Показано с 1 по 4 из 4.

Backdoor.Tidserv

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    48

    Backdoor.Tidserv

    На данный момент на virustotal детектится только следующими продуктами:
    eSafe 7.0.17.0 2008.10.19 Suspicious File
    Microsoft 1.4005 2008.10.21 Trojan:WinNT/Tibs.gen!A
    SecureWeb-Gateway 6.7.6 2008.10.21 Virus.Win32.FileInfector.gen!84 (suspicious)
    Symantec 10 2008.10.21 Backdoor.Tidserv

    На симантеке есть описание: http://www.symantec.com/en/ph/enterp...911-99&tabid=2

    Добавлю свои наблюдения: инфицировал компьютер через сайт (url к сожалению идентифицировать я не смог), причем браузер был Opera 9.26.
    По описанию симантека в %temp% создает копию advapi32.dll, в advapi32.dll меняет 21 байт, вот дамп различий:
    Код:
    Сравнение файлов TDSS4554.tmp (оригинал) и ADVAPI32.DLL (измененный)
    000064D4: 68 8B
    000064D5: BC FF
    000064D6: 6C 55
    000064D7: 90 8B
    000064D8: 7C EC
    000064D9: E8 83
    000064DA: 00 7D
    000064DB: 00 0C
    000064DC: 00 01
    000064DD: 00 0F
    000064DE: 83 84
    000064DF: 2C F3
    000064E0: 24 29
    000064E1: 0A 00
    000064E2: B8 00
    000064E3: 9C 5D
    000064E4: FF 90
    000064E5: 8E 90
    000064E6: 7C 90
    000064E7: FF 90
    000064E8: E0 90
    Создает в реестре свои ветки. У меня несколько отличались значения от того, что в описании симантека. В частности значение HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\type было "a39".
    В %system% создал следующие файлы:
    Код:
    21.10.2008  13:19            77*824 TDSSdaaq.dll
    21.10.2008  13:19            36*864 TDSSedwv.dll
    21.10.2008  13:19            31*232 TDSSfvfe.dll
    21.10.2008  13:19            29*696 TDSShrgi.dll
    21.10.2008  13:19            12*288 TDSSmhvg.dll
    21.10.2008  13:19               164 TDSSnebo.dat
    21.10.2008  13:27             3*532 TDSSobaw.dll
    21.10.2008  13:25             1*115 TDSSxuba.log
    В частности он установил FakeAlert'ер: brastk.exe, karna.dat. Основное тело вируса легло в %system%\drivers\TDSS[4 левых символа].sys. Из FAR Manager'a файл было видно, виден корректный размер, но содержимое файла было скрыто. Карантин с прямым чтением AVZ тоже не работал, однако к чести AVZ маскировку процесса он обнаружил сразу на этапе поиска руткитов. Бут клинер помог закарантинить все части вируса, если нужно могу прислать через форму (~435 Kb).

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Присылайте...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    48
    Файл сохранён как 081021_071001_tdss_48fdc699cdad5.zip
    Размер файла 410781
    MD5 4f206802a3b1dccd342d8762f18dedfa

    Разослал эти файлы вендорам, пока получил ответ от ЛК и авиры о добавлении новой детекции в базы.

    TDSSnujt.sys - Backdoor.Win32.TDSS.aso

    New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Karlson
    Регистрация
    06.12.2007
    Адрес
    Химки.
    Сообщений
    555
    Вес репутации
    147
    Дня 2-3 назад чистил у знакомого следы этой гадости. По его словам касперский что-то прибил.
    осталась куча окон и алертов при автозагрузке программ. вычистил все, ничего подозрительного не увидел..
    причем браузер был Opera 9.26
    он тоже оперой пользуется..
    Dis is one half.
    Press any key to continue...

Похожие темы

  1. Backdoor.Daodan, Backdoor.Delf
    От sibdvor в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.07.2008, 17:59
  2. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
    От dimonavia в разделе Общая сетевая безопасность
    Ответов: 1
    Последнее сообщение: 11.02.2008, 12:55
  3. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 4
    Последнее сообщение: 26.07.2005, 02:00
  4. Новый тип Backdoor - вероятно Backdoor.Delf.??
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 10.02.2005, 15:14
  5. BackDoor.Scard (Backdoor.Win32.Small.bq)
    От Geser в разделе Описания вредоносных программ
    Ответов: 4
    Последнее сообщение: 11.11.2004, 22:05

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01042 seconds with 20 queries