XueTr

Сравнительно новый антируткит китайского происхождения.
Блог, в котором сообщается о выходе новых версий (на китайском): [url]http://huaidan.org/archives/2781.html[/url]
Последняя версия - 0.28.

Скачать: [url]http://linxer.cn/download/XueTr.zip[/url]

Программа обновилась до версии 0.29.

Скачать: [url]http://www15.piaodown.com/20090912/200904/XueTr.rar[/url]

Что-то у меня нет желания даже проверять этот антируткит. Неизвестно, антируткит это вообще или очередная подделка.
P.S. Название смешное)
Кто-нибудь попробовал его?

[url]https://www.virustotal.com/ru/analisis/85a5bdf62ddc9bbf6f56381cd0d3049e1893d72b2eeac41c8dc7f643812fadf7-1258978119[/url]

Вышла новая версия 0.30. [URL="http://forum.eviloctal.com/attachment.php?aid=12949"]Скачать[/URL].

Определенно хороший инструмент.
Например, перехваты IRP_MJ - если другие видят "неизвестного", этот называет виновника.
Взял в штат.

Вышла версия 0.32. [URL="http://www.xuetr.com/download/XueTr.zip"]Скачать[/URL].

Также появился [URL="http://www.xuetr.com/"]сайт[/URL] разработчика (на китайском языке).

Как и в менеджерах автозапуска, скажем, и в антируткитах несколько разная картина по определению и выводу информации... Два дня ломал голову над двумя компьютерами, на которых сабж в разделе Модули Кернела показывал красным Suspicius driver object, две штуки, а сохранять дампы отказывался. Снимать с памяти - пожалуйста, но они появлялись сразу же. Другие утилиты по теме не видели такого. Не знаю, сколько времены это продолжалось бы, - а должно было, потому что на обоих компах несколько месяцев назад были TDSS, и было подозрение, что это от них, - если бы по догадке не удалил sptd от Daemon Tools в.4. А, между прочим, sptd и spxx отображались отдельно. Удалил, и объектов сдуло как ветром. Кстати, на компьютере, где был Daemon Tools классической версии 3.47, "объектов" по сабжу не было.
Эти "объекты" говорят в пользу сабжа, или наоборот?

Дело не в Daemon Tools, а в [URL="http://www.disc-tools.com/download/sptd"]SPTD[/URL]. Трудно сказать, хорошо ли, что он их видит, или плохо: на этот драйвер все антируткиты реагируют специфично, дело привычки - это не замечать.

Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld

[QUOTE='gjf;599047']Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld [/QUOTE]

Кем?

[B]Гриша[/B], угадай с трёх раз ;)
[QUOTE]Здравствуйте,

Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.


>> From: [email][email protected][/email]
>> Sent: 07.03.2010 1:22:59
>> To: [email][email protected][/email]
>> Subject: [VirLabSRF][False Alarm][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: [email][email protected][/email]
>> product: KIS 9.0.0.736 abc
>> viruses_date: 07.03.2010
>>
>> description:
>> Вложение детектируется как Backdoor.Win32.Agent.aqld. На самом деле - это антируткит китайского производства, см. [url]http://virusinfo.info/showthread.php?t=50823[/url]
>>
>> Загруженные файлы:
>> XueTr.zip

С уважением, Виталий Якутенко
Вирусный аналитик
ЗАО "Лаборатория Касперского" [/QUOTE]

[QUOTE='gjf;599395']Гриша, угадай с трёх раз[/QUOTE]

Я думал ты про sptd.sys :)

я тоже подумала про sptd ))

а на XueTr.exe сейчас ругаются 5из42 антивирусов: eSafe,McAfee+Artemis,Sophos,Sunbelt,Symantec -_-
[URL="https://www.virustotal.com/ru/analisis/6aca2a5dedc04786ff47976d81d4909739478bc4da9655ec1efc98cc3ed828d9-1267953333"]VT[/URL]

[B]Гриша, Юльча,[/B] блин, видимо стал уже невнятно свои мысли выражать. Старею. Извините. Имелся в виду, конечно, сабж.

SPTD удалял после DT отдельно, разумеется. Который тоже не замечаю (а что, если на нем подцеплено что-нибудь ещё более руткитное, чем он сам, с самозащитой в порядке? :) ), но речь была о "подозрительных объектах типа драйвера", которых со старой версией DT (и sptd) нет. И о том, корректно ли сабж этих "подозрительных", кроме обычных sptd и sp??, определял. Если правильно, это будет плюсом по сравнению с аналогами, если нет - минусом.

Вышла версия 0.33. [url=http://xuetr.com/download/XueTr.zip]Скачать[/url].

