PDA

ѕросмотр полной версии : Ќеуловимый мощный –”“ »“



яpоcлaв
15.10.2007, 22:49
” мен€ 100% уверенность о наличии на компьютере руткита.

 раткие особенности его работы в »нтернете собранны по данным Agnitum Outpost Security Suite Pro 2007(5.0.1252.7915.619).

ќбозначаетс€ этот процесс как Ђнедоступної (n/a).
“.е. внести его в список неразрешенный приложений, блокировать или просто разорвать соединение нельз€. ћожет пытатьс€ пробитьс€ в »нтернет одновременно как более одиннадцати процессов.
–уткит использует дес€тки сотен портов.  ак только кака€-то программа выходит в »нтернет, руткит пытаетс€ пробитьс€ через ее порт, иногда от ее имени при этом не наруша€ ее работы. (Ќапример: n/a: разрешить Opera DNS UDP connection или Download Master DNS UDP connection).
–уткит использует протоколы TCP,UDP, IPIIP,EGP,SKIP,TMuX, ICMPv6 (немного обновившись), пытаетс€ установить ICMP соединение, посылает широковещательные пакеты NetBIOS, использует IGMP атаку, хотел использовать RAWSOCKET (!) и т.п. »ногда отображаетс€ как SYSTEM.
ѕытаетс€ прин€ть транзитные пакеты
ќбновл€€сь, способен Ђзвонитьї в »нтернет как dialer (а может вообще вз€ть под контроль модем), может скачивать червей, шпионов и вирусоподобные программы, способен модифицировать Svchost и т.п. Ќо основные усили€ направлены на собственное укоренение в системе.
–уткит Ђприсоедин€етс€ї при копировании ЋёЅџ’ данных на ЋёЅџ≈ носители информации.

ƒополнительна€ информаци€ по данным программ AVZ 4.27, GMER 1.0.13 и RootkitUnhooker 3.7.300.509.

1. AVZ видит (сервис Ђмодули пространства €драї) адрес руткита в системе: F7473000. Ётот адрес посто€нный (т.е. после перезагрузки компьютера не измен€етс€), копировать в карантин нельз€, но можно сн€ть дамп пам€ти. ≈го размер 98304 байт.
ќсобенно подозрительно, что часто происходит сбой при работе антируткита. —истема, защита, др. антируткиты, неправильное обновление или сам avz.exe не причем.
2. GMER раньше обнаруживал руткит как группу (до п€ти) спр€танных модулей: name: (noname) value: ***hidden***
–азмер модулей от 2944 до 91776 байт.
“еперь он видит его как Ђдобропор€дочного руткитаї и ничего странного в нем не находит:
name: ______ value:
3. RkU делает откат изменений Ђunknown module filenameї в SSDT, в Shadow SSDT, загруженных кодах (Hooked codes).
¬ драйверах значитс€ Ђпустой драйверї -никакой информации о нем в таблице нет (кроме известного адреса и размера). ≈сть также и 37 Ђлевыхї драйверов. »м€ и место загрузки Ц Ђunknown_irp_handlerї. ѕо его данным размер драйверов от 512 до 4064 байт.

¬роде бы всеЕ –еб€та, пожалуйста, ну постарайтесь! :)

PS:  омпьютеры, инфицированные руткитом исчисл€ютс€ дес€тками, и их число посто€нно увеличиваетс€ : от тупых ламмеров до целых институтов.

V_Bond
15.10.2007, 23:11
virusinfo_syscure.zip - вы прислали карантин(уберите из темы) ... нужен лог получаемый при выполнении стандартного скрипта 3 ....
выполните скрипт...


begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\098A~1\LOCALS~1\Temp\R ar$EX00.656\pwl\pwlshell.dll','');
QuarantineFile('\SystemRoot\system32\DRIVERS\sd20_ nt.sys','');
QuarantineFile('C:\WINDOWS\system32\tsseShrd.dll', '');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложени€ 3 правил ...

