Очень интересная статья, gjf, но, к сожаленю, нет ссылок на источники.
И ещё вопрос: Как можно выявить признаки заражения этим вирусом без антивируса или спецтулзы и как противодействовать ему без использования спецутилит- т.е. механизм удаления вручную?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Dr., Вы правы, негоже упускать референс-ссылки. В основном я пользовался вот этими двумя материалами: этим и этим. Второе - логичное продолжение первого.
Добавлено через 5 минут
По признакам - тяжелее. Реально без антивирусного детекта инжектируемых библиотек в памяти и спецтулз выявить наличие вируса в системе невозможно. Косвенные признаки, как я и говорил - паразитный трафик, редирект страниц в браузере. Иногда при неудачной отработке заражения система падает в бсод при перезагрузке.
Эффективно помогает лечение с LiveCD - заражённый драйвер неактивен и прекрасно детектируется любым более или менее нормальным антивирусом. Раньше здорово лечилось с помощью ERD Commander: запускался поиск изменённых системных файлов, обнаруживался заражённый atapi.sys и просто заменялся оригинальным. Но сейчас в последней версии заражается случайный драйвер, необязательно atapi.sys, а потому потенциально это может быть не драйвер Windows, а потому он не будет проверен ERD Commander и не будет восстановлен из дистрибутива.
Последний раз редактировалось gjf; 12.05.2010 в 17:23. Причина: Добавлено
К сожалению помогает только LiveCd.
Вот, для примера, недавний случай:
Не помог и CureIt.
Dr., все лечится. Перепроверяйте заного. И TDSS Killer и KIS/KAV 2010 со свежими базами.
Dr., ничего сказать про удаление с помощью продуктов не могу. Danilka в этом смысле более компетентен. LiveCd и спецутилиты (от eSage, Norman и DrWeb) брать должны точно.
TDSS Killer от ЛК, возможно, и не возьмёт - но на этой неделе должен быть новый релиз этой утилиты.
На самом деле при вызове AddPrintProvidor не обязательно библиотека должна находится в system32. Тот же TDL3 создает свою библиотеку в temp каталоге.
Так же очень просто определить заражена ли машина TDL3 по создаваемому руткитом event-у. Его имя такое же, как значение параметра MachineGuid.
anti-malware.ru
Возможно теперь и лечится. На скриншоте AVPTool. У человека вообще антивируса не было установлено. После работы TDSS Killer и перезагрузки, детект вновь появлялся. Спорить не стану, но, как говорится за что купил, за то и продаю.Сообщение от Danilka
Сейчас попробуем попросить рассудить автора
Текущая релизная версия утилиты TDSSKiller не лечит последнюю модификацию, на этой неделе будет выпущена новая версия с совершенно новой концепцией детектирования / лечения TDSS (и других подобных руткитов).
технический релиз KAV/KIS 2011:
Песочница зависает при запуске в ней вируса; нет возможности снять процесс приложения, которое зависло в песочнице; КИС позволяет установить TDSS в реальную систему путём лишь частичного контроля руткита, а именно, первый исполняемый файл запускается и контролируется Контролем приложений, при этом второй запускается и Контролем приложений не контролируется, как следствие, происходит беспрепятственная установка драйвера руткита в ОС, при этом первому исполняемому файлу присваивается слабое ограничение с правом выхода в сеть; desktop-песочница работает плохо и затруднительна к повседневному применению; эвристик и BBS-эвристик проактивки работают аналогично 2010 без видимых улучшений; даже если драйвер TDSS удаляется из ОС, что происходит с большим трудом, его исполняемый файл и DLL остаются в ОС и работают в памяти
http://forum.kaspersky.com/index.php...&#entry1358553
http://club-symantec.ru/forum.php
После перезагрузки системы по идее это должно прекратиться, потому как внедрение библиотеки в процессы осуществляет драйвер. Конечно, антивирусный продукт должен выгружать библиотеку до лечения (оптимально) или же на крайний случай вызывать немедленную перезагрузку сразу после лечения (неоптимально).
Из ответов на вопрос - как распространяется вирус и как им можно заразиться.
Учитывая то, что сформирован ботнет, то один из самых известных способов - спам. Я не знаю, каковы реальные масштабы TDL3, но 80% офисного спама с вложениями приходит именно с этим зловредом. Типаж таков:
1. "Ля-ля-ля, Ваш провайдер изменил настройки почты. Чтобы применить новые настрйоки запустите прилагаемый файл."
2. (Сегодняшний кейс):
.Attention! We detected that someone was trying to steal your Twitter account password.
We strongly recomended you to download our secure module to protect account!
Please click on the link below:
http://twitter.com/Twitter_security_model_setup.zip
(Реальная ссылка редиректит на зловред, ссылка спрятана под html-тегами).
The Twitter Team
If you received this message in error and did not sign up for a Twitter account, click not my account (тут тоже спрятана та же ссылка).
Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter. For general inquiries or to request support with your Twitter account, please visit us at Twitter Support (и тут то же самое).
Итог понятен: никогда не открывайте вложения от неизвестных писем и тем более не проверенные антивирусом (хотя на новые версии иногда детект опаздывает). И учтите, что зачастую гиперссылки в письмах ведут вовсе не туда, куда кажется
Последний раз редактировалось gjf; 07.06.2010 в 18:39.
Ваши права в разделе
Ответить с цитированием
