Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab

[QUOTE=Алиса Шевченко]
[URL="http://www.esagelab.ru/"]Мы[/URL] выпустили бесплатную утилиту для автоматического удаления руткитов семейства TDSS (Tidserv, TDSServ, etc.). Утилита работает по принципу поиска аномалий (скрытых объектов), не привязана к каким-либо сигнатурами, в силу чего обнаруживает все существующие версии руткита и будет обнаруживать последующие до тех пор, пока авторы не перекроят его архитектуру.

Скачать архив с программой [URL="http://www.esagelab.com/files/tdss_remover_latest.rar"]можно здесь[/URL]
MD5 remover.exe:58923e4ecde62d9b7d9f92675a90b836

Функции Rootkit.Win32.TDSS remover версии 1.3.5.0:
* обнаружение скрытых драйверов, ключей реестра, дополнительных модулей руткита
* поиск на системных и съемных дисках файлов autorun.inf, ссылающихся на копии TDSS, и самих этих копий
* удаление найденных объектов.

Known bugs:
* драйвер остается в системе после завершения программы
* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

Спасибо vaber'у и участникам форума "Анализ вредоносных программ" за помощь в тестировании.
Замечания и предложения, success stories и feature requests по-прежнему принимаются в местной почте или на e-mail alisa<at>esagelab.com[/QUOTE]

Оригинал сообщения: [url]http://www.anti-malware.ru/forum/index.php?showtopic=8349&st=0&p=68163&#entry68163[/url]

15.06.2009 23:35:54 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\rk_remover.sys модифицированный Win32/Kryptik.NF троянская программа очищен удалением - изолирован 1\2 Событие произошло в новом файле, созданном следующим приложением: X:\avirus\AntiRootKit\TDSS_remover\remover.exe.
---
[url]http://www.virustotal.com/ru/analisis/5688ab1b9fb7a2918478d0df02f94fc3a0aec1511b794c0b49568d4ec1a7ae9b-1245082525[/url]

Кстати, драйвер AVZ поделка вирусописателей, а конкретно вирус bagle :P :D
15.06.2009 21:37:24 Защита в режиме реального времени файл C:\Windows\SysWOW64\Drivers\vdiymtcw.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Users\User\Desktop\avz4\avz4\avz.exe.

[url]http://www.virustotal.com/ru/analisis/5b8e77bbc173fd1e6c2b3073d9393bab85f29a1bf615277c88b640f7d3cbe9da-1245087829[/url]

Ну и где вы взяли этот авз?
[URL]http://www.virustotal.com/ru/analisis/b8fd1a74277d8cf2cb5a9ab2727e4dacc9d0f1f24f66c62f558c18a343f6ea39-1245133067[/URL]

[QUOTE=Vectrik;417404]Кстати, драйвер AVZ поделка вирусописателей, а конкретно вирус bagle :P :D
[/QUOTE]

Не правильно..
"поделка вирусописателей, а конкретно вирус bagle" содежрит в себе драйвер AVZ для защиты от борьбы с ним с помощью AVZ

[QUOTE=Kuzz;417576]Не правильно..
"поделка вирусописателей, а конкретно вирус bagle" содежрит в себе драйвер AVZ для защиты от борьбы с ним с помощью AVZ[/QUOTE]
а это конкретно любовь к АВЗ у них ?? или они практикуют и добавление драйверов других антивиров?

[QUOTE]а это конкретно любовь к АВЗ у них ??[/QUOTE]

К AVZ, у драйвера защита от повторной загрузки, таким образом они не дают грузится "нормальному" драйверу во время работу AVZ...

Вообще-то было бы неплохо,если бы дрова AVZ менял название каждый раз при запуске.

Они меняют имя, но не каждый раз.

Второе - защита от повторной загрузки тоже смотрит не по имени

[QUOTE=santy;417368]15.06.2009 23:35:54 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\rk_remover.sys модифицированный Win32/Kryptik.NF троянская программа очищен удалением - изолирован 1\2 Событие произошло в новом файле, созданном следующим приложением: X:\avirus\AntiRootKit\TDSS_remover\remover.exe.
---
[url]http://www.virustotal.com/ru/analisis/5688ab1b9fb7a2918478d0df02f94fc3a0aec1511b794c0b49568d4ec1a7ae9b-1245082525[/url][/QUOTE]

Там преимущественно различные разновидности эвристики ("Gen", "PossibleThreat", "Heur"..) Я вижу примерно две причины, почему некоторые АВ могут давать ложные эвристические срабатывания на наш продукт.