PavelA
16.10.2007, 10:16
?dStringFileInfo@040904E4DCompanyNameTeknum Systems AS\FileDescriptionShared Shell Menu Handler4 FileVersion5.4.0.122"InternalNamev)LegalCopyrightCopyright © 1994-2001, Teknum Systems AS*LegalTrademarks> OriginalFilenamessmenu.dllTProductNameShared Shell Menu Handler4ProductVersion1.0.0.0ƒVCommentsContext menu handler for Windows Explorer that can be shared by multiply applicationsDVarFileInfo$Translation дFE2XES.NET_DLL', Res); end.ЉUФЁи16:217,іђYіђY‘POS1»ђY»ђYјTroj an.PSW ?дђYдђY§HЂYHЂYШ<*Y ц[hIYPYДШ©Yь©ПГП,P,NШ©YАмLАмL
- вот это сила. ѕервый раз такое вижу в логах.

ќчень много вс€кого антивирусного в системе стоит. „увствую, исследовани€ проводились в большом объеме. —леды всех антируткитеров надо повычищать.

яpоcлaв
16.10.2007, 17:43
Ќадо же! я вроде должен был прислать нужный лог. ¬идимо в спешке что-то перепутал.
я отослал результат стандартного 3его скрипта и карантин.

„то б вы там голову попусту не ломали, расскажу вам, каких это жуков у мен€ AVZ нашел.
Officekey.exe или PSWTool.Win32.RAS.a -это мой жучок, одомашненный.
Klister вовсе не Backdoor.Win32.BO2K, а антируткит дл€ windows 2000. («абыл удалить).
Ѕедный KnownExt Ц вполне полезна€ и безобидна€ программа дл€ получени€ информации о расширении файлов.
Ђsskbfd.sys подозрение на Monitor.Win32.SpySweeperї -действительно. Ќо ничего страшного € в этом не вижу.
Interceptor.dll -компонент антишпиона. ћногие пытаютс€ его грохнуть.
TsseShrd.dll Цкомпонент от HandyBitsFil Shredder. Ёто программка дл€ удалени€ файлов без возможности восстановлени€. ѕо иронии судьбы € его самого удалить не могу.
sd20_nt.sys -файл от какой-то проги, , € уже и не помню какой и где она лежит.
DelDrv Ц кака€-то фигн€ от моего ћ–3 плеера.
[–уткит тем временем процветает, а AVZ не может определить перехватчика.]

Ќасчет конкретных исследований вы правы. ѕосле самовключаемого модема и чистого Ќј√Ћќ√ќ издевательства над компами друзей у мен€ параной€.
јнтивирусник один ЦDrWeb. Ѕыл NOD32, но пришлось удалить. ’отел установить  асперского 7, не получилось. ” соседа стоит, обновл€етс€, а вот руткита не видитЕ

PS:Ђ—ила, брат, за тем, за кем правда стоитї

ƒобавлено через 6 минут

 стати, у вас тут путаница - или файлы отправить http://virusinfo.info/upload_virus.php, а может быть сюда. Ќо € сделал первое. “ам же и карантин.

PavelA
16.10.2007, 17:51
‘айлы логов прикрепл€ютс€ сюда.
 арантин загружаетс€ по ссылке в надежное место, чтобы врагам не досталс€, да и дуракам тоже.

ƒобавлено через 2 минуты

ƒобавлю, что ни карантина, ни логов € не увидел. —ообщение об успешной загрузки было?

«.џ. Ќе обижайс€. ѕровер€ть приходитс€ все и вс€, особенно если на машине столько всего наставлено.

яpоcлaв
16.10.2007, 22:14
«а что ж мне на вас обижатьс€? Ќапротив Ц спасибо, что вы мен€ еще терпите. Ќу, в принципе, приходитьс€ ;) .
‘айлы точно отправились. ƒумаю, уже все пройдет без приключений.

