Vba32 AntiRootkit 3.12.*.* beta

Тема в разделе "Антируткиты", создана пользователем sergey ulasen, 15 мар 2011.

  1. K_Mikhail
    Оффлайн

    K_Mikhail Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    У меня на VirtualBox-е нормально отрабатывает -- сейчас перепроверил.
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.777
    Симпатии:
    14.110
    После запусков Vba32 AntiRootkit обнаружил файл
    Код (Text):
    C:\WINDOWS\system32\drivers\7j9yb4ua.sys
    который позиционируется как Vba32 Armour Driver.

    Каков механизм чистки драйверов?
     
    1 человеку нравится это.
  3. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    В обычном режиме драйвер удалится автоматически после закрытия программы.
    Если устанавливался режим Extended driver, то его необходимо деинсталлировать после использования.
     
  4. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.614
    Симпатии:
    2.322
    взялся сеня за лог и работу с VBA //
    вот момент (кстати в справке у вас как то не очень описано работа по удалению файлов) к примеру я вижу по логу зловреда, как я его удаляю.. получается только через проводник файловой системы (вкладка File System Explorer) я вручную нахожу необходимый файл и уже совершаю действия?? если только так пока, то это очень плохо!!! так как эти действия будут совершаться пользователями и не факт что они сделают по инструкции все.. или не промахнуться файлом..
    далее предположим что будет делаться по инструкции и в имени файла будет все сверяться до буковки.. но это если их до 10 например то можно еще.. а если их больше.. 20-40 -150 ?? каждый вручную удалять??
    если только так удаление то может сделать поиск какой нить (не нашел ) по имени файла??
    опять же как у нас по поводу карантина и сохранения копии удаляемого файла на случай ошибки, дабы в последствии восстановить его?

    Пожелания - добавить (изменить-подкорректировать уже те что есть) в справку пункты
    Работа с файлами\драйверами
    Работа со службами
    где простое описание как добраться до объекта и какие действия можно над ним совершить, и что я получу в результате, желательно с примером.

    по сохранению лога, либо сохранять по умолчанию в корень системного диска (при закрытии программы) либо в конце сканирования чтоб выводилась запись если хотите сохранить в определенное место выполнить следующие действия и сохранить туда то. ну или что то типа такого..

    Добавлено через 42 минуты 31 секунду
    кстати интересный момент, по логу вижу
    а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)
    он без описания и прочего..он патчен??
    лог прилагаю.

    и кстати раз уж смотрим лог то как понимать строки
    в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBA

    Добавлено через 5 минут 45 секунд
    Кстати в хроме галка Don't display trusted работает в FF не работает.. так же стоит no script и там в доверенных..
     
    Последнее редактирование: 21 мар 2011
  5. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Сейчас доступны два метода удаления файлов:

    1) Delete File - обычное удаление файла;
    2) Wipe File - затирание файла нулями на низком уровне.

    Delete File теперь несколько дубовый, т.к. реализует обыкновенное удаление. Потому от реальных троянов поможет мало. Но после того, как в текущей бета-версии мы сделали перечисление дескрипторов, а в следующей сделаем функцию CloseHandle, то вскоре появится и более продвинутый Force Delete.

    Функции Delete File и Wipe File доступны из проводника Low-Level-Disk-Access. Функция Wipe File доступна из окон Kernel Modules и Process Manager. Т.е. нужный файл можно завайпить, к примеру, из окна Kernel Modules, выбрав его в списке и вызвав контекстное меню или горячую клавишу.

    В качестве средства удаления троянов для хелперских форумов я бы вообще не рекомендовал сейчас антируткит. Тут нужно ждать скрипты. Иначе это может привести к большим проблемам, в том числе, и к описанным вами.

    Только вместе со скриптами. Сейчас доступна функция Copy File.

    Хелп будем набивать инфой по мере выхода бета-версий.

    Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit. В корень, наверное, все же не стоит. Как-то это некрасиво совсем.

    Если пользователь сделал лог, но не сохранил его, то перед выходом из приложения ему выводится соответствующее предупреждение.

    В поле Information написано File doesn't exist, т.е. файл на диске не существует. Т.е. в память он загружен, а на диске его нет. Потому в проводнике вы его и не нашли.

    Zombie Process - это некорректно завершенный процесс, на который остались незакрытые дескрипторы в системе, незавершенные операции ввода/вывода и др. А в вашем случае, исполнимый файл еще и подписан цифровой подписью.

    Готов подробнейшим образом на них ответить :)

    Беда какая-то. Будем разбираться.

    Добавлено через 8 минут 54 секунды
    Кстати, на NT Internals автор чуток перемудрил первоначально и теперь в Hidden Dynamic-Link Library Detection Test у нас все плюсики :)
     
  6. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    Ссори, что влезаю в серьезный мужской разговор. Дело в том, что до лога добиралась длительно, ибо после предложения сканировать в защищенном режиме софтина подвешивала мне систему. Читала на другом ресурсе, что в беде я не одинока-чем лечить?
     
