Показано с 1 по 7 из 7.

BackDoor.Tdss.565

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    BackDoor.Tdss.565

    BackDoor.Tdss.565 представляет собой новую модификацию троянской программы-бэкдора, которая обеспечивает киберпреступникам полный контроль над зараженным компьютером. Уникальной особенностью BackDoor.Tdss.565 являются руткит-технологии, которые используются им для скрытия своего присутствия в системе.
    подробное описание вредоноса:
    http://www.drweb.com/static/BackDoor...%20TDL3%29.pdf

    Добавлено через 3 часа 52 минуты

    В продожение к описанию вредоноса, хотел добавить комментарии специалиста «Доктор Веб» о компоненте Shield антивируса Dr.Web., который теперь лечит такие руткиты. Взято с форума Dr.Web.

    ..Что такое вообще Шилд и как его использует антивирус? Шилд есть специальный драйвер, который запускается вместе со сканером и служит прослойкой между сканером и внутренним миром Windows. Т. е. сканер вместо обращений к ядру Windows, использует для этого Шилд, который используя низкоуровневые механизмы работы с памятью, процессами, потоками, дисками предоставляет сканеру доверенные данные. Особенность поведения Шилда заключается в том, что он старается не воздействовать на ОС, т. е. не ведет себя как антируткит, а если и восстанавливает какие-то перехваты, то там, где без этого невозможно обойтись, а таких мест очень мало.

    Когда ко мне в руки перешел проект Шилда (это случилось в декабре прошлого года и для меня это было большой неожиданностью; мало кому удается поработать в проектах по разработке антируткитов, а уж поработать в таком проекте как Шилд тем более; это очень и очень здорово), он уже был полнофункциональным и мощным слоем, защищающим сканер от зараженной системы. И все же в нем было одно уязвимое, в смысле функционала, место. Это ввод-вывод на внешние устройства, т. е. низкоуровневая работа с жесткими дисками и файловыми системами. Конечно, вектор направления здесь задают больше руткиты, они показывают Шилду в какую сторону нужно развиваться и что нужно дорабатывать в концептуальном плане. Нет руткитов, нет и функционала.

    Примерно в марте у нас зародилась идея о том, что нужно допиливать этот функционал, иначе мы останемся беззащитными перед такой угрозой, которая проявилась как новый tdss. Мы планировали разработать низкоуровневую подсистему работы с FS FAT32 и NTFS и чтобы ввод-вывод по возможности происходил на самом низком уровне, через драйверы портов жесткого диска. Тогда мы представить не могли с какими трудностями столкнемся при ее написании, официальной документации о ее внутреннем устройстве не было, так что приходилось ориентироваться на неофициальные источники и проводить больше времени в отладчике. Фортуна нам сопутствовала и где-то в начале сентября мы выпустили Шилд с запланированным функционалом, так что когда появился tdss, по существу, мы были готовы во все оружии. Теперь можно уверенно сказать, что это уязвимое место закрыто и Шилд стал еще мощнее и продвинутее по функционалу.
    Последний раз редактировалось SDA; 13.11.2009 в 13:49. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    119
    а не боитесь FS угробить? к примеру ваш драйвер что то пишет на диск, ОС этого не отследит так как драйвер работает напрямую, так что всяко может быть )
    или все таки дрова винды используются?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Шилд работает ниже. Вынужденно, поскольку новый TDSS заражает драйверы.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    119
    pig
    ну так я про то и говорю, ваш Шилд работает напрямую с портами HD , ОС в таком случае в принципе отследить его действия не может.
    Вот мне и интересно насколько все это надежно?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Я это новьё применял в бою два раза, боролись с конфикером. Зверь убит, система выжила. Другой статистики не имею.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    119
    pig
    я это у тому что к примеру
    1) наша ОС что то пишет на диск, диск шуршит контролер работает дма трансферит данные
    2) тут ваш драйвер ченить командует в 0х80 порт (вроде там у нас первый HD если память не изменяет), конфликт интересов так сказать ))))
    3) соответственно получим еггог

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Один раз из двух диск был SCSI и постоянно молотил. Что с ним зверь делал, я не понял, но тормозило всё по-страшному. Плюс там ещё и работа пыталась идти - прокси работал, почта, их логи велись, хоть и в час по чайной ложке.

Похожие темы

  1. Backdoor.Tdss.565, Backdoor.Tdss.4005 не могу удалить
    От NIX в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 08.02.2011, 15:51
  2. BackDoor.Tdss и т.д.
    От Folken в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 20.09.2010, 22:21
  3. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
    От Shanna в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 24.01.2010, 17:42
  4. BackDoor.Tdss.565
    От Uand в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 01.11.2009, 15:45
  5. backdoor.tdss.565
    От chiz1 в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 21.10.2009, 17:10

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00144 seconds with 16 queries