Ќо карантин вр€д ли поможет. ¬сЄ не так плохо как вы думаете, все намного хуже.. .ћне кажетс€ это творение серьезных реб€т. ≈сли такой рут попадет в офис (скорее всего это уже произошло) это повлечет непредсказуемые последстви€: от серьезного ущерба компании из-за потери данных до шантажа благодар€ уже краденой информации. —оздатели очень хорошо постарались.
Ѕлагодар€ моему соседу и мне руткит гул€ет уже по дес€ткам компьютерам Цесли в ближайшие 3мес€ца от него не получитс€ избавитьс€, компы, точнее windowsТы, будут лететь один за другим.
—кажите лично свою точку зрени€, с чем € имею дело?  ак € его мог подцепить?  акой шанс его загасить?
» мен€ тут недавно BSODнуло (осенило). ћожно ли с другой операционки, таки Windows 3.1 или тот же Linux, найти руткита? Ќа них, по идеи, он не сможет существовать и скрыватьс€. ѕошаритьс€ по виндовской system32 и найти ранее неотображавшийс€ драйвер.  ак вы думайте?

anton_dr
16.10.2007, 22:22
ярослав, или как вас правильнее назвать? ¬ам там на руткитс.ру больше зан€тьс€ нечем, кроме как отбирать врем€ у хелперов?
Ќе мешайте, пожалуйста, люд€м работать.

яpоcлaв
16.10.2007, 22:30
ј как же руткит? я уже пытаюсь его полгода прибить! ¬от как раз что и помогите. ¬ек буду благодарен.
ј вот ваш "выбор" нифига не помог.  стати, верси€ последн€€.

anton_dr
16.10.2007, 22:36
ѕоехали в юмор.

ƒобавлено через 1 минуту

ј ваш руткит элементарно прибиваетс€ приватной версией RKU, вы разве не знали?

ƒобавлено через 2 минуты

 стати, этот руткит вс€ко анриал, раз его ни авз, никто другой не может поймать. ќн же неуловимый.

яpоcлaв
16.10.2007, 23:00
—ерьезно! Kaspersky Internet Security 7.0.0.124. –уткит обновл€етс€, делает IGMP атаки, а  асперский спит! ¬от Agnitum Outpost - это супер!
ѕросто нигде, кроме как здесь мне спасени€ не ждать. ѕоверьте -очень непри€тно жить на компьютере с руткитом - от теб€ бо€тс€ брать диски.

ƒобавлено через 8 минут

ѕоследн€€ верси€ RkU это случайно ни 3.7.300.509?
Ќеуловимый -ну, около 10 антивирусов, 30анти -шпионов и -тро€нов. ¬се возможные антируткиты. Ќапример, GMER 1.0.13. ¬идит в нете его Outpost (в отличии от касперского), программы осознают лишь факт его присутстви€.

ƒобавлено через 13 минут

Ќе могу отправить карантин. ќшибка. ≈ще и интернет тормозит....

¬одку√лыть
19.10.2007, 13:11
ƒурь кака€-то...

Muzzle
23.10.2007, 03:24
на флэшмоб какой-то смахивает :)

[500mhz]
14.11.2007, 12:34
имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти

anton_dr
14.11.2007, 12:43
;150422']имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти
»ћ’ќ, руткит в голове и лечитс€ трепанацией :)

[500mhz]
14.11.2007, 12:59
ќћ√!
ƒжонни ћнемоник с руткитом в голове!

XP user
14.11.2007, 16:26
;150422']имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти ќдин из вариантов, да. ѕока, возможно, некоторые смеютс€, но ƒжоанна –утковска уже достаточно давно пишет о таких вещах... http://www.antirootkit.com/blog/category/bios-rootkits/ http://theinvisiblethings.blogspot.com/ Paul

[500mhz]
14.11.2007, 21:13
Paul
еще во времена мсдоса были такие попуки, запускать дос в вмоде
не помню как вирус называлс€, гдето вал€етс€