Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837

    Rootkit.Win32.TDSS cleaner, утилита от eSage Lab для удаления троянца TDSS

    Цитата Сообщение от Алиса Шевченко
    Мы выпустили бесплатную утилиту для автоматического удаления руткитов семейства TDSS (Tidserv, TDSServ, etc.). Утилита работает по принципу поиска аномалий (скрытых объектов), не привязана к каким-либо сигнатурами, в силу чего обнаруживает все существующие версии руткита и будет обнаруживать последующие до тех пор, пока авторы не перекроят его архитектуру.

    Скачать архив с программой можно здесь
    MD5 remover.exe:58923e4ecde62d9b7d9f92675a90b836

    Функции Rootkit.Win32.TDSS remover версии 1.3.5.0:
    * обнаружение скрытых драйверов, ключей реестра, дополнительных модулей руткита
    * поиск на системных и съемных дисках файлов autorun.inf, ссылающихся на копии TDSS, и самих этих копий
    * удаление найденных объектов.

    Known bugs:
    * драйвер остается в системе после завершения программы
    * в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

    Спасибо vaber'у и участникам форума "Анализ вредоносных программ" за помощь в тестировании.
    Замечания и предложения, success stories и feature requests по-прежнему принимаются в местной почте или на e-mail alisa<at>esagelab.com
    Оригинал сообщения: http://www.anti-malware.ru/forum/ind...63&#entry68163
    Последний раз редактировалось Kuzz; 18.06.2009 в 18:09.
    The worst foe lies within the self...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1147
    15.06.2009 23:35:54 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\rk_remover.sys модифицированный Win32/Kryptik.NF троянская программа очищен удалением - изолирован 1\2 Событие произошло в новом файле, созданном следующим приложением: X:\avirus\AntiRootKit\TDSS_remover\remover.exe.
    ---
    http://www.virustotal.com/ru/analisi...e9b-1245082525
    Последний раз редактировалось santy; 15.06.2009 в 20:45.

  4. #3
    Vectrik
    Guest
    Кстати, драйвер AVZ поделка вирусописателей, а конкретно вирус bagle
    15.06.2009 21:37:24 Защита в режиме реального времени файл C:\Windows\SysWOW64\Drivers\vdiymtcw.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Users\User\Desktop\avz4\avz4\avz.exe.

    http://www.virustotal.com/ru/analisi...9da-1245087829

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    227
    Ну и где вы взяли этот авз?
    http://www.virustotal.com/ru/analisi...a39-1245133067

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от Vectrik Посмотреть сообщение
    Кстати, драйвер AVZ поделка вирусописателей, а конкретно вирус bagle
    Не правильно..
    "поделка вирусописателей, а конкретно вирус bagle" содежрит в себе драйвер AVZ для защиты от борьбы с ним с помощью AVZ
    The worst foe lies within the self...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    227
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Не правильно..
    "поделка вирусописателей, а конкретно вирус bagle" содежрит в себе драйвер AVZ для защиты от борьбы с ним с помощью AVZ
    а это конкретно любовь к АВЗ у них ?? или они практикуют и добавление драйверов других антивиров?

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    а это конкретно любовь к АВЗ у них ??
    К AVZ, у драйвера защита от повторной загрузки, таким образом они не дают грузится "нормальному" драйверу во время работу AVZ...

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Vagon
    Регистрация
    15.06.2008
    Сообщений
    386
    Вес репутации
    72
    Вообще-то было бы неплохо,если бы дрова AVZ менял название каждый раз при запуске.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Они меняют имя, но не каждый раз.

    Второе - защита от повторной загрузки тоже смотрит не по имени
    The worst foe lies within the self...

  11. #10
    eSage Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.05.2007
    Адрес
    Moscow
    Сообщений
    4
    Вес репутации
    94

    Done F/P

    Цитата Сообщение от santy Посмотреть сообщение
    15.06.2009 23:35:54 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\rk_remover.sys модифицированный Win32/Kryptik.NF троянская программа очищен удалением - изолирован 1\2 Событие произошло в новом файле, созданном следующим приложением: X:\avirus\AntiRootKit\TDSS_remover\remover.exe.
    ---
    http://www.virustotal.com/ru/analisi...e9b-1245082525
    Там преимущественно различные разновидности эвристики ("Gen", "PossibleThreat", "Heur"..) Я вижу примерно две причины, почему некоторые АВ могут давать ложные эвристические срабатывания на наш продукт.

    1. программа качественно упакована, с целью усложнить квест желающим ее разреверсить. Многие не очень умные АВ детектируют malware по пакеру, считая наличие упакованного кода достаточным признаком его вредоносности.
    2. программа - антируткит. Т.е. это почти что руткит, только наоборот.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1147
    ну, некоторые разработчики изначально предупреждают об этом...

