-
Новый вариант буткита Mebroot
Наш коллега Alex_Goodwin нашёл на бескрайних просторах инета две очень интересные статьи:
http://www.prevx.com/blog/119/From-G...its-Today.html
и
http://www.trustdefender.com/blog/20...ous-than-ever/
В них говорится о появлении нового варианта MBR руткита Mebroot . К сожалению, статьи на английском. Дано техническое описание этого зверя.
Насколько я понял, один из образцов, попавших в руки вирусологов, пришёл вместе с эксплоитом для Adobe Reader. (дыра в Adobe Reader не была закрыта почти в течении месяца). Также распространение идёт через зараженные вэб-сайты.
Далее, что может этот вариант Mebroot:
will steal login and other personal or confidential details from banking websites
can inject any HTML content into any website (websites can be encrypted with or without EV-SSL.) without detection
can capture CAPCHA and compromize virtual keyboards
can use the information in real-time to defeat One-Time-Passwords
has configuration files for many banking sites so that it knows exactly what to look out for
is incredibly hard to detect
works system-wide and therefore any browser is affected. (Yes, you heard right. Firefox and Chrome users are also affected)
Приблизительный перевод:
- Ворует логины/пароли банковских сайтов
- может внедряться в HTML содержимое любого сайта без детектирования (ворует пароли к FTP)
- Может перехватывать CAPCHA и нажатия виртуальной клавиатуры
- труден в детектировании
- При заражении через сайт все браузеры уязвимы.
Как узнать, не заражен ли Ваш ПК? Пока лишь по косвенным признакам:
You can detect this trojan as follows (no guarantee as this may change frequently)
- did your computer restart without warning or bluescreen?
- open the command prompt (cmd.exe) and go to the c:\WINDOWS\TEMP directory. Now execute “notepad rg4sfay” and if infected, you’ll see the stolen content. Plese note that this file is hidden and won’t be shown in the windows explorer.
- download Process Explorer from Sysinternals and click on “services.exe” and check for open file handles (in the listbox below) for
- any file references to \WINDOWS\TEMP\…
- file reference to \!win$
Приблизительный перевод:
- Перезагружался ли Ваш ПК без предупреждения или BSOD?
- Откройте консоль (Пуск - выполнить - cmd.exe) и перейдите в c:\WINDOWS\TEMP. Это можно сделать набрав в консоли cd c:\WINDOWS\TEMP и нажав Enter. После перехода в этот каталог выполните команду notepad rg4sfay (набираете её и нажимаете Enter). Если Ваш ПК заражен, то Вы увидите в блокноте украденные данные. Этот файл, rg4sfay - скрытый и не отображается в проводнике
- Загрузите Process Explorer от Sysinternals и кликните на “services.exe”, и проверьте открытые файлы (в списке снизу) для:
- любых файлов указывающих на \WINDOWS\TEMP\…
- Файлы указывающие на \!win$
Короткая справка: Буткит - это категория руткитов, которые переписывают MBR сектор диска и грузятся до операционной системы, и правят ее необходимым образом во время загрузки, что обеспечивает полную необнаружимость антивирусами.
PS: Прошу прощения за несколько корявый и вольный перевод. Кое-что перевести не смог.. Просьба к коллегам, знающим английский язык, по возможности более корректно перевести ключевые моменты статей.
Последний раз редактировалось ALEX(XX); 13.04.2009 в 08:40.
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
ALEX(XX)
[*]При заражении через сайт все браузеры уязвимы.
Мне кажется, эта часть несколько преувеличена.
Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?
-
Сообщение от
Serrrgio
Мне кажется, эта часть несколько преувеличена.
Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?
