type boot

Printable View

24.06.2008, 13:20
Lemmit

type boot

На одном из компьютеров KIS 2009 после быстрого сканирования выдал обнаружение вируса "type boot". Предложил единственный вариант "пропустить". При повторном сканировании через пару минут (с теми же базами) уже ничего не нашел.
Хотелось бы узнать, что означает этот вердикт. На viruslist упоминания не нашлось.
Видимо, имеет место обобщенное подозрение наличия неизвестного вредоноса в загрузочном секторе?
Прошу обращение в "помогите" не предлагать, т.к. жаловаться не на что: никакой подозрительной активности и проблем нет.
24.06.2008, 14:09
Гриша

Скачайте [URL="http://www.gmer.net/files.php"]Gmer[/URL] и проведите проверку,если у вас буткит которого знает гмер,он выявит его при экспресс сканировании.
24.06.2008, 14:34
Lemmit

Спасибо Гриша! Обязательно попробую.
Пока на сам вопрос нет ответа ни тут, ни в [URL="http://forum.kaspersky.com/index.php?showtopic=74289"]параллельной теме на форуме ЛК.[/URL]
24.06.2008, 15:18
Гриша

Просканировали гмером?
24.06.2008, 15:25
Lemmit

Нет, Гриша. Комп не под рукой. Постараюсь завтра отписаться о результатах.
24.06.2008, 15:41
Гриша

Вообщем как доберетесь обязательно просканируйте,если гмер заподозрить что-то неладное вы увидите примерно следующее(см.скриншот)

Так же посмотрите в Сетевом экране KIS 2009 нет ли подобной активности(см.скриншот 2)

Еще можете попробывать приложенную мною утилиту,просто запустите ее она просканирует MBR и создаст лог,если в бутсекторе будет зловредный код,в логе будет следующее:

[CODE]Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x1e51dfb size 0x1a9 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.[/CODE]
25.06.2008, 00:40
Lemmit

Вложений: 1

1. Прилагаю логи указанных программ, в т.ч., полного осмотра утилитой GMER.
2. Как понял, [B]type_boot[/B] видится KIS на подключенной к компьютеру флэшке, которую он называет "\Device\Harddisk1\DR6".
Подключил - вирус есть. Отключил - его нет.
Вот только чем "выдрать" с флэшки загрузочный сектор? :?
25.06.2008, 08:58
Гриша

Так вот вам еще задание:)

1.Включили комп(без флешки),все работает нормально,заходите в главное меню KIS,внизу выбирайте "Поддержка"=>"Трассировки" по умолчанию стоят трейсы уровня 500,нажимаете "Включить" выходите из меню KIS.

2.Отключите режим "Домохозяйки"(гл.меню "Настройка"=>"Защита" там будет "Автоматический выбор действия" снимите с него птичку и нажмите "Ок".

3.Подключайте и сканируйте флешку с включенными трейсами(делайте тоже самое как и делали чтобы появился алерт),как будет алерт постарайтесь сделать его скриншот,после того как все сделали,отключаете трассировку,отключаете самозащиту KIS,идете в эту директорию

[CODE]C:\Documents and Settings\All Users\Application Data\Kaspersky Lab[/CODE]

Там будут отчеты(*.log),нужно упаковать их в архив+скриншот и прислать все это мне в личку,если трейсы будут слишком "тяжелые" залейте их на удобный для вас файлообменник и дайте мне ссылку.
25.06.2008, 09:24
Lemmit

ОК.
26.06.2008, 10:15
Lemmit

Гриша, задание выполнено.
26.06.2008, 10:28
Гриша

Отлично,большое спасибо,сегодня/завтра посмотрим что это такое :)
26.06.2008, 12:12
Lemmit

Кстати, для тех, кто может столкнуться с подобными вердиктами, сообщаю информацию, которую мне удалось получить из неофициального, но заслуживающего доверия источника ;) :

"Вердикт [B]type_boot[/B] - это лишь подозрение на возможное присутствие чего-то нестанадартного, что по каким-либо критериям может считаться бутовым вирусом.

Аналогичными вердиктами могут быть:
- [B]type_macro[/B] - подозрение на наличие вредоносного кода в структуре макро-документа,
- [B]type_EXE[/B] - подозрение на зараженность файловым вирусом,
- [B]type_crypt[/B] - подозрение на зловреда, использующего какие-либо специфические криптоалгоритмы для шифрования своего кода"
26.06.2008, 12:14
Гриша

Разберемся...

Вы пока флешку храните в том состоянии,в котором она находится:)
26.06.2008, 15:11
Гриша

Скачайте приложенную мною программу,подключите флешку,запустите ее с таким параметром:

[CODE]"путь к программе" /drive 1 savembr mbrfile[/CODE]

Файл mbrfile будет сохранен в папке с программой,запакуйте его с паролем и пришлите мне в личку(пароль укажите).
26.06.2008, 17:40
Lemmit

выполнено.
[URL="http://www.virustotal.com/ru/analisis/0c37057d48ed012ba0075cc607256f8b"]Результаты сканирования[/URL]:
Касперский и F-Secure видят "type_boot".
С нетерпением жду окончательного диагноза! Вдруг это rustok.e? :-)))
26.06.2008, 17:44
Гриша

Файл получил,ждите:)...
27.06.2008, 12:54
devon

[QUOTE=Lemmit;246957]Кстати, для тех, кто может столкнуться с подобными вердиктами, сообщаю информацию, которую мне удалось получить из неофициального, но заслуживающего доверия источника ;) :

"Вердикт [B]type_boot[/B] - это лишь подозрение на возможное присутствие чего-то нестанадартного, что по каким-либо критериям может считаться бутовым вирусом. [/QUOTE]
mbr на флешках может отличаться очень в широких пределах от стандартных... проверял десятки флешек и у всех свои mbr нестандартные, попробуй все улови. поэтому такой вердикт вполне возможен имхо.
27.06.2008, 21:10
Гриша

Ваш mbr флешки чист,это был фолс антивируса,скоро поправят :)