    The latest version of RootRepeal can always be downloaded from this site.

    The current version is: Version 1.3.0
    Download: RootRepeal.rar
    MD5 (of the EXE): E49E6C8F2D285CA13EF9C39303613171
    SHA-1 (of the EXE): 9989A2137B5B1CE6A788EEED0CF1361D1DDAC273

    VirusTotal Scan: http://www.virustotal.com/analisis/f...789-1243986510

    Because, as mentioned above, there is always an element of risk when scanning for rootkits, the author offers NO WARRANTY for RootRepeal. USE AT YOUR OWN RISK!
    http://rootrepeal.googlepages.com/

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Цитата Сообщение от alisa_sh Посмотреть сообщение
    Там преимущественно различные разновидности эвристики ("Gen", "PossibleThreat", "Heur"..) Я вижу примерно две причины, почему некоторые АВ могут давать ложные эвристические срабатывания на наш продукт.

    1. программа качественно упакована, с целью усложнить квест желающим ее разреверсить. Многие не очень умные АВ детектируют malware по пакеру, считая наличие упакованного кода достаточным признаком его вредоносности.
    2. программа - антируткит. Т.е. это почти что руткит, только наоборот.
    Алиса, а упаковка действительно поможет от реверсинга грамотным человеком ?
    Подозреваю, автор(ы) TDSS достаточно грамотны, чтобы снять защиту.
    Если так - смысл в такой упаковке ?

    Добавлено через 17 минут

    А вреда она принесёт немало - многие побоятся утилиту как использовать, так и советовать. По вполне понятным причинам.
    Последний раз редактировалось Alexey P.; 18.06.2009 в 03:18. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1147
    Цитата Сообщение от alisa_sh Посмотреть сообщение
    2. программа - антируткит. Т.е. это почти что руткит, только наоборот.
    Заголовок " Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab", лучше исправить на "Rootkit.Win32.TDSS cleaner, утилита от eSage Lab для удаления троянца TDSS" чтобы не прилипло в сознании простых пользователей, что eSage Lab пишет руткиты, поскольку руткит - это почти антируткит .

  15. #14
    eSage Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.05.2007
    Адрес
    Moscow
    Сообщений
    4
    Вес репутации
    94
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    Алиса, а упаковка действительно поможет от реверсинга грамотным человеком ?
    Подозреваю, автор(ы) TDSS достаточно грамотны, чтобы снять защиту.
    Если так - смысл в такой упаковке ?

    Добавлено через 17 минут

    А вреда она принесёт немало - многие побоятся утилиту как использовать, так и советовать. По вполне понятным причинам.
    Вред приносит заражение руткитом. А страх запускать утилиту, на которую любой живой вирусный аналитик (в отличие от некачественной эвристики) скажет "clean" - это глупость, а не вред.

    Вообще, что касается ложных срабатываний - в случае сомнений рекомендую смотреть на вердикт Kaspersky в выдаче мультисканнера. В ЛК очень серьезно относятся к ложным срабатываниям (об этом позволяет судить мой прошлый опыт работы в "Лаборатории").

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    При проверке автозагрузки вылазит вот такое окно:
    Изображения Изображения
    • Тип файла: jpg 1.JPG (41.2 Кб, 49 просмотров)

  17. #16
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    по-моему, это относится к категории "Known bugs"
    // ...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от priv8v Посмотреть сообщение
    по-моему, это относится к категории "Known bugs"
    Да.
    Known bugs:
    * в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.
    The worst foe lies within the self...

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Сейчас опробовал на новом сампле, все удалила без проблем, отличная вещь

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    # Обновление утилиты TDSS remover

    Новое в версии 1.4: улучшен механизм поиска скрытых файлов (поддержка новых версий руткита); добавлена полная поддержка Windows 7. Исправлены мелкие баги.
    The worst foe lies within the self...

  21. #20
    Junior Member Репутация
    Регистрация
    18.06.2010
    Сообщений
    1
    Вес репутации
    51
    TDSS Cleaner начинает проверку, находит несколько зараженных файлов и почти сразу вылетает в синий экран (не завершив проверку до конца, i.e.). Подскажите, в чем проблема?

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 11.02.2010, 15:01
  2. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
    От Shanna в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 24.01.2010, 17:42
  3. Rootkit.win32.tdss.d
    От DmitryMaslennikov в разделе Помогите!
    Ответов: 21
    Последнее сообщение: 03.01.2010, 23:13
  4. Rootkit.Win32.TDSS.a
    От nest в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 08.07.2009, 09:36
  5. Rootkit.Win32.TDSS.a
    От graybk в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 14.06.2009, 11:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00379 seconds with 18 queries