Угу, создай для этого прикреплённую темуКстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Наверно, стоит доработать и справочную систему, т.к. Windows Help program (WinHlp32.exe) is no longer included with Windows: http://support.microsoft.com/kb/917607Сообщение от Зайцев Олег
Ну вот, собственно, я и тут. Звали? Чаем угостите?Надеюсь, меня жутко не отмодерируют =)))))
@Alex_Goodwin - Может быть имеет смысл ответить мне на damagelab а не бежать докладывать сюда? Так, по моему, правильнее все-таки. Вам в ФСБ надо, =) ну или в КГБ.
А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.
А фига толку от изменений в PEB? Есть такая вещь называется EPROCESS. Очень интересная штука.
Да ну? Это те что в msvcrt?
А на фига такое надо? =)))) Попробуйте наваять что-нибудь такое.не ловится инжект в сереедину функции
Что касается глубины контроля - хоть сейчас поправлю цикл, да толку то? Нету таких руткитов с таким извратным пониманием хуков. А если и есть, то SVV никто не отменял.
Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))
p.s. Пора замодерировать ренегата, ага?
Хотелось бы, но вряд ли это возможно... Это все равно как написать универсальный антивирус.
Не, чая не будет - у нас сегодня четверг, рыбный день!Ну вот, собственно, я и тут. Звали? Чаем угостите?
Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ... Причем если смотреть на картину с точки зрения статистики, то доминируют примитивные руткиты - типа перехвата SSDT для маскировки ключей реестра и процессов.
По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc. Если проверить машину AVZ с включенным противодействием руткитам (а всякий анализ он ведет именно в этом случае), то получим:
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)
Если включен AVZ PM, то плюс к этом получим:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...
Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.
Последний раз редактировалось Зайцев Олег; 21.12.2006 в 17:27.
Так, может, кто-нибудь, у кого этот Rustock.C есть, пришлет образец на "препарацию" (в PM)? А то как-то непонятно, против чего надо пытаться бороться...
Здравствуй, Олег.
Я заметил это по поведению антируткитного модуля.
Из-за соглашения с автором я не могу представить последнюю версию Rustock v1.2 (aka lzx32.sys), но я могу сказать, что это уже не свежайшая версия примерно с августа. С тех самых пор как эта версия перестала обновляться. Мы тоже можем снести Rustock.B, после сноса сплайсового хука на sysenter становится беззащитным ключ в реестре. ADS выносятся через низкоуровневый разбор NTFS. На самом деле снести этот руткит очень просто, достаточно нажать на Reset вместе с одним из запущенных антируткитов следующего списка - Gmer, DarkSpy, IceSword, BlackLight.
C вариант только что вышел. Неуловимый. Никем =))))
@EP_X0FF:
я всего лишь процитировал вас, оскорблений/комментов не было.
И ответить вам я не смогу ибо слаб я в обсуждаемой теме. А мнение ваше как специалиста интересно народу, вот я вас и запостил.
В общем, пока этот Rustock.C не проявится на горизонте, говорить, по сути, не о чем.
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
Стоит НОД 2.70.16 ENG.
Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
>>> Реальный размер предположительно = 2482176
Реальный размер на диске (нет лишних потоков, ссылок) - 3584 байта
НОД в базу чистых занести нельзя? Или так и должно быть?
Несколько разновидностей imon от NOD есть в базе чистых - но он меняется, так что достаточно прислать этот файл мне для добавления в базу чистых.
Насчет tmloader.exe - его тоже можно прислать до кучи (подобное сообщение выдается сканером памяти в случае резкого расхождения объема образа в памяти и объема, прописанного в его заголовке).
---------------------------
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
---------------------------
- нужно ли отправить этот файл на анализ?
А он в AVZ каким цветом виден? Если не зелёный - присылайте.
Не только этот файл на анализ, но также и все логи сюда в соответствии с Правилами форума. Теоретически м.б. и ложная тревога, поэтому хотелось бы получить картину в целом.
Последний раз редактировалось aintrust; 23.12.2006 в 16:54.
Это используете?The kX Audio Driver is a WDM (Windows Driver Model) driver, designed to be used with any kX-compatible PCI sound-card (notably the Creative Labs SoundBlaster Live! and Audigy series of cards, and E-mu Systems' Audio Production Studio sound-card).
Последний раз редактировалось IgorA; 23.12.2006 в 20:00.
IgorA
"Проблема" даже не столько с этим файлом, kmixer.sys ("хороший" он или "плохой"), сколько с тем, что AVZ выдал предупреждение о его маскировке. Это м.б. ошибкой AVZ (тогда хотелось бы понять, откуда у нее ноги растут, и постараться избавиться от нее в дальнейшем), но м.б. и реальной проблемой. Без полных логов этого все равно не понять, однако их может оказаться недостаточно для полного понимания проблемы. Так что ждем-с...
Либо там что-то есть, либо версия старая/совсем новая K/L
Версия: 5, 10, 00, 3538J - debug
Дата компиляции: Jan 26 2006 05:32:18
В маскированных не отображается, и списке драйверов отмечена зеленым.
Проверил 3537final, и 3538L последняя бета. Не показывает, зеленые
Для 3538L kmixer.sys B74F2000 02A000 (172032)
Последний раз редактировалось IgorA; 24.12.2006 в 19:27.
IgorA
Ваши права в разделе
