Показано с 1 по 7 из 7.

Новый вариант буткита Mebroot

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3709

    Exclamation Новый вариант буткита Mebroot

    Наш коллега Alex_Goodwin нашёл на бескрайних просторах инета две очень интересные статьи:

    http://www.prevx.com/blog/119/From-G...its-Today.html
    и
    http://www.trustdefender.com/blog/20...ous-than-ever/

    В них говорится о появлении нового варианта MBR руткита Mebroot . К сожалению, статьи на английском. Дано техническое описание этого зверя.

    Насколько я понял, один из образцов, попавших в руки вирусологов, пришёл вместе с эксплоитом для Adobe Reader. (дыра в Adobe Reader не была закрыта почти в течении месяца). Также распространение идёт через зараженные вэб-сайты.

    Далее, что может этот вариант Mebroot:
    will steal login and other personal or confidential details from banking websites
    can inject any HTML content into any website (websites can be encrypted with or without EV-SSL.) without detection
    can capture CAPCHA and compromize virtual keyboards
    can use the information in real-time to defeat One-Time-Passwords
    has configuration files for many banking sites so that it knows exactly what to look out for
    is incredibly hard to detect
    works system-wide and therefore any browser is affected. (Yes, you heard right. Firefox and Chrome users are also affected)


    Приблизительный перевод:
    • Ворует логины/пароли банковских сайтов
    • может внедряться в HTML содержимое любого сайта без детектирования (ворует пароли к FTP)
    • Может перехватывать CAPCHA и нажатия виртуальной клавиатуры
    • труден в детектировании
    • При заражении через сайт все браузеры уязвимы.
    Как узнать, не заражен ли Ваш ПК? Пока лишь по косвенным признакам:



    You can detect this trojan as follows (no guarantee as this may change frequently)
    • did your computer restart without warning or bluescreen?
    • open the command prompt (cmd.exe) and go to the c:\WINDOWS\TEMP directory. Now execute “notepad rg4sfay” and if infected, you’ll see the stolen content. Plese note that this file is hidden and won’t be shown in the windows explorer.
    • download Process Explorer from Sysinternals and click on “services.exe” and check for open file handles (in the listbox below) for
      • any file references to \WINDOWS\TEMP\…
      • file reference to \!win$


    Приблизительный перевод:
    • Перезагружался ли Ваш ПК без предупреждения или BSOD?
    • Откройте консоль (Пуск - выполнить - cmd.exe) и перейдите в c:\WINDOWS\TEMP. Это можно сделать набрав в консоли cd c:\WINDOWS\TEMP и нажав Enter. После перехода в этот каталог выполните команду notepad rg4sfay (набираете её и нажимаете Enter). Если Ваш ПК заражен, то Вы увидите в блокноте украденные данные. Этот файл, rg4sfay - скрытый и не отображается в проводнике
    • Загрузите Process Explorer от Sysinternals и кликните на “services.exe”, и проверьте открытые файлы (в списке снизу) для:
      • любых файлов указывающих на \WINDOWS\TEMP\…
      • Файлы указывающие на \!win$


      Короткая справка: Буткит - это категория руткитов, которые переписывают MBR сектор диска и грузятся до операционной системы, и правят ее необходимым образом во время загрузки, что обеспечивает полную необнаружимость антивирусами.
    PS: Прошу прощения за несколько корявый и вольный перевод. Кое-что перевести не смог.. Просьба к коллегам, знающим английский язык, по возможности более корректно перевести ключевые моменты статей.
    Последний раз редактировалось ALEX(XX); 13.04.2009 в 07:40.
    Left home for a few days and look what happens...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.04.2007
    Адрес
    Крым, Севастополь
    Сообщений
    127
    Вес репутации
    62
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    [*]При заражении через сайт все браузеры уязвимы.
    Мне кажется, эта часть несколько преувеличена.

    Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3709
    Цитата Сообщение от Serrrgio Посмотреть сообщение
    Мне кажется, эта часть несколько преувеличена.

    Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?
    works system-wide and therefore any browser is affected. (Yes, you heard right. Firefox and Chrome users are also affected)

    Картина на вирустотале:

    Код:
    File 77q7ft.ex received on 04.07.2009 21:52:57 (CET)
    Antivirus	Version	Last Update	Result
    a-squared	4.0.0.101	2009.04.07	Backdoor.Sinowal!IK
    AhnLab-V3	5.0.0.2	2009.04.07	-
    AntiVir	7.9.0.138	2009.04.07	-
    Antiy-AVL	2.0.3.1	2009.04.07	-
    Authentium	5.1.2.4	2009.04.07	-
    Avast	4.8.1335.0	2009.04.07	Win32:Sinowal-FV
    AVG	8.5.0.285	2009.04.07	PSW.Sinowal.S
    BitDefender	7.2	2009.04.07	-
    CAT-QuickHeal	10.00	2009.04.07	(Suspicious) - DNAScan
    ClamAV	0.94.1	2009.04.07	-
    Comodo	1102	2009.04.07	-
    DrWeb	4.44.0.09170	2009.04.07	Trojan.Packed.2447
    eSafe	7.0.17.0	2009.04.07	-
    eTrust-Vet	31.6.6442	2009.04.07	Win32/Mebroot.S
    F-Prot	4.4.4.56	2009.04.07	-
    F-Secure	8.0.14470.0	2009.04.07	Trojan:W32/Mebroot.gen!A
    Fortinet	3.117.0.0	2009.04.07	-
    GData	19	2009.04.07	Win32:Sinowal-FV 
    Ikarus	T3.1.1.49.0	2009.04.07	Backdoor.Sinowal
    K7AntiVirus	7.10.695	2009.04.07	-
    Kaspersky	7.0.0.125	2009.04.07	-
    McAfee	5577	2009.04.07	PWS-JA.gen.a
    McAfee+Artemis	5577	2009.04.07	PWS-JA.gen.a
    McAfee-GW-Edition	6.7.6	2009.04.07	-
    Microsoft	1.4502	2009.04.07	-
    NOD32	3994	2009.04.07	-
    Norman	6.00.06	2009.04.07	-
    nProtect	2009.1.8.0	2009.04.07	-
    Panda	10.0.0.14	2009.04.07	-
    PCTools	4.4.2.0	2009.04.07	-
    Prevx1	V2	2009.04.07	-
    Rising	21.24.12.00	2009.04.07	-
    Sophos	4.40.0	2009.04.07	Mal/Sinowa-A
    Sunbelt	3.2.1858.2	2009.04.06	Trojan.Win32.Mebroot!Generic (v)
    Symantec	1.4.4.12	2009.04.07	Trojan.Mebroot
    TheHacker	6.3.4.0.303	2009.04.07	-
    TrendMicro	8.700.0.1004	2009.04.07	-
    VBA32	3.12.10.2	2009.04.07	-
    ViRobot	2009.4.7.1682	2009.04.07	-
    VirusBuster	4.6.5.0	2009.04.07	-
    