works system-wide and therefore any browser is affected. (Yes, you heard right. Firefox and Chrome users are also affected)
Картина на вирустотале:
Код:
File 77q7ft.ex received on 04.07.2009 21:52:57 (CET)
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.04.07 Backdoor.Sinowal!IK
AhnLab-V3 5.0.0.2 2009.04.07 -
AntiVir 7.9.0.138 2009.04.07 -
Antiy-AVL 2.0.3.1 2009.04.07 -
Authentium 5.1.2.4 2009.04.07 -
Avast 4.8.1335.0 2009.04.07 Win32:Sinowal-FV
AVG 8.5.0.285 2009.04.07 PSW.Sinowal.S
BitDefender 7.2 2009.04.07 -
CAT-QuickHeal 10.00 2009.04.07 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.04.07 -
Comodo 1102 2009.04.07 -
DrWeb 4.44.0.09170 2009.04.07 Trojan.Packed.2447
eSafe 7.0.17.0 2009.04.07 -
eTrust-Vet 31.6.6442 2009.04.07 Win32/Mebroot.S
F-Prot 4.4.4.56 2009.04.07 -
F-Secure 8.0.14470.0 2009.04.07 Trojan:W32/Mebroot.gen!A
Fortinet 3.117.0.0 2009.04.07 -
GData 19 2009.04.07 Win32:Sinowal-FV
Ikarus T3.1.1.49.0 2009.04.07 Backdoor.Sinowal
K7AntiVirus 7.10.695 2009.04.07 -
Kaspersky 7.0.0.125 2009.04.07 -
McAfee 5577 2009.04.07 PWS-JA.gen.a
McAfee+Artemis 5577 2009.04.07 PWS-JA.gen.a
McAfee-GW-Edition 6.7.6 2009.04.07 -
Microsoft 1.4502 2009.04.07 -
NOD32 3994 2009.04.07 -
Norman 6.00.06 2009.04.07 -
nProtect 2009.1.8.0 2009.04.07 -
Panda 10.0.0.14 2009.04.07 -
PCTools 4.4.2.0 2009.04.07 -
Prevx1 V2 2009.04.07 -
Rising 21.24.12.00 2009.04.07 -
Sophos 4.40.0 2009.04.07 Mal/Sinowa-A
Sunbelt 3.2.1858.2 2009.04.06 Trojan.Win32.Mebroot!Generic (v)
Symantec 1.4.4.12 2009.04.07 Trojan.Mebroot
TheHacker 6.3.4.0.303 2009.04.07 -
TrendMicro 8.700.0.1004 2009.04.07 -
VBA32 3.12.10.2 2009.04.07 -
ViRobot 2009.4.7.1682 2009.04.07 -
VirusBuster 4.6.5.0 2009.04.07 -
Additional information
File size: 327680 bytes
MD5...: 8f74900f76ab3ac4f9fe403312e73f83
SHA1..: a7cc2fe6306f7a253b84711ba037bdc4649c3410
SHA256: 61079806438c5f535f7abb9ed456bf5662fa28cfee31d080d2e4e8a4868a86ba
SHA512: c2b49be24e8f2569b4eedc75aee6325fb785806fe71cffc7012bbff74629bb8a<BR>f82b4c50d927645c4d5d4835cbbdd79a5f098a35c36d003b70b12491e391258d
ssdeep: 6144:FfUh3auEp8RvI51Gw2WUGR+KmtVNpevBoz0IZTlIzjSyqonAzui84yoV+:J<BR>NpivM1GwXO4oz0IdquonA4VoV<BR>
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (38.5%)<BR>Win32 Dynamic Link Library (generic) (34.2%)<BR>Clipper DOS Executable (9.1%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x7bd0<BR>timedatestamp.....: 0x47c2a723 (Mon Feb 25 11:31:47 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x7072 0x8000 6.11 53b0da5b2015158bb51836e66e2371d9<BR>.rdata 0x9000 0x206 0x1000 0.66 3ceb0030f5aac7447585eebbebdca7c3<BR>.data 0xa000 0x441c0 0x45000 7.98 dea9551bb5c8c1ece6bb44734f95ba5f<BR>.reloc 0x4f000 0x9390 0x1000 0.42 3091d434cb7a9b4e9f7a1f880d100797<BR><BR>( 2 imports ) <BR>> ntdll.dll: memcpy, memcmp<BR>> KERNEL32.dll: VirtualProtect, GetEnvironmentVariableW, CreateFileA, Sleep, VirtualAlloc, VirtualFree, GetProcAddress, LoadLibraryA, WriteFile<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
Left home for a few days and look what happens...
-
-
Сообщение от
Serrrgio
...
Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?
имеется в виду не сплоит подо все мыслимые браузеры, а техника перехвата трафика
Комменты (см. пост от 09 April 2009 at 2:45am):
http://forum.sysinternals.com/forum_posts.asp?TID=18486
Последний раз редактировалось fp_post; 13.04.2009 в 13:03.
Причина: quote fixed
-
В статье Буткит: вызов 2008 говорится следующее
В большинстве случаев, чтобы заразить компьютеры пользователей, злоумышленники взламывают легальный сайт и размещают на его страницах ссылки на свои ресурсы, оснащенные эксплойтами. Такая техника носит название «drive-by-download». Она позволяет в скрытом режиме устанавливать вредоносные программы на компьютер пользователя при посещении им зараженного сайта.
Но это было в то время..
Left home for a few days and look what happens...
-
-
ESET Win32/Mebroot fixer v.1.01 - Copyright (c) 2008 ESET spol. s r.o.
MBR rootkit (Win32/Mebroot) was not found on your system.
http://download.eset.com/special/EMebRemover.exe
Последний раз редактировалось santy; 14.04.2009 в 15:46.
-
-
Ссылка на утилиту по удалению Kido.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]