-
Junior Member
- Вес репутации
- 59
Хотелось-бы линк с вирустотала увидеть с отловленным рустоком...
Сорри за оффтоп, но где можно скачать и протестить вебвашер?
Как показала практика использования вирустотала, очень не плохой детект и эвристика у него.
Пост написал раньше, чем ссылка на вирустотал открылась...
Последний раз редактировалось Username; 08.05.2008 в 02:46.
Причина: ступил :)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
http://www.virustotal.com/ru/analisi...bec54356805a62
ЗЫ: См. также детект MBR руткита:
http://www.virustotal.com/ru/analisi...6bf113cd6907c0
а этому экземпляру уже скоро две недели. Многие уже явно и не пытаются детектить - нет смысла, троянский MBR сектор всё равно не видят.
Если я не заблуждаюсь, вебвашер недоступен домашним пользователям, это корпоративный продукт.
-
-
Последний раз редактировалось borka; 08.05.2008 в 13:04.
Причина: Добавлено
---
С уважением,
Borka.
-
Z:\NewProjects\spambot\last\driver\objfre\i386\dri ver.pdb
грязный пиар )))
-
http://www.rootkits.ru/viewtopic.php?pid=4931#p4931 ( Мат included, детям не ходить )
Что это за x80368 ? это некто известный ранее под ником евел_пхентези, который настолько боится, что сидит, наверно через 10 проксей. Но он либо соавтор данного "руткида", либо близко с ним знаком, форум на антималвари это доказывает.
---
Последний раз редактировалось Alexey P.; 08.05.2008 в 20:06.
Причина: Поиск троянов на форуме запрещен
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
Junior Member
- Вес репутации
- 69
Жёстко, но, видимо, справедливо:
Вся та истерика, что наблюдается сейчас на форумах типа virusinfo.info, wilderssecurity, rootkits радует глаз
http://www.anti-malware.ru/forum/ind...ndpost&p=37575
Последний раз редактировалось Mamont; 08.05.2008 в 18:21.
-
Сообщение от
Alexey P.
А дроппер от него есть?
-
-
Сообщение от
Wordmonger
А дроппер от него есть?
В паблике- нет. Пока...
-
-
Сообщение от
Surfer
http://www.rootkits.ru/viewtopic.php?pid=4931#p4931 ( Мат included, детям не ходить
)
Что это за x80368 ? это некто известный ранее под ником
евел_пхентези, который настолько боится, что сидит, наверно через 10 проксей. Но он либо соавтор данного "руткида", либо близко с ним знаком, форум на антималвари это доказывает.
---
Surfer не соглашусь с Вами евел_пхентези - не похож он на трусливого товарища. Чтоб сидеть под 10 проксями ни чего особо страшного и позорного не вижу, для того чтоб под ними сидеть нужно их еще найти особенно под действительно анонимными! Ну а что же касается ников то любой в праве его сменить! Ну, а то чтоб узнать о его авторстве или соавторстве думаю оптимальный вариант будет спросить у него самого если конечно он ответит...
Ну и конечно же о том что "ищут пожарные ищут милиция...." Если цель поставлена она будет найдена все зависит от того кем она поставлена и насколько правильно! Что написано на антималваре еще ни чего не доказывает ИМХО!
-
-
Собственно не суть. Можно и за Tor сидеть.
Наверно насчёт пиара я неправ, но мне что-то не удаётся найти данный руткит ITW.
Уже попросил многих своих знакомых, друзей, просканил рабочие тачки - нет его.
Странно.
---
Кстати мой запрос про дроппер удалили
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
Junior Member
- Вес репутации
- 59
-
Сообщение от
Username
Вобщем, DrWeb дураки и идиоты, их продукт дерьмо, а ЛК круть и куль Прикольно, блин.
Left home for a few days and look what happens...
-
-
Не знаю кто дурак а кто умный, но прес-релиз у ЛК круче...
-
-
В соревновательности между ЛК и ДрВеб есть что-то от спортивного азарта. Интересно, был бы второй пресс-релиз, если бы не было бы первого? Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007, а следовательно, за эту ниточку потянули, и потянули давно.
-
-
Сообщение от
santy
Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007,
да и статья написана еще год назад:
К сожалению, даже в настоящие время (
начало июня 2007 года) некоторые антивирусные продукты по-прежнему не ловят Agent.ddl.
Загрузчик
The worst foe lies within the self...
-
-
Сообщение от
santy
В соревновательности между ЛК и ДрВеб есть что-то от спортивного азарта. Интересно, был бы второй пресс-релиз, если бы не было бы первого? Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007, а следовательно, за эту ниточку потянули, и потянули давно.
Ну, если бы докторовцы не написали свой релиз, так бы всё тихо и закончилось.
Что интересно, КАВ детектировал в 2007 году то, чего по заверениям не существовало
Left home for a few days and look what happens...
-
-
Сообщение от
Kuzz
да и статья написана еще год назад:
Ага И сейчас по внутреннему календарю ЛК как минимум осень 2008 года
Варианты C3 и С4 относятся к
9-10 октября 2008 года. Их размер варьирует в пределах 158 400 — 158 496 байт.