[quote]2009-04-01 V0.33:
*Added Hot key enumeration feature
*Added Process's timer enumeration feature
*Added Windows Firewall rules display
*Fixed several bugs.[/quote]

Вышла версия 0.34. [URL="http://xuetr.com/download/XueTr.zip"]Скачать[/URL].

[quote]*Added MBR Rootkit detection feature
*Added Input Method Editor(IME) enumeration feature
*Added classpnp\atapi\acpi irp hook scan
*Fixed two potential BSODs
*Fixed several bugs.[/quote]

а где русский можно скачать?

[QUOTE=tar;645609]а где русский можно скачать?[/QUOTE]
Прога не переведена на русский язык.

Парень из MVP [url]https://mvp.support.microsoft.com/default.aspx/profile=cb2530a1-0edb-41f6-8021-9dfdddbfe7b6[/url]
Говорит на lixer
[QUOTE]The PTR associated with this record appears to be deliberately invalid (if no hostname is specified, it should fail resolution). Chances are high that this is a malicious IP.[/QUOTE]
Эти ресурсы , тем более всякие антивирусные и прочее не должны быть отмечены что на них могут быть вирусы, подозрение на трояны, тучи эксплойтов иначе мы туда не будем ходить, чем больше будет подозрений, тем меньше будем ходить :)

XueTr 0.35 (07.07.2010)

[QUOTE]*Fixed one potential BSOD
*Fixed several bugs.[/QUOTE]

Гуглоперевод с китайского :)
[QUOTE]Теперь реализованы следующие функции:
1. Процесс, нить, процесс модулей, окно процесса, процесса памяти, таймер, "горячие" клавиши для просмотра информации, убить процесс, убить поток, выгрузить модуль и другие функции
2. Ядро драйвера модуля просмотра в поддержку модуль ядра драйвер на память копию
3.SSDT, Тень SSDT, FSD, KBD, TCPIP, Classpnp, ATAPI, ACPI, SCSI, IDT информации зрения, и может обнаружить и восстановить SSDT крючок и встроенный крючок
4.CreateProcess, CreateThread, LoadImage, CmpCallback, BugCheckCallback Завершение работы ", Lego и т.д. Подписаться Оперативная информация зрения, а также поддержать устранение этих Подписаться на регулярной
5. Порт информацию мнению, нынешняя система не поддерживает 2000
6. Посмотреть сообщение крючок
7. Модулей ядра IAT, есть, встроенный крючок, патчи обнаружения и восстановления
8. Диска, объем, клавиатура, сетевой уровень драйвер фильтра тестирование и поддержку за удаление
9. Редактора реестра
10. Процесс IAT, есть, встроенный крючок, патчи обнаружения и восстановления
11. Файловая система мнению, поддержка основных файловых операций
12. Просмотреть (Edit) IE плагин, SPI, запуск, обслуживание, Host файла изображения заложников, ассоциации файлов, системные правила брандмауэра, IME
13.ObjectType Hook обнаружения и восстановления
14.DPC обнаружения и удаления таймера
15.MBR Rootkit обнаружения и исправления

Отказ: это бесплатный инструмент для оказания помощи малым, если вы используете этот инструмент, чтобы вы, прямо или косвенно причиной утраты, повреждения, я не отвечаю. Из-за использования мелких инструментов этого момента, вы, как считается, приняли этот отказ.[/QUOTE]
:D

[url]http://xuetr.com/download/XueTr.zip[/url]

XueTr 0.36 (16.07.2010)

[QUOTE]*Added GDT detection feature
*Added Object Hijack detection feature for detecting the [B]TDL3[/B] malware
*Fixed one potential BSOD[/QUOTE]

[url]http://xuetr.com/download/XueTr.zip[/url]

XueTr 0.37
[quote]
*Added mouse driver irp hook scan
*Added user32.ll:_apfnDispatch hook scan
*Added LSP/Safeboot repair feature
*Added list and remove feature for hidden reg
*Fixed several bugs.[/quote]

[url]http://xuetr.com/download/XueTr.zip[/url]

меня лично радует гугловский встроенный крючок)
ну а вообще программа наверняка стоит внимания.

XueTr 0.39

[quote]*Improved kernel hook scan
*Improved object hook scan
*Fixed several bugs.
[/quote]

xuetr.com/download/XueTr.zip

Xuetr 0.44
[QUOTE]*Added computer examination feature
*Fixed several bugs.
[/QUOTE]
[URL="http://xuetr.com/download/XueTr.zip"]http://xuetr.com/download/XueTr.zip[/URL]
[URL="http://www.xuetr.com/download/XueTr_Cmd.zip"]http://www.xuetr.com/download/XueTr_Cmd.zip[/URL]

GUI-версия обновилась до 0.45, ссылка та же. Из изменений - только багфиксы.