-
Добрый день. Упал тут на сервер страшный зверь по имени BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.
Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.
Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-

Сообщение от
Boba
Добрый день. Упал тут на сервер страшный зверь по имени BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.
Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.
Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?
Значит, кто-то додумался до того, чтобы включить Rootkit.avz в список маскируемых. Неплохой тактический ход, но обмануть его можно - и достаточно просто. Значит так - по адресу http:\\z-oleg.com\avz.exe лежит новый exe файл от AVZ (приватная сборка, специально для решения данной проблемы). Он пытается загрузить файл rootkit.avz, если не удается - то пытается искать файл rk.avz, если и такого нет - checkrk.avz. Т.е. файл rootkit.avz можно переименовать в rk.avz или checkrk.avz и после этого провести лечение.
А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.
-
-

Сообщение от
Зайцев Олег
А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.
И, желательно, в интерактивном диалоге. Причём факт потери баз надо отслеживать уже при запуске и в случае чего выкидывать этот диалог принудительно.
-
-
Так, огромное спасибо, новая версия вроде зацепилась. Кстати, "rk.avz" не помог, его тоже прятало ;-). Второй сработал.
Пока результаты такие вот
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне API
>>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
>>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 1172 c:\winnt\system32\ntlmos.exe
>>>> Подозрение на маскировку процесса 1216 c:\winnt\system32\nwlnkfsx.sys
Файлы скопированы, отосланы дрвебу (каспер их видит, веб нет, что очень странно :-)).
NewVirus.rar/ATAPI.DRV - инфицирован Backdoor.Win32.HacDef.ai
NewVirus.rarntlmos.exe.no - инфицирован not-a-virus:Server-FTP.Win32.Serv-U.gen
NewVirus.rar/nwlnkfsx.drv - в порядке
NewVirus.rar/nwlnkfsx.sys - инфицирован Backdoor.Win32.Sjak.a
Тебе они нужны?
-
-
Junior Member
- Вес репутации
- 75
О-го! Вирусописатели стали опасаться AVZ !!! Значит, огромное спасибо Зайцеву Олегу за хорошую программу!
А что будет, если Rootkit-ы начнут прятать avz.exe или другие важные компоненты AVZ? С этим как-то надо бороться...
-

Сообщение от
Boba
Тебе они нужны?
Всё нужно 
Всё что АВЗ не знает присылайте
-
-

Сообщение от
DenZ
...
А что будет, если Rootkit-ы начнут прятать avz.exe или другие важные компоненты AVZ? С этим как-то надо бороться...
Да, бороться, конечно, неплохо было бы...
Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат.
А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?
-
-

Сообщение от
aintrust
Да, бороться, конечно, неплохо было бы...

Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат.
А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?
Я поэтому и не хотел выходить на международный рынок ...
Насчтет защиты - нужно подумать - просто исходно AVZ адумывался как утилита, подмога для антивиря/антиспайвера - в этом слечае защита была не нужна. А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).
-
-

Сообщение от
Зайцев Олег
А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).
А создавать драйвер каждый раз с рандомальным именем?
-
-

Сообщение от
Geser
А создавать драйвер каждый раз с рандомальным именем?
Да, такой метод "борьбы" многими применяется на практике (для случаев, когда драйвер "прошивается" в ресурсном разделе программы), хотя в данном конкретном случае речь идет не о драйвере, а о файле анти-руткитовых сигнатур, т.н. rootkit.avz. На самом деле описанная выше "проблема" вполне решаема, и, насколько я знаю, Олег уже нашел решение...
-
-
Уточни свои заключения...
Уточняю. АВЗ нашла примерно половину спайваря, прописанного у меня на машине, но ни одного прятавшегося в НТФС потоках. Наверно, эти образчики просто не внесены в базу. Ближе к выходным буду посвободнее и протестирую еще раз. Олег, наверно, будет не против махнуться ITW экземплярами...
-
Обмен ITW - это всегда полезно ... а в потоках обязан эвристик находить. Но с одной оговоркой - это в текущей версии AVZ, которая лежит на сайте - там как раз был баг в том, что не проверялись потоки каталогов (т.е. если зверь в потоке папки System32, то он не находился). В текущей версии это есть ...
-
-
Junior Member
- Вес репутации
- 74
скажите пожалуйста, как реагировать на подобное сообщение
Код:
Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
временные трудности закончились...начинаются трудные времена
-
Full Member
- Вес репутации
- 73

Сообщение от
bearcat
скажите пожалуйста, как реагировать на подобное сообщение...
Это стандартные вызовы ''законных'' функций Windows API...
A где ты получил эти строки?
-
Junior Member
- Вес репутации
- 74

Сообщение от
DimaT
A где ты получил эти строки?
фрагмент avz_log
Код:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
временные трудности закончились...начинаются трудные времена
-

Сообщение от
bearcat
скажите пожалуйста, как реагировать на подобное сообщение
Код:
Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
Нужно искать перехватчик. Судя по набору функций перехвачено то, что имееет отношение к рисованию. Какие-либо укашательства системы установлены ? Система не загружена после серьезного сбоя ? Сохраняется ли этот эффект после перезагрузки ?
В любом случае стоит создать тему в разделе "помогите" с приложением указанных там логов - по ним можно сказать определенно.
-
-
Последная версия 3.70 репортовала что UmxSbxExw.dll и UmxSbxw.dll с вероятности више 99% шпиони, keyloger. По поиску и според меня ето компонент Tiny Firewall, которим я пользуюс.
-
-
Пришлите их Олегу для включения в базу безопасных.
-
-
Кстати, навеяно Kerish Doctor 2005 
Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"
-
-

Сообщение от
Geser
Кстати, навеяно Kerish Doctor 2005

Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"
Ссылки на несуществующие файлы искать можно, вот удалять их весьма опасно ... а если эта ссылка ведет на CD ? на сетевой диск ? В папку, недоступную текущему юзеру ? прививка от SPYWARE ? или этот CLSID создает некое приложение для некоей привязки/защиты ... - тот-же FineReader создает кучу CLSID в реестре, применяя для целей защиты - он в этом плане не одинок, есть сотни таких программ. Поэтому можно так начистить, что потом концов не найти.
А остальное есть - это микропрограммы эвристики, эвристическая чистка системы. Но там подход немного другой - в момент удаления файла удаляются явные ссылки на него.
-