-
-
Если убрать из статьи стандартную рекламную воду, то всё правильно. Авторам - респект.
Кстати, а кто автор(ы) ?
Самое существенное в статье, на мой взгляд:
1. Нашли древний загрузчик Rustock.C, оценили масштабы его раздачи - масштабы впечатляют, сайты "Darkgt Iframedollars" действительно не знает только ленивый.
На то время это были:
yaspftqlyr.hk, ybdjmiphev.hk, ychxrexurx.hk, ydqwvsamov.hk, yeyjmaoumc.hk, yfxyqhbqcg.hk, ygyyqtqeyp.hk, yhbcrffjpa.hk.
Затем
vaavrqoavy.net, vbfpfahnnd.net, vclizwkved.net, vdfbgjrfii.net, veyyhlucwa.net, vfbncjwsrl.net, vgtviqbmuw.net, vhrzpdpzwi.net.
Обе серии доменов распространяли упомянутый в статье загрузчик Rustock.C.
Правда, упомянутого в статье файла loadadv351.exe быть не могло - нумерация у них с 400 до 799. И любой из 400 загрузчиков тащил этот упомянутый загрузчик Rustock.C - Trojan-Downloader.Win32.Agent.ddl.
Видимо, просто в статье ошибка, такая же, как и 2007 год её написания .
2. Очень интересно предположение о том, что разработчик/заказчики Rustock.C перешли на буткиты. Действительно, очень похоже на то.
3.
Возможность детектирования активного руткита в зараженной системе и лечения зараженных файлов полностью реализована в новой версии нашего антивируса — KAV\KIS 2009. Пользователи других версий могут проверить свои компьютеры на наличие Rustock при помощи Rescue Disk с любой версией нашего антивируса.
Тоже всё правильно и честно.
Пользователи более старых версий ни обнаружить, ни тем более вылечить Rustock.C и многочисленные версии буткитов без загрузки с внешнего носителя не смогут. Если не используют DrWeb CureIt, конечно .
-
-
Сообщение от
Alexey P.
Нашли древний загрузчик Rustock.C, оценили масштабы его раздачи - масштабы впечатляют, сайты "Darkgt Iframedollars" действительно не знает только ленивый.
На то время это были:
yaspftqlyr.hk, ybdjmiphev.hk, ychxrexurx.hk, ydqwvsamov.hk, yeyjmaoumc.hk, yfxyqhbqcg.hk, ygyyqtqeyp.hk, yhbcrffjpa.hk.
Затем
vaavrqoavy.net, vbfpfahnnd.net, vclizwkved.net, vdfbgjrfii.net, veyyhlucwa.net, vfbncjwsrl.net, vgtviqbmuw.net, vhrzpdpzwi.net.
Обе серии доменов распространяли упомянутый в статье загрузчик Rustock.C.
Правда, упомянутого в статье файла loadadv351.exe быть не могло - нумерация у них с 400 до 799. И любой из 400 загрузчиков тащил этот упомянутый загрузчик Rustock.C - Trojan-Downloader.Win32.Agent.ddl.
Видимо, просто в статье ошибка, такая же, как и 2007 год её написания
.
Насчет loadadv351.exe сказать трудно, но у меня автоматикой был отловлен Trojan-Downloader.Win32.Agent.ddl, что говорит о его распространенности в ITW. Дата отлова в моем случае = 11.09.2007, файл запакован (пакер похож на тот, что применен в рустоке.с, размер 28 кб). На момент отлова он проходил у меня стандартную процедуру изучения, показавшую, что он дропает свой драйвер размером 25 кб на диск под бредовым именем (причем интересно дропает - через админшару на локал-хосте, и напрямую), после чего регистрирует драйвер и загружает его через стандартное API. У меня на исследовании рустока C он не затащил, и был похоронен в коллекции как еще один злобный руткит.
-
-
Сообщение от
ALEX(XX)
Вобщем, DrWeb дураки и идиоты, их продукт дерьмо.
Вероятно, это Ваша собственная точка зрения, т.к. в статье не произносится таких слов и не делается подобных намеков.
Сообщение от
ALEX(XX)
Что интересно, КАВ детектировал в 2007 году то, чего по заверениям не существовало
Загрузчик детектировался сразу же после появления. Но его никто не ковырял до упора. Обычный детект обычного даунлоадера.
Сообщение от
Alexey P.
Видимо, просто в статье ошибка, такая же, как и 2007 год её написания
Уже исправлено. Спасибо, что заметили.
Сообщение от
Alexey P.
Пользователи более старых версий ни обнаружить, ни тем более вылечить Rustock.C и многочисленные версии буткитов без загрузки с внешнего носителя не смогут.
Старые пользователи старых версий не были подвержены заражению, т.к. загрузчик был давно остановлен. Новые пользователи старых версий, установившие антивирус на уже зараженную машину, действительно, не смогут обнаружить этот руткит, если не воспользуются входящим в состав антивируса диском аварийного восстановления.
-