Сравнительно новый антируткит китайского происхождения.
Блог, в котором сообщается о выходе новых версий (на китайском): http://huaidan.org/archives/2781.html
Последняя версия - 0.28.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Что-то у меня нет желания даже проверять этот антируткит. Неизвестно, антируткит это вообще или очередная подделка.
P.S. Название смешное)
Кто-нибудь попробовал его?
Последний раз редактировалось craftix; 16.11.2009 в 15:58.
Как и в менеджерах автозапуска, скажем, и в антируткитах несколько разная картина по определению и выводу информации... Два дня ломал голову над двумя компьютерами, на которых сабж в разделе Модули Кернела показывал красным Suspicius driver object, две штуки, а сохранять дампы отказывался. Снимать с памяти - пожалуйста, но они появлялись сразу же. Другие утилиты по теме не видели такого. Не знаю, сколько времены это продолжалось бы, - а должно было, потому что на обоих компах несколько месяцев назад были TDSS, и было подозрение, что это от них, - если бы по догадке не удалил sptd от Daemon Tools в.4. А, между прочим, sptd и spxx отображались отдельно. Удалил, и объектов сдуло как ветром. Кстати, на компьютере, где был Daemon Tools классической версии 3.47, "объектов" по сабжу не было.
Эти "объекты" говорят в пользу сабжа, или наоборот?
Дело не в Daemon Tools, а в SPTD. Трудно сказать, хорошо ли, что он их видит, или плохо: на этот драйвер все антируткиты реагируют специфично, дело привычки - это не замечать.
Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld
SPTD удалял после DT отдельно, разумеется. Который тоже не замечаю (а что, если на нем подцеплено что-нибудь ещё более руткитное, чем он сам, с самозащитой в порядке? ), но речь была о "подозрительных объектах типа драйвера", которых со старой версией DT (и sptd) нет. И о том, корректно ли сабж этих "подозрительных", кроме обычных sptd и sp??, определял. Если правильно, это будет плюсом по сравнению с аналогами, если нет - минусом.
Последний раз редактировалось Erekle; 09.03.2010 в 04:16.
The PTR associated with this record appears to be deliberately invalid (if no hostname is specified, it should fail resolution). Chances are high that this is a malicious IP.
Эти ресурсы , тем более всякие антивирусные и прочее не должны быть отмечены что на них могут быть вирусы, подозрение на трояны, тучи эксплойтов иначе мы туда не будем ходить, чем больше будет подозрений, тем меньше будем ходить