Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я его сам не смотрел, но, судя по описанию, к МБР он никакого отношения не имеет. Заурядный троян, ничего интересного. Должен детектиться на ура как модуль с списке процессов и как ссылка в автозагрузке.
+ Работа с дисковыми томами на низком уровне. Поддержка MBR и GPT разметки. Поддержка динамических томов
Microsoft/Veritas ( Simple, Spanned, Striped, Mirrored и Raid-5 )
Динамические тома Microsoft/Veritas на самом деле встречаются довольно редко, но их поддержка была важным шагом в развитии библиотеки прямого чтения нашего продукта. Насколько я знаю, на сегодняшний день только наш антируткит реализовывает данный функционал.
+ Анализ загрузочных секторов физических дисков. Детект, просмотр, дамп и восстановление нестандартных и
подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного жёсткого
диска
Эта фича будет намного более интересна общественности. Позволяет детектить и обезвреживать большинство буткитов, таких как TDL4/Sinowal/Alipop/Rmnet и т.п. Тут следует отметить, что данную бету мы выпускаем с немного "устаревшим" кодом, который использовался ещё для выявления TDL3, поэтому на некоторых системах, возможно, будет отсутствовать детект. Количество таких систем минимально относительно общего числа ( как показало наше внутреннее тестирование ), однако оно не нулевое. Кроме того, мы планируем в скором времени выпустить следующую бету с нативной поддержкой IDE/AHCI котроллеров.
+ Поиск и восстановление аномальных записей в таблице GDT
Относительно редкая аномалия. Используется в основном для исполнения привелигированных инструкций в R3.
+ Увеличено количество проверяемых мест автозагрузки
(LSA Providers, SubSystems\Windows и др.)
Это уже стало традицией. С каждым новым билдом увеличивается количество проверяемых мест автозагрузки.
* Улучшен механизм поиска и восстановления перехватов IDT и SysEnter
К сожалению, подовляющее большинство антируткитов не берут в расчёт значение селектора GDT ( считают смещение нулевым ) и региста IA32_SYSENTER_CS для рассчёта реального адреса обработчика IDT/SysEnter. До текущего билда, признаюсь, и мы этим грешили. Исправляемся
* Вывод информации о правилах стандартного файервола OS Windows
* Улучшена стабильность работы программы
* Доработан файл помощи на русском языке
Постараюсь сразу ответить на возможные вопросы по поводу последних веяний, типа ddox. Текущий функционал не позволяет детектировать данный зловред напрямую. Однако он хорошо идентифицируется по создаваемым аномалиям ( см. аттач ). Кроме того, теперь в файле отчёта содержится дамп загрузочных секторов основного жестого диска, в который попадает код вредоносного драйвера, что также может помочь идентифицировать данный здовред. В будущих версиях, возможно, добавим сигнатурный детект/эвристику и в антируткит.
И как всегда, с радостью ждём ваших замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - [email protected]
И как всегда большое спасибо нашим бета-тестерам - K_Mikhail и Nick1978
Dmitry Varshavsky - наш технический специалист, который на протяжении последних нескольких лет работает над разработкой антируткита. Теперь он будет более активно участвовать в развитии бета-тестирования продукта. Прошу любить и жаловать.
Здравствуйте. В описании вашего антируткита содержится информация о том, что он может взаимодействовать с любым антивирусом. Что это значит? ВБА находит руткит и сообщает о нём антивиросу? Или он самостоятельно уничтожает руткит? Планируете ли вы всегда делать ВБА бесплатным? Когда появится 64х битная версия? Есть ли независимые тесты вашего антируткита? В чём отличие вашего антируткита от GMER?
Последний раз редактировалось Ber; 19.07.2011 в 14:49.
Здравствуйте. В описании вашего антируткита содержится информация о том, что он может взаимодействовать с любым антивирусом. Что это значит? ВБА находит руткит и сообщает о нём антивиросу?
Это всего лишь обозначает, что продукт не является резидентным и может быть запущен во время работы других программ безопасности. И это не нарушит стабильность работы системы.
Сообщение от Ber
Или он самостоятельно уничтожает руткит?
Самостоятельно антируткит ничего не уничтожает. У него и цели такой нет. Удалить может оператор вручную. А в будущем планируется реализовать поддержку скриптового движка для автоматизации процесса удаления.
Сообщение от Ber
Планируете ли вы делать ВБА бесплатным?
Сам антивирус - вряд ли. Но есть бесплатные утилиты типа Vba32 AntiRootkit, Vba32 Rescue, Vba32 Check.
Уверен, что вся реализованная в антирутките функциональность опережает аналогичную в остановившемся в своем развитии GMER'е на сто шагов. Это и отсутствие ложняков, и список поддерживаемых операционок, и стабильность, и наглядность того же лога и т.д.
Но пока антируткиту не хватает детекта скрытых веток реестра, хуков в ринг3 и скриптового языка. Но тем не менее имеющегося функционала с лихвой хватает для обнаружения большинства аномалий и соответственно руткитов/троянов.
Спасибо за ответ. Идёт ли работа над разработкой 64-х битной версиии? Планируете ли делать утилиты для ВБА платными, в том числе антируткит?
Можно подробнее об автоматизации процесса удаления руткита. Я, к примеру, не продвинутый пользователь и боюсь напортачить при удалении шпионской программы.
Идёт ли работа над разработкой 64-х битной версиии?
Скажем так, некоторые модули антируткита разрабатываются таким образом, чтобы в будущем их можно было с наименьшими потерями портировать под 64-х битную платформу.
Сам же 64-х битный антируткит пока не разрабатывается.
Сообщение от Ber
Планируете ли делать утилиты для ВБА платными, в том числе антируткит?
Таких планов на данный момент нет.
