Vba32 AntiRootkit 3.12.*.* beta

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
398
Определить IP которые наиболее часто блокируются (АВ компании и т.д.) ну и подкрашивать их красным.
Все это упирается в необходимость таскать с собой базы (и, соотетственно, их поддерживать).
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
Все это упирается в необходимость таскать с собой базы (и, соотетственно, их поддерживать).
Это да, но с другой стороны сайтов вендоров не так уж много, и IP свои они меняют не так часто.

Как насчёт удаления буткитов?
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
398
Это да, но с другой стороны сайтов вендоров не так уж много, и IP свои они меняют не так часто.

Как насчёт удаления буткитов?
Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.
 

K_Mikhail

Активный пользователь
Сообщения
6
Реакции
0
Баллы
381
Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.
В качестве живого примера детектирования буткита по косвенным признакам: лог антируткита на инфицированной TDL4 машине. В Kernel Modules жёлтым светится atapi.sys и соответствующие IRP перехваты.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
Хорошо, вот тогда еще лог. Буткит или нет?
 

Вложения

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Я пока не готов принимать какие-то feature requests на эту тему, потому что следующий скоуп задач на разработку уже сформирован
Сергей, привет. Надеюсь тебе тут понравится :)

В FR попало то, о чём мы с тобой общались? Я про снимки и сравнение.

Добавлено через 1 минуту 32 секунды
Мишка, и ты здесь? :)

Добавлено через 7 минут 2 секунды
А, Костя, подлец :) Учи тебя после этого и образцы давай :)
Если в логе не заметить одну строчку - никогда не узнаешь, что это. А заметив строчку - сразу понимаешь без ошибок :)
 

K_Mikhail

Активный пользователь
Сообщения
6
Реакции
0
Баллы
381

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Что ж ты так, Миша. Я ж тебе его сэмпл даже присылал ;)

Добавлено через 2 минуты 20 секунд
Даю времени часов 12 - пока буду спать. Если сдадитесь - покажу :)
Кстати, тут оригинальная ситуация несколько гибридного типа. Инфекция и есть - и с другой стороны перехватов не ставит и увидеть её как бы и невозможно. Но она есть, учитывая то, что не утиль не видит модификацию MBR, то остался всего один признак ;)
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
398
Сергей, привет. Надеюсь тебе тут понравится :)
Привет! Спасибо за рекомендацию :)

В FR попало то, о чём мы с тобой общались? Я про снимки и сравнение.
Попало, конечно. У меня в этом плане ничего не пропадает. Миша может подтвердить ;)

Хорошо, вот тогда еще лог. Буткит или нет?
В логе смущает следующее:

1) большое количество перехватов. Но это последствия запуска тулзы на виртуалке;

2) файл TlmetxD.dll, прилепленный через Parameters\ServiceDll к svchost.exe. При этом служба имеет название Network Connections, а в файле он имеет Description: Battery Meter Helper DLL. Гугл по его поводу тоже молчит;

3) файл VBoxWindowsAdditions.exe прописан в autorun.inf на диске d:\ . Я такого не встречал;

4) ну и IDA, прописанная в правилах виндового фаервола, тоже настораживает.

Все, вроде ничего больше не вижу.

Добавлено через 37 минут 52 секунды
3) файл VBoxWindowsAdditions.exe прописан в autorun.inf на диске d:\ . Я такого не встречал;
Тут подсказали, что это стандартная фича в VBox.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Последняя подсказка:
Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\WINDOWS\system32\userinit.exe,
- почему он не подписан? ;)

Добавлено через 1 минуту 24 секунды
P.S. Кстати - вот эти очень удобные галочки "Don't display trusted..." и так далее - у меня в FF почему-то не работают :(
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
398

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Вооот! Если удалить и поставить оригинальный - опять пропатчиться. При этом постоянно тянется какая-то зараза из интернета. Итого - кто это? ;)

FF 3.6.15, NoScript стоит, но тут он разрешён. Иначе бы в логах AVZ тоже не срабатывало. Хм, не знаю даже...
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
398
Вооот! Если удалить и поставить оригинальный - опять пропатчиться. При этом постоянно тянется какая-то зараза из интернета. Итого - кто это? ;)
Если тянется из Интернета, то downloader ;)

Не буду ничего утверждать, я сам такого сэмпла до сих пор не видел.

FF 3.6.15, NoScript стоит, но тут он разрешён. Иначе бы в логах AVZ тоже не срабатывало. Хм, не знаю даже...
На самом деле, ты уже третий, кто говорит об этой проблеме. Перед выходом беты производилось тестирование на IE, Opera, FF, Chrom. Проблем тогда не обнаружили. Надо будет перепроверять.
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
Тогда хоть добавьте возможность скопировать MBR в файл. :)
 

K_Mikhail

Активный пользователь
Сообщения
6
Реакции
0
Баллы
381
Что ж ты так, Миша. Я ж тебе его сэмпл даже присылал ;)
:p Ты ещё Trojan.Alipop не видел. Там догадаться вообще хз как, мне только Xuetr в своё время подсказал, куда копать нужно. :training1:
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Серьёзно? Хм, надо будет посмотреть. Он на виртуалке нормально дропается или только на физе?

Кстати, Костя, неплохо бы тему сделать по обсуждению обнаружения всякой изощрённой заразы.
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
Сверху Снизу