XueTr

**avsdeg** · 28.07.2009, 02:32

Сравнительно новый антируткит китайского происхождения.
Блог, в котором сообщается о выходе новых версий (на китайском): http://huaidan.org/archives/2781.html
Последняя версия - 0.28.

Скачать: http://linxer.cn/download/XueTr.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**avsdeg** · 12.11.2009, 21:09

Программа обновилась до версии 0.29.

Скачать: http://www15.piaodown.com/20090912/200904/XueTr.rar

**craftix** · 16.11.2009, 15:52

Что-то у меня нет желания даже проверять этот антируткит. Неизвестно, антируткит это вообще или очередная подделка.
P.S. Название смешное)
Кто-нибудь попробовал его?

**tnn** · 23.11.2009, 15:11

https://www.virustotal.com/ru/analis...df7-1258978119

**avsdeg** · 03.12.2009, 21:27

Вышла новая версия 0.30. Скачать.

**Erekle** · 23.12.2009, 02:54

Определенно хороший инструмент.
Например, перехваты IRP_MJ - если другие видят "неизвестного", этот называет виновника.
Взял в штат.

**avsdeg** · 23.12.2009, 22:02

Вышла версия 0.32. Скачать.

Также появился сайт разработчика (на китайском языке).

**Erekle** · 06.03.2010, 08:53

Как и в менеджерах автозапуска, скажем, и в антируткитах несколько разная картина по определению и выводу информации... Два дня ломал голову над двумя компьютерами, на которых сабж в разделе Модули Кернела показывал красным Suspicius driver object, две штуки, а сохранять дампы отказывался. Снимать с памяти - пожалуйста, но они появлялись сразу же. Другие утилиты по теме не видели такого. Не знаю, сколько времены это продолжалось бы, - а должно было, потому что на обоих компах несколько месяцев назад были TDSS, и было подозрение, что это от них, - если бы по догадке не удалил sptd от Daemon Tools в.4. А, между прочим, sptd и spxx отображались отдельно. Удалил, и объектов сдуло как ветром. Кстати, на компьютере, где был Daemon Tools классической версии 3.47, "объектов" по сабжу не было.
Эти "объекты" говорят в пользу сабжа, или наоборот?

**gjf** · 07.03.2010, 04:18

Дело не в Daemon Tools, а в SPTD. Трудно сказать, хорошо ли, что он их видит, или плохо: на этот драйвер все антируткиты реагируют специфично, дело привычки - это не замечать.

Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld

**Гриша** · 07.03.2010, 11:48

Сообщение от gjf

Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld

Кем?

**gjf** · 07.03.2010, 20:06

Гриша, угадай с трёх раз

Здравствуйте,

Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.

>> From: [email protected]
>> Sent: 07.03.2010 1:22:59
>> To: [email protected]
>> Subject: [VirLabSRF][False Alarm][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: [email protected]
>> product: KIS 9.0.0.736 abc
>> viruses_date: 07.03.2010
>>
>> description:
>> Вложение детектируется как Backdoor.Win32.Agent.aqld. На самом деле - это антируткит китайского производства, см. http://virusinfo.info/showthread.php?t=50823
>>
>> Загруженные файлы:
>> XueTr.zip

С уважением, Виталий Якутенко
Вирусный аналитик
ЗАО "Лаборатория Касперского"

**Гриша** · 07.03.2010, 20:43

Сообщение от gjf

Гриша, угадай с трёх раз

Я думал ты про sptd.sys

**Юльча** · 07.03.2010, 20:55

я тоже подумала про sptd ))

а на XueTr.exe сейчас ругаются 5из42 антивирусов: eSafe,McAfee+Artemis,Sophos,Sunbelt,Symantec -_-
VT

**gjf** · 07.03.2010, 21:45

Гриша, Юльча, блин, видимо стал уже невнятно свои мысли выражать. Старею. Извините. Имелся в виду, конечно, сабж.

**Erekle** · 09.03.2010, 04:07

SPTD удалял после DT отдельно, разумеется. Который тоже не замечаю (а что, если на нем подцеплено что-нибудь ещё более руткитное, чем он сам, с самозащитой в порядке?

), но речь была о "подозрительных объектах типа драйвера", которых со старой версией DT (и sptd) нет. И о том, корректно ли сабж этих "подозрительных", кроме обычных sptd и sp??, определял. Если правильно, это будет плюсом по сравнению с аналогами, если нет - минусом.

**avsdeg** · 12.04.2010, 01:33

Вышла версия 0.33. Скачать.

2009-04-01 V0.33:
*Added Hot key enumeration feature
*Added Process's timer enumeration feature
*Added Windows Firewall rules display
*Fixed several bugs.

**avsdeg** · 28.05.2010, 18:11

Вышла версия 0.34. Скачать.

*Added MBR Rootkit detection feature
*Added Input Method Editor(IME) enumeration feature
*Added classpnp\atapi\acpi irp hook scan
*Fixed two potential BSODs
*Fixed several bugs.

**tar** · 28.05.2010, 23:13

а где русский можно скачать?

**avsdeg** · 28.05.2010, 23:19

Сообщение от tar

а где русский можно скачать?

Прога не переведена на русский язык.

**valho** · 29.05.2010, 15:14

Парень из MVP https://mvp.support.microsoft.com/de...1-9dfdddbfe7b6
Говорит на lixer

The PTR associated with this record appears to be deliberately invalid (if no hostname is specified, it should fail resolution). Chances are high that this is a malicious IP.

Эти ресурсы , тем более всякие антивирусные и прочее не должны быть отмечены что на них могут быть вирусы, подозрение на трояны, тучи эксплойтов иначе мы туда не будем ходить, чем больше будет подозрений, тем меньше будем ходить

XueTr

Опции темы

XueTr

Метки для этой темы

Ваши права в разделе