1. программа качественно упакована, с целью усложнить квест желающим ее разреверсить. Многие не очень умные АВ детектируют malware по пакеру, считая наличие упакованного кода достаточным признаком его вредоносности.
2. программа - антируткит. Т.е. это почти что руткит, только наоборот. :)

ну, некоторые разработчики изначально предупреждают об этом...

[QUOTE]The latest version of RootRepeal can always be downloaded from this site.

The current version is: Version 1.3.0
Download: RootRepeal.rar
MD5 (of the EXE): E49E6C8F2D285CA13EF9C39303613171
SHA-1 (of the EXE): 9989A2137B5B1CE6A788EEED0CF1361D1DDAC273

VirusTotal Scan: [url]http://www.virustotal.com/analisis/fc9ec1bdf9f7ff461dfa4480a1318529c68533331d6c305ac16600aa30791789-1243986510[/url]

Because, as mentioned above, there is always an element of risk when scanning for rootkits, the author offers NO WARRANTY for RootRepeal. USE AT YOUR OWN RISK! [/QUOTE]

[url]http://rootrepeal.googlepages.com/[/url]

[QUOTE=alisa_sh;418272]Там преимущественно различные разновидности эвристики ("Gen", "PossibleThreat", "Heur"..) Я вижу примерно две причины, почему некоторые АВ могут давать ложные эвристические срабатывания на наш продукт.

1. программа качественно упакована, с целью усложнить квест желающим ее разреверсить. Многие не очень умные АВ детектируют malware по пакеру, считая наличие упакованного кода достаточным признаком его вредоносности.
2. программа - антируткит. Т.е. это почти что руткит, только наоборот. :)[/QUOTE]
Алиса, а упаковка действительно поможет от реверсинга грамотным человеком ?
Подозреваю, автор(ы) TDSS достаточно грамотны, чтобы снять защиту.
Если так - смысл в такой упаковке ?

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

А вреда она принесёт немало - многие побоятся утилиту как использовать, так и советовать. По вполне понятным причинам.

[QUOTE=alisa_sh;418272]
2. программа - антируткит. Т.е. это почти что руткит, только наоборот. :)[/QUOTE]

Заголовок " Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab", лучше исправить на "Rootkit.Win32.TDSS cleaner, утилита от eSage Lab для удаления троянца TDSS" чтобы не прилипло в сознании простых пользователей, что eSage Lab пишет руткиты, поскольку руткит - это почти антируткит :).

[QUOTE=Alexey P.;418627]Алиса, а упаковка действительно поможет от реверсинга грамотным человеком ?
Подозреваю, автор(ы) TDSS достаточно грамотны, чтобы снять защиту.
Если так - смысл в такой упаковке ?

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

А вреда она принесёт немало - многие побоятся утилиту как использовать, так и советовать. По вполне понятным причинам.[/QUOTE]

Вред приносит заражение руткитом. А страх запускать утилиту, на которую любой живой вирусный аналитик (в отличие от некачественной эвристики) скажет "clean" - это глупость, а не вред.

Вообще, что касается ложных срабатываний - в случае сомнений рекомендую смотреть на вердикт Kaspersky в выдаче мультисканнера. В ЛК очень серьезно относятся к ложным срабатываниям (об этом позволяет судить мой прошлый опыт работы в "Лаборатории").

При проверке автозагрузки вылазит вот такое окно:

по-моему, это относится к категории "Known bugs"

[QUOTE=priv8v;419723]по-моему, это относится к категории "Known bugs"[/QUOTE]
Да.
[QUOTE]Known bugs:
* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.[/QUOTE]

Сейчас опробовал на новом сампле, все удалила без проблем, отличная вещь :)

# Обновление утилиты TDSS remover

Новое в версии 1.4: улучшен механизм поиска скрытых файлов (поддержка новых версий руткита); добавлена полная поддержка Windows 7. Исправлены мелкие баги.

TDSS Cleaner начинает проверку, находит несколько зараженных файлов и почти сразу вылетает в синий экран (не завершив проверку до конца, i.e.). Подскажите, в чем проблема?