Сообщение от Ber
Можно подробнее об автоматизации процесса удаления руткита. Я, к примеру, не продвинутый пользователь и боюсь напортачить при удалении шпионской программы.
Для этого и нужна поддержка скриптового языка, которого сейчас в продукте нет.
P.S. Если вы боитесь напортачить, то лучше обратиться в форум Помогите.
1) Пользователь запускает приложение, которым генерирует файл-отчет;
2) Пользователь отправляет файл-отчет в службу тех. поддержки;
3) Инженер тех. поддержки на основании данных из файла-отчета составляет скрипт;
4) Инженер тех. поддержки отправляет скрипт пользователю;
5) Пользователь выполняет скрипт при помощи приложения.
+ Работа с IDE и AHCI контроллерами жёсткого диска на низком уровне.
Основной вектор развития антируткита на данный момент. Непосредственная работа с железом даёт практически 100% гарантию того, что прочитаны реальные данных, хранящиеся на диске вне зависимости от типа заражения. Обратная сторона медали - совместимость. Если c AHCI контроллерами удалось разобраться практически полностью, то, как ни странно, с простым и "древним" IDE возникли проблемы. Дело в том, что с развитием технологий, таких как NCQ например, каждый производитель немного по-своему стал "расширять" стандарт. Документации по данной проприетарной теме, естественно, нет. Из известных проблем - мёртвое зависание антируткита на некоторых машинах с nForce-4, причём зависания повторяются только с установленными драйверами от NVIDIA ( которые непосредственно реализуют "новый" функциоанал, с дефолтными драйверами проблем нет ). Если у вас проблемы с запуском антируткита ( либо система виснет намертво, падает в BSOD ), задайте ключ коммандной строки /nodmsa и код прямого доступа к контроллеру/ам будет деактивирован.
+ Vba32 Defender: добавлен интерактивный режим, чёрный и белый списки, подсказки пользователю. Возможность стартовать приложения на выледенном рабочем столе
Значительно расширили функционал Defender'а.
+ Реализована базовая самозащита.
Позволяет противостоять последним версиям ZeroAccess aka Max++, Necurs/Cridex. И не только.
+ Возможность извлекать девайсы из стека устройств ( DetachDevice )
Полезная возможность. Например, при лечении Necurs
+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле ( на Windows Vista и выше )
Функционал реализован для систем Vista и выше, т.к. на более ранних были выявлены ложные срабатывания.
+ Добавлен просмотр и возможность удаления нотификаторов ObCallbacks
Актуально для систем на Windows Vista SP1 и более новых.
+ Опция Restore MBR and force reboot
Более безопасно, чем "Restore MBR and force reset"
+ Вывод MD5/SHA1 дайджестов проверенных файлов
Довольно удобная вещь для поиска образцов на том же VirusTotal.
+ Возможность скрывать драйверы/сервисы с пустым ImagePath
+ поддержка Windows 8 Developer Preview
* Исправлена проблема с невыгрузкой драйвера антируткита, а также пропажей звука на некоторых системах.
* Улучшена стабильность работы программы
* Доработан файл помощи на русском языке
Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше
Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 !
...
с радостью ждём ваших замечаний/предложений/дампов
Запустил антируткит, согласился с работой на Dedicated desktop, нажал кнопку Start. Во время анализа системы компьютер запустил заставку, я пошевелил мышку, но вернулся не в рабочий стол антируткита, а в пустой экран без значков, панели задач и прочего. Подождал, но они не отрисовались. Нажал Ctrl-Alt-Del, кратковременно появились и исчезли главное окно антируткита с каким-то сообщением на его фоне (не успел прочитать), снова попал на пустой экран. Дальше Ctrl-Alt-Del не помогали, пришлось перезагружаться кнопкой питания. Если это имеет значение, то операционка XP Home Edition SP3.
Из мелочей - у меня профиль пользователя лежит на отдельном дисковом разделе, который примонтирован как папка и не имеет буквы диска. Программы, запускаемые из папок профиля, антируткиту не нравятся, пишет про скрытые модули. С учётом того, что некоторые зловреды создают свои скрытые разделы, даже не знаю, считать это багом или фичей антируткита. 20111127_103130.png
Последний раз редактировалось Oyster; 27.11.2011 в 05:05.
Причина: Указал ОС
Предлагаю заменить название команды "Wipe File" на что-нибудь вроде "Fill file with zeros" или "Empty file". Слово wipe часто ассоциируется с надёжным удалением, здесь же перезапись именно без удаления.
Oyster, давайте разбираться по-порядку:
1. Какую заставку и как запускали ?
2. Изначально это была фича - т.к. если у пользователя есть скрытый раздел, то он про него знает, и всё ок тогда. а если нет - то первое, что бросится в глаза. Но ещё подумаю..
3. Wipe он изначально был wipe'ом, уже как несколько лет Вроде никого в заблуждение не вводило, функционал в хелпе описан + насколько я помню, в том же rku есть опция wipe, которая работает точно так же.
Стандартная заставка с названием "Windows XP", запустилась из-за того, что я 10 минут не нажимал кнопки и не трогал мышку.
2. Изначально это была фича - т.к. если у пользователя есть скрытый раздел, то он про него знает, и всё ок тогда. а если нет - то первое, что бросится в глаза. Но ещё подумаю..
Ситуация экзотическая, можно оставить как есть.
3. Wipe он изначально был wipe'ом, уже как несколько лет Вроде никого в заблуждение не вводило, функционал в хелпе описан + насколько я помню, в том же rku есть опция wipe, которая работает точно так же.
Применять антируткит в боевых условиях мне почти не приходилось, ограничивался поиском внедрений в процессы. Узнал об этой команде из инструкций по удалению TDL