-
Backdoor.Tidserv
На данный момент на virustotal детектится только следующими продуктами:
eSafe 7.0.17.0 2008.10.19 Suspicious File
Microsoft 1.4005 2008.10.21 Trojan:WinNT/Tibs.gen!A
SecureWeb-Gateway 6.7.6 2008.10.21 Virus.Win32.FileInfector.gen!84 (suspicious)
Symantec 10 2008.10.21 Backdoor.Tidserv
На симантеке есть описание: http://www.symantec.com/en/ph/enterp...911-99&tabid=2
Добавлю свои наблюдения: инфицировал компьютер через сайт (url к сожалению идентифицировать я не смог), причем браузер был Opera 9.26.
По описанию симантека в %temp% создает копию advapi32.dll, в advapi32.dll меняет 21 байт, вот дамп различий:
Код:
Сравнение файлов TDSS4554.tmp (оригинал) и ADVAPI32.DLL (измененный)
000064D4: 68 8B
000064D5: BC FF
000064D6: 6C 55
000064D7: 90 8B
000064D8: 7C EC
000064D9: E8 83
000064DA: 00 7D
000064DB: 00 0C
000064DC: 00 01
000064DD: 00 0F
000064DE: 83 84
000064DF: 2C F3
000064E0: 24 29
000064E1: 0A 00
000064E2: B8 00
000064E3: 9C 5D
000064E4: FF 90
000064E5: 8E 90
000064E6: 7C 90
000064E7: FF 90
000064E8: E0 90
Создает в реестре свои ветки. У меня несколько отличались значения от того, что в описании симантека. В частности значение HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\type было "a39".
В %system% создал следующие файлы:
Код:
21.10.2008 13:19 77*824 TDSSdaaq.dll
21.10.2008 13:19 36*864 TDSSedwv.dll
21.10.2008 13:19 31*232 TDSSfvfe.dll
21.10.2008 13:19 29*696 TDSShrgi.dll
21.10.2008 13:19 12*288 TDSSmhvg.dll
21.10.2008 13:19 164 TDSSnebo.dat
21.10.2008 13:27 3*532 TDSSobaw.dll
21.10.2008 13:25 1*115 TDSSxuba.log
В частности он установил FakeAlert'ер: brastk.exe, karna.dat. Основное тело вируса легло в %system%\drivers\TDSS[4 левых символа].sys. Из FAR Manager'a файл было видно, виден корректный размер, но содержимое файла было скрыто. Карантин с прямым чтением AVZ тоже не работал, однако к чести AVZ маскировку процесса он обнаружил сразу на этапе поиска руткитов. Бут клинер помог закарантинить все части вируса, если нужно могу прислать через форму (~435 Kb).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Файл сохранён как 081021_071001_tdss_48fdc699cdad5.zip
Размер файла 410781
MD5 4f206802a3b1dccd342d8762f18dedfa
Разослал эти файлы вендорам, пока получил ответ от ЛК и авиры о добавлении новой детекции в базы.
TDSSnujt.sys - Backdoor.Win32.TDSS.aso
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
-
Дня 2-3 назад чистил у знакомого следы этой гадости. По его словам касперский что-то прибил.
осталась куча окон и алертов при автозагрузке программ. вычистил все, ничего подозрительного не увидел..
причем браузер был Opera 9.26
он тоже оперой пользуется..
Dis is one half.
Press any key to continue...
-