    Additional information
    File size: 327680 bytes
    MD5...: 8f74900f76ab3ac4f9fe403312e73f83
    SHA1..: a7cc2fe6306f7a253b84711ba037bdc4649c3410
    SHA256: 61079806438c5f535f7abb9ed456bf5662fa28cfee31d080d2e4e8a4868a86ba
    SHA512: c2b49be24e8f2569b4eedc75aee6325fb785806fe71cffc7012bbff74629bb8a<BR>f82b4c50d927645c4d5d4835cbbdd79a5f098a35c36d003b70b12491e391258d
    ssdeep: 6144:FfUh3auEp8RvI51Gw2WUGR+KmtVNpevBoz0IZTlIzjSyqonAzui84yoV+:J<BR>NpivM1GwXO4oz0IdquonA4VoV<BR>
    PEiD..: -
    TrID..: File type identification<BR>Win32 Executable Generic (38.5%)<BR>Win32 Dynamic Link Library (generic) (34.2%)<BR>Clipper DOS Executable (9.1%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x7bd0<BR>timedatestamp.....: 0x47c2a723 (Mon Feb 25 11:31:47 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name        viradd    virsiz   rawdsiz  ntrpy  md5<BR>.text       0x1000    0x7072    0x8000   6.11  53b0da5b2015158bb51836e66e2371d9<BR>.rdata      0x9000     0x206    0x1000   0.66  3ceb0030f5aac7447585eebbebdca7c3<BR>.data       0xa000   0x441c0   0x45000   7.98  dea9551bb5c8c1ece6bb44734f95ba5f<BR>.reloc     0x4f000    0x9390    0x1000   0.42  3091d434cb7a9b4e9f7a1f880d100797<BR><BR>( 2 imports )  <BR>&gt; ntdll.dll: memcpy, memcmp<BR>&gt; KERNEL32.dll: VirtualProtect, GetEnvironmentVariableW, CreateFileA, Sleep, VirtualAlloc, VirtualFree, GetProcAddress, LoadLibraryA, WriteFile<BR><BR>( 0 exports ) <BR>
    RDS...: NSRL Reference Data Set<BR>-
    Left home for a few days and look what happens...

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.09.2006
    Сообщений
    44
    Вес репутации
    59
    Цитата Сообщение от Serrrgio Посмотреть сообщение
    ...
    Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?
    имеется в виду не сплоит подо все мыслимые браузеры, а техника перехвата трафика

    Комменты (см. пост от 09 April 2009 at 2:45am):
    http://forum.sysinternals.com/forum_posts.asp?TID=18486
    Последний раз редактировалось fp_post; 13.04.2009 в 12:03. Причина: quote fixed

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3709
    В статье Буткит: вызов 2008 говорится следующее

    В большинстве случаев, чтобы заразить компьютеры пользователей, злоумышленники взламывают легальный сайт и размещают на его страницах ссылки на свои ресурсы, оснащенные эксплойтами. Такая техника носит название «drive-by-download». Она позволяет в скрытом режиме устанавливать вредоносные программы на компьютер пользователя при посещении им зараженного сайта.
    Но это было в то время..
    Left home for a few days and look what happens...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1125
    ESET Win32/Mebroot fixer v.1.01 - Copyright (c) 2008 ESET spol. s r.o.
    MBR rootkit (Win32/Mebroot) was not found on your system.

    http://download.eset.com/special/EMebRemover.exe
    Последний раз редактировалось santy; 14.04.2009 в 14:46.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Rampant
    Регистрация
    06.03.2008
    Адрес
    Новосибирск
    Сообщений
    478
    Вес репутации
    244
    Ссылка на утилиту по удалению Kido.
    Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
    [SIGPIC][/SIGPIC]

Похожие темы

  1. Новый вариант СМС вымогателя тел 3381
    От od4honnor в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 19.05.2010, 09:34
  2. Angel - новый вариант whitelisting
    От Geser в разделе Новости компьютерной безопасности
    Ответов: 16
    Последнее сообщение: 01.09.2008, 20:02
  3. Новый вариант почтового червя Beagle
    От SDA в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 27.01.2005, 23:01

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00255 seconds with 16 queries