-
Junior Member
- Вес репутации
- 58
Очень интересная статья, gjf, но, к сожаленю, нет ссылок на источники.
И ещё вопрос: Как можно выявить признаки заражения этим вирусом без антивируса или спецтулзы и как противодействовать ему без использования спецутилит- т.е. механизм удаления вручную?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Dr., Вы правы, негоже упускать референс-ссылки. В основном я пользовался вот этими двумя материалами: этим и этим. Второе - логичное продолжение первого.
Добавлено через 5 минут
По признакам - тяжелее. Реально без антивирусного детекта инжектируемых библиотек в памяти и спецтулз выявить наличие вируса в системе невозможно. Косвенные признаки, как я и говорил - паразитный трафик, редирект страниц в браузере. Иногда при неудачной отработке заражения система падает в бсод при перезагрузке.
Эффективно помогает лечение с LiveCD - заражённый драйвер неактивен и прекрасно детектируется любым более или менее нормальным антивирусом. Раньше здорово лечилось с помощью ERD Commander: запускался поиск изменённых системных файлов, обнаруживался заражённый atapi.sys и просто заменялся оригинальным. Но сейчас в последней версии заражается случайный драйвер, необязательно atapi.sys, а потому потенциально это может быть не драйвер Windows, а потому он не будет проверен ERD Commander и не будет восстановлен из дистрибутива.
Последний раз редактировалось gjf; 12.05.2010 в 17:23.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
К сожалению помогает только LiveCd.
Вот, для примера, недавний случай:
Не помог и CureIt.
-
Dr., все лечится. Перепроверяйте заного. И TDSS Killer и KIS/KAV 2010 со свежими базами.
-
Dr., ничего сказать про удаление с помощью продуктов не могу. Danilka в этом смысле более компетентен. LiveCd и спецутилиты (от eSage, Norman и DrWeb) брать должны точно.
TDSS Killer от ЛК, возможно, и не возьмёт - но на этой неделе должен быть новый релиз этой утилиты.
-
-
На самом деле при вызове AddPrintProvidor не обязательно библиотека должна находится в system32. Тот же TDL3 создает свою библиотеку в temp каталоге.
Так же очень просто определить заражена ли машина TDL3 по создаваемому руткитом event-у. Его имя такое же, как значение параметра MachineGuid.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Danilka
все лечится. Перепроверяйте заного. И TDSS Killer и KIS/KAV 2010 со свежими базами.
Возможно теперь и лечится. На скриншоте AVPTool. У человека вообще антивируса не было установлено. После работы TDSS Killer и перезагрузки, детект вновь появлялся. Спорить не стану, но, как говорится за что купил, за то и продаю.
-
Сейчас попробуем попросить рассудить автора
-
-
Текущая релизная версия утилиты TDSSKiller не лечит последнюю модификацию, на этой неделе будет выпущена новая версия с совершенно новой концепцией детектирования / лечения TDSS (и других подобных руткитов).
-
-
технический релиз KAV/KIS 2011:
Песочница зависает при запуске в ней вируса; нет возможности снять процесс приложения, которое зависло в песочнице; КИС позволяет установить TDSS в реальную систему путём лишь частичного контроля руткита, а именно, первый исполняемый файл запускается и контролируется Контролем приложений, при этом второй запускается и Контролем приложений не контролируется, как следствие, происходит беспрепятственная установка драйвера руткита в ОС, при этом первому исполняемому файлу присваивается слабое ограничение с правом выхода в сеть; desktop-песочница работает плохо и затруднительна к повседневному применению; эвристик и BBS-эвристик проактивки работают аналогично 2010 без видимых улучшений; даже если драйвер TDSS удаляется из ОС, что происходит с большим трудом, его исполняемый файл и DLL остаются в ОС и работают в памяти
http://forum.kaspersky.com/index.php...&#entry1358553
http://club-symantec.ru/forum.php
-
-
Сообщение от
SDA
даже если драйвер TDSS удаляется из ОС, что происходит с большим трудом, его исполняемый файл и DLL остаются в ОС и работают в памяти
После перезагрузки системы по идее это должно прекратиться, потому как внедрение библиотеки в процессы осуществляет драйвер. Конечно, антивирусный продукт должен выгружать библиотеку до лечения (оптимально) или же на крайний случай вызывать немедленную перезагрузку сразу после лечения (неоптимально).
-
-
Из ответов на вопрос - как распространяется вирус и как им можно заразиться.
Учитывая то, что сформирован ботнет, то один из самых известных способов - спам. Я не знаю, каковы реальные масштабы TDL3, но 80% офисного спама с вложениями приходит именно с этим зловредом. Типаж таков:
1. "Ля-ля-ля, Ваш провайдер изменил настройки почты. Чтобы применить новые настрйоки запустите прилагаемый файл."
2. (Сегодняшний кейс):
Attention! We detected that someone was trying to steal your Twitter account password.
We strongly recomended you to download our secure module to protect account!
Please click on the link below:
http://twitter.com/Twitter_security_model_setup.zip
(
Реальная ссылка редиректит на зловред, ссылка спрятана под html-тегами).
The Twitter Team
If you received this message in error and did not sign up for a Twitter account, click
not my account (
тут тоже спрятана та же ссылка).
Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter. For general inquiries or to request support with your Twitter account, please visit us at
Twitter Support (
и тут то же самое).
.
Итог понятен: никогда не открывайте вложения от неизвестных писем и тем более не проверенные антивирусом (хотя на новые версии иногда детект опаздывает). И учтите, что зачастую гиперссылки в письмах ведут вовсе не туда, куда кажется
Последний раз редактировалось gjf; 07.06.2010 в 18:39.
-