
    Вобщем, DrWeb дураки и идиоты, их продукт дерьмо, а ЛК круть и куль Прикольно, блин.
    Left home for a few days and look what happens...

  14. #33
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Не знаю кто дурак а кто умный, но прес-релиз у ЛК круче...

  15. #34
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1147
    В соревновательности между ЛК и ДрВеб есть что-то от спортивного азарта. Интересно, был бы второй пресс-релиз, если бы не было бы первого? Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007, а следовательно, за эту ниточку потянули, и потянули давно.

  16. #35
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от santy Посмотреть сообщение
    Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007,
    да и статья написана еще год назад:
    К сожалению, даже в настоящие время (начало июня 2007 года) некоторые антивирусные продукты по-прежнему не ловят Agent.ddl.

    Загрузчик
    The worst foe lies within the self...

  17. #36
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Цитата Сообщение от santy Посмотреть сообщение
    В соревновательности между ЛК и ДрВеб есть что-то от спортивного азарта. Интересно, был бы второй пресс-релиз, если бы не было бы первого? Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007, а следовательно, за эту ниточку потянули, и потянули давно.
    Ну, если бы докторовцы не написали свой релиз, так бы всё тихо и закончилось.
    Что интересно, КАВ детектировал в 2007 году то, чего по заверениям не существовало
    Left home for a few days and look what happens...

  18. #37
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от Kuzz Посмотреть сообщение
    да и статья написана еще год назад:
    Ага И сейчас по внутреннему календарю ЛК как минимум осень 2008 года

    Варианты C3 и С4 относятся к 9-10 октября 2008 года. Их размер варьирует в пределах 158 400 — 158 496 байт.

  19. #38
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Если убрать из статьи стандартную рекламную воду, то всё правильно. Авторам - респект.
    Кстати, а кто автор(ы) ?

    Самое существенное в статье, на мой взгляд:
    1. Нашли древний загрузчик Rustock.C, оценили масштабы его раздачи - масштабы впечатляют, сайты "Darkgt Iframedollars" действительно не знает только ленивый.
    На то время это были:
    yaspftqlyr.hk, ybdjmiphev.hk, ychxrexurx.hk, ydqwvsamov.hk, yeyjmaoumc.hk, yfxyqhbqcg.hk, ygyyqtqeyp.hk, yhbcrffjpa.hk.
    Затем
    vaavrqoavy.net, vbfpfahnnd.net, vclizwkved.net, vdfbgjrfii.net, veyyhlucwa.net, vfbncjwsrl.net, vgtviqbmuw.net, vhrzpdpzwi.net.
    Обе серии доменов распространяли упомянутый в статье загрузчик Rustock.C.
    Правда, упомянутого в статье файла loadadv351.exe быть не могло - нумерация у них с 400 до 799. И любой из 400 загрузчиков тащил этот упомянутый загрузчик Rustock.C - Trojan-Downloader.Win32.Agent.ddl.
    Видимо, просто в статье ошибка, такая же, как и 2007 год её написания .

    2. Очень интересно предположение о том, что разработчик/заказчики Rustock.C перешли на буткиты. Действительно, очень похоже на то.

    3.
    Возможность детектирования активного руткита в зараженной системе и лечения зараженных файлов полностью реализована в новой версии нашего антивируса — KAV\KIS 2009. Пользователи других версий могут проверить свои компьютеры на наличие Rustock при помощи Rescue Disk с любой версией нашего антивируса.
    Тоже всё правильно и честно.
    Пользователи более старых версий ни обнаружить, ни тем более вылечить Rustock.C и многочисленные версии буткитов без загрузки с внешнего носителя не смогут. Если не используют DrWeb CureIt, конечно .

  20. #39
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    Нашли древний загрузчик Rustock.C, оценили масштабы его раздачи - масштабы впечатляют, сайты "Darkgt Iframedollars" действительно не знает только ленивый.
    На то время это были:
    yaspftqlyr.hk, ybdjmiphev.hk, ychxrexurx.hk, ydqwvsamov.hk, yeyjmaoumc.hk, yfxyqhbqcg.hk, ygyyqtqeyp.hk, yhbcrffjpa.hk.
    Затем
    vaavrqoavy.net, vbfpfahnnd.net, vclizwkved.net, vdfbgjrfii.net, veyyhlucwa.net, vfbncjwsrl.net, vgtviqbmuw.net, vhrzpdpzwi.net.
    Обе серии доменов распространяли упомянутый в статье загрузчик Rustock.C.
    Правда, упомянутого в статье файла loadadv351.exe быть не могло - нумерация у них с 400 до 799. И любой из 400 загрузчиков тащил этот упомянутый загрузчик Rustock.C - Trojan-Downloader.Win32.Agent.ddl.
    Видимо, просто в статье ошибка, такая же, как и 2007 год её написания .
    Насчет loadadv351.exe сказать трудно, но у меня автоматикой был отловлен Trojan-Downloader.Win32.Agent.ddl, что говорит о его распространенности в ITW. Дата отлова в моем случае = 11.09.2007, файл запакован (пакер похож на тот, что применен в рустоке.с, размер 28 кб). На момент отлова он проходил у меня стандартную процедуру изучения, показавшую, что он дропает свой драйвер размером 25 кб на диск под бредовым именем (причем интересно дропает - через админшару на локал-хосте, и напрямую), после чего регистрирует драйвер и загружает его через стандартное API. У меня на исследовании рустока C он не затащил, и был похоронен в коллекции как еще один злобный руткит.

  21. #40
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Вобщем, DrWeb дураки и идиоты, их продукт дерьмо.
    Вероятно, это Ваша собственная точка зрения, т.к. в статье не произносится таких слов и не делается подобных намеков.
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Что интересно, КАВ детектировал в 2007 году то, чего по заверениям не существовало
    Загрузчик детектировался сразу же после появления. Но его никто не ковырял до упора. Обычный детект обычного даунлоадера.
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    Видимо, просто в статье ошибка, такая же, как и 2007 год её написания
    Уже исправлено. Спасибо, что заметили.
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    Пользователи более старых версий ни обнаружить, ни тем более вылечить Rustock.C и многочисленные версии буткитов без загрузки с внешнего носителя не смогут.
    Старые пользователи старых версий не были подвержены заражению, т.к. загрузчик был давно остановлен. Новые пользователи старых версий, установившие антивирус на уже зараженную машину, действительно, не смогут обнаружить этот руткит, если не воспользуются входящим в состав антивируса диском аварийного восстановления.

Страница 2 из 3 Первая 123 Последняя

Похожие темы

  1. Win32/Rustock
    От mac baren в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 22.05.2010, 16:41
  2. Win32/Rustock
    От Ximitsu в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 20.04.2010, 21:10
  3. Win32/Rustock
    От ignatbav в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 11.04.2010, 22:04
  4. Symantec: Ботнеты Grum и Rustock рассылают все больше спама
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 4
    Последнее сообщение: 03.03.2010, 10:10
  5. Win32.Ntldrbot (aka Rustock.C) больше не миф.
    От SergM в разделе Антиспам
    Ответов: 1
    Последнее сообщение: 06.05.2008, 12:41

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00750 seconds with 17 queries