Оригинал сообщения: http://www.anti-malware.ru/forum/ind...63&#entry68163Сообщение от Алиса Шевченко
Оригинал сообщения: http://www.anti-malware.ru/forum/ind...63&#entry68163Сообщение от Алиса Шевченко
Последний раз редактировалось Kuzz; 18.06.2009 в 18:09.
The worst foe lies within the self...
15.06.2009 23:35:54 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\rk_remover.sys модифицированный Win32/Kryptik.NF троянская программа очищен удалением - изолирован 1\2 Событие произошло в новом файле, созданном следующим приложением: X:\avirus\AntiRootKit\TDSS_remover\remover.exe.
---
http://www.virustotal.com/ru/analisi...e9b-1245082525
Последний раз редактировалось santy; 15.06.2009 в 20:45.
Кстати, драйвер AVZ поделка вирусописателей, а конкретно вирус bagle
15.06.2009 21:37:24 Защита в режиме реального времени файл C:\Windows\SysWOW64\Drivers\vdiymtcw.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Users\User\Desktop\avz4\avz4\avz.exe.
http://www.virustotal.com/ru/analisi...9da-1245087829
Ну и где вы взяли этот авз?
http://www.virustotal.com/ru/analisi...a39-1245133067
К AVZ, у драйвера защита от повторной загрузки, таким образом они не дают грузится "нормальному" драйверу во время работу AVZ...а это конкретно любовь к АВЗ у них ??
Вообще-то было бы неплохо,если бы дрова AVZ менял название каждый раз при запуске.
Они меняют имя, но не каждый раз.
Второе - защита от повторной загрузки тоже смотрит не по имени
The worst foe lies within the self...
Там преимущественно различные разновидности эвристики ("Gen", "PossibleThreat", "Heur"..) Я вижу примерно две причины, почему некоторые АВ могут давать ложные эвристические срабатывания на наш продукт.
1. программа качественно упакована, с целью усложнить квест желающим ее разреверсить. Многие не очень умные АВ детектируют malware по пакеру, считая наличие упакованного кода достаточным признаком его вредоносности.
2. программа - антируткит. Т.е. это почти что руткит, только наоборот.
ну, некоторые разработчики изначально предупреждают об этом...
http://rootrepeal.googlepages.com/The latest version of RootRepeal can always be downloaded from this site.
The current version is: Version 1.3.0
Download: RootRepeal.rar
MD5 (of the EXE): E49E6C8F2D285CA13EF9C39303613171
SHA-1 (of the EXE): 9989A2137B5B1CE6A788EEED0CF1361D1DDAC273
VirusTotal Scan: http://www.virustotal.com/analisis/f...789-1243986510
Because, as mentioned above, there is always an element of risk when scanning for rootkits, the author offers NO WARRANTY for RootRepeal. USE AT YOUR OWN RISK!
Алиса, а упаковка действительно поможет от реверсинга грамотным человеком ?
Подозреваю, автор(ы) TDSS достаточно грамотны, чтобы снять защиту.
Если так - смысл в такой упаковке ?
Добавлено через 17 минут
А вреда она принесёт немало - многие побоятся утилиту как использовать, так и советовать. По вполне понятным причинам.
Последний раз редактировалось Alexey P.; 18.06.2009 в 03:18. Причина: Добавлено
Заголовок " Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab", лучше исправить на "Rootkit.Win32.TDSS cleaner, утилита от eSage Lab для удаления троянца TDSS" чтобы не прилипло в сознании простых пользователей, что eSage Lab пишет руткиты, поскольку руткит - это почти антируткит .
Вред приносит заражение руткитом. А страх запускать утилиту, на которую любой живой вирусный аналитик (в отличие от некачественной эвристики) скажет "clean" - это глупость, а не вред.
Вообще, что касается ложных срабатываний - в случае сомнений рекомендую смотреть на вердикт Kaspersky в выдаче мультисканнера. В ЛК очень серьезно относятся к ложным срабатываниям (об этом позволяет судить мой прошлый опыт работы в "Лаборатории").
При проверке автозагрузки вылазит вот такое окно:
по-моему, это относится к категории "Known bugs"
// ...
Сейчас опробовал на новом сампле, все удалила без проблем, отличная вещь
# Обновление утилиты TDSS remover
Новое в версии 1.4: улучшен механизм поиска скрытых файлов (поддержка новых версий руткита); добавлена полная поддержка Windows 7. Исправлены мелкие баги.
The worst foe lies within the self...
TDSS Cleaner начинает проверку, находит несколько зараженных файлов и почти сразу вылетает в синий экран (не завершив проверку до конца, i.e.). Подскажите, в чем проблема?