Тестирование Vba32 AntiRootkit 3.12.*.* beta

[K_Mikhail]

Я о списке persistent routes

А, сорри, не обратил внимания.

 

[sergey ulasen]

Определить IP которые наиболее часто блокируются (АВ компании и т.д.) ну и подкрашивать их красным.

Все это упирается в необходимость таскать с собой базы (и, соотетственно, их поддерживать).

 

[akok]

Все это упирается в необходимость таскать с собой базы (и, соотетственно, их поддерживать).

Это да, но с другой стороны сайтов вендоров не так уж много, и IP свои они меняют не так часто.

Как насчёт удаления буткитов?

 

[sergey ulasen]

Это да, но с другой стороны сайтов вендоров не так уж много, и IP свои они меняют не так часто.

Как насчёт удаления буткитов?

Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.

 

[K_Mikhail]

Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.

В качестве живого примера детектирования буткита по косвенным признакам: лог антируткита на инфицированной TDL4 машине. В Kernel Modules жёлтым светится atapi.sys и соответствующие IRP перехваты.

 

[akok]

Хорошо, вот тогда еще лог. Буткит или нет?

 

[gjf]

Я пока не готов принимать какие-то feature requests на эту тему, потому что следующий скоуп задач на разработку уже сформирован

Сергей, привет. Надеюсь тебе тут понравится

В FR попало то, о чём мы с тобой общались? Я про снимки и сравнение.

Добавлено через 1 минуту 32 секунды
Мишка, и ты здесь?

Добавлено через 7 минут 2 секунды
А, Костя, подлец Учи тебя после этого и образцы давай
Если в логе не заметить одну строчку - никогда не узнаешь, что это. А заметив строчку - сразу понимаешь без ошибок

 

[K_Mikhail]

Хорошо, вот тогда еще лог. Буткит или нет?

Судя по реакции gjf, я не вижу нужную строчку.

Добавлено через 57 секунд

Мишка, и ты здесь?

И тебе привет!

 

[gjf]

Что ж ты так, Миша. Я ж тебе его сэмпл даже присылал

Добавлено через 2 минуты 20 секунд
Даю времени часов 12 - пока буду спать. Если сдадитесь - покажу
Кстати, тут оригинальная ситуация несколько гибридного типа. Инфекция и есть - и с другой стороны перехватов не ставит и увидеть её как бы и невозможно. Но она есть, учитывая то, что не утиль не видит модификацию MBR, то остался всего один признак

 

[sergey ulasen]

Сергей, привет. Надеюсь тебе тут понравится

Привет! Спасибо за рекомендацию

В FR попало то, о чём мы с тобой общались? Я про снимки и сравнение.

Попало, конечно. У меня в этом плане ничего не пропадает. Миша может подтвердить

Хорошо, вот тогда еще лог. Буткит или нет?

В логе смущает следующее:

1) большое количество перехватов. Но это последствия запуска тулзы на виртуалке;

2) файл TlmetxD.dll, прилепленный через Parameters\ServiceDll к svchost.exe. При этом служба имеет название Network Connections, а в файле он имеет Description: Battery Meter Helper DLL. Гугл по его поводу тоже молчит;

3) файл VBoxWindowsAdditions.exe прописан в autorun.inf на диске d:\ . Я такого не встречал;

4) ну и IDA, прописанная в правилах виндового фаервола, тоже настораживает.

Все, вроде ничего больше не вижу.

Добавлено через 37 минут 52 секунды

3) файл VBoxWindowsAdditions.exe прописан в autorun.inf на диске d:\ . Я такого не встречал;

Тут подсказали, что это стандартная фича в VBox.

 

[gjf]

Последняя подсказка:

Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\WINDOWS\system32\userinit.exe,

- почему он не подписан?

Добавлено через 1 минуту 24 секунды
P.S. Кстати - вот эти очень удобные галочки "Don't display trusted..." и так далее - у меня в FF почему-то не работают

 

[sergey ulasen]

Последняя подсказка:
- почему он не подписан?

Пропатчен ?

P.S. Кстати - вот эти очень удобные галочки "Don't display trusted..." и так далее - у меня в FF почему-то не работают

Какая версия FF ? Скрипты разрешены ?

 

[gjf]

Вооот! Если удалить и поставить оригинальный - опять пропатчиться. При этом постоянно тянется какая-то зараза из интернета. Итого - кто это?

FF 3.6.15, NoScript стоит, но тут он разрешён. Иначе бы в логах AVZ тоже не срабатывало. Хм, не знаю даже...

 

[sergey ulasen]

Вооот! Если удалить и поставить оригинальный - опять пропатчиться. При этом постоянно тянется какая-то зараза из интернета. Итого - кто это?

Если тянется из Интернета, то downloader

Не буду ничего утверждать, я сам такого сэмпла до сих пор не видел.

FF 3.6.15, NoScript стоит, но тут он разрешён. Иначе бы в логах AVZ тоже не срабатывало. Хм, не знаю даже...

На самом деле, ты уже третий, кто говорит об этой проблеме. Перед выходом беты производилось тестирование на IE, Opera, FF, Chrom. Проблем тогда не обнаружили. Надо будет перепроверять.

 

[gjf]

Сергей, это Smitnyl. См. тут и тут.

 

[sergey ulasen]

Сергей, это Smitnyl. См. тут и тут.

:victory:

 

[akok]

Тогда хоть добавьте возможность скопировать MBR в файл.

 

[K_Mikhail]

Что ж ты так, Миша. Я ж тебе его сэмпл даже присылал

Ты ещё Trojan.Alipop не видел. Там догадаться вообще хз как, мне только Xuetr в своё время подсказал, куда копать нужно. :training1:

 

[gjf]

Серьёзно? Хм, надо будет посмотреть. Он на виртуалке нормально дропается или только на физе?

Кстати, Костя, неплохо бы тему сделать по обсуждению обнаружения всякой изощрённой заразы.

 

[akok]

Кстати, Костя, неплохо бы тему сделать по обсуждению обнаружения всякой изощрённой заразы.

Если нужно сделаем за конкретикой в ICQ обсуждать.