  7. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    1.992
    %username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.log
    Галка Don't display trusted работает в FF не работает даже без установленного no script
     
  8. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    ;)

    Вы запустили антируткит в режиме выделенного рабочего стола (dedicated desktop). В данном режиме антируткит запускается с включенной по-умолчанию опцией Vba32 Defender, которая блокирует запуск новых процессов и загрузку новых драйверов. Соответственно, все это может вызывать проблемы, потому что блокируются абсолютно все процессы и драйвера.
    Лечиться это доработкой данного механизма, который в будущем станет более избирательным и интеллектуальным.
    Сейчас же советую соблюдать мою рекомендацию, которую я дал в своем первом посте:

    Кроме того, возможно в ближайшие пару недель мы выпустим новый билд бета-версии, в которой уберем фокус с кнопки YES при выборе режима запуска приложения, чтобы уменьшить вероятность попадания в такую ситуацию.

    Есть рекомендации Майкрософт на этот счет. И они говорят об использовании профиля юзера для сохранения настроек, логов и т.д. И это правильно.

    Понятно, спасибо.
     
  9. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.614
    Симпатии:
    2.322
    тогда все переходит в вялое обсуждение.. ждем релизов..
    не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.
    ссылки не открылись..

    ну опят же..ждем скриптов для теста и продолжим.
     
  10. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    А возможно временно снимем умолчательное положение с Vba32 Defender. Пока еще окончательно не решили.

    Предпочитаем прислушиваться к рекомендациям компании, на операционной системе которой работает продукт :)

    Да вроде открываются.

    Внимание сообщества к скриптам понятно :)
     
  11. Rashevskiy
    Оффлайн

    Rashevskiy Активный пользователь

    Сообщения:
    142
    Симпатии:
    381
    Ну скрипты конечно вещь тонкая и нужная, но в данном анти-рутките есть много и другого интересного функционала.
     
    2 пользователям это понравилось.
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.777
    Симпатии:
    14.110
    а никто это не отрицает. Просто сейчас обратная связь при удалённом лечении размыта.
     
    1 человеку нравится это.
  13. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.754
    Симпатии:
    3.268
    XP SP3 (FAT32) KIS2009
    - не запускается .

    Ругается на неподдерживаемую файловую систему.

    Почему бы не сделать чтобы утилита сама определяла локализацию и подключала нужный язык ?
     
    2 пользователям это понравилось.
  14. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Попробуйте выполнить следующую команду для своего FAT32 раздела:

    chkdsk /f

    После этого попробуйте запустить антируткит еще раз.
    Только, пожалуйста, отпишитесь о результатах :)

    Сейчас только интерфейс с английской локализацией доступен. Про русский могу сказать, что он в планах. Но не могу пообещать, что в ближайшем будущем сделаем.

    Как-то так случилось, что данный вопрос не выходил у меня из головы целый день. И я решил немного прояснить эту ситуацию, чтобы, возможно, снять некоторые вопросы.

    Мы считаем, что на теперешнем этапе развития продукта, приоритетным направлением является разработка новой функциональности, которая позволяет обнаруживать вредоносные объекты и бороться с ними. Параллельно сражаясь за стабильность данного функционала. И только после того, как данный функционал не будет вызывать нареканий со стороны пользователей (и нашей испытательной лаборатории), можно приступать к реализации скриптового языка.
    Потому, пока мы не выпоним свою программу-минимум по функционалу, за скрипты мы браться не станем.
    Еще раз повторю, что мы также заинтересованы в скриптах, потому что у нас есть своя служба тех. поддержки, которая решает приблизительно теже задачи, что и Хелперы.
    Ну и завершу тем, что, как сказал выше Рома, антируткит способен решать многие задачи, и не все они завязаны на скрипты. Я думаю, что многие здесь "лечат" компьютеры не только удаленно, но и вживую. Кто-то друзьям, кто-то зарабатывает этим деньги. Возможно Хелперы изучают последние образцы malware, высаживая их на тестовых машинах и анализируя, как они детектятся теми или иными продуктами. Может быть кто-то идет дальше и изучает вредоносы "под микроскопом" с помощью отладчиков, тогда антируткит может быть полезен тем, что предоставляет тучу полезной информации об адресах разных структур, которые нужны для ускорения анализа. И т.д.
    Суммируя все это, я уверен, что даже до того, как антируткит научится работать со скриптами, он будет интересен и в сообществе Хелперов.
     
    1 человеку нравится это.
  15. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.754
    Симпатии:
    3.268
    Уже невозможно - конвертировал раздел в NTFS. :)
     
  16. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Тоже правильно :)

    Все проблемы с антируткитом и FAT, которые наблюдались до сих пор, возникали из-за ошибок в ФС. Чекдиск всегда помогал.
     
    1 человеку нравится это.
  17. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.614
    Симпатии:
    2.322
    ага доберусь в живую до компа опробую отпишусь.
    кстати как у нас обстоят обработкой MBR
     
  18. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
     
  19. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.614
    Симпатии:
    2.322
    я не говорю об определении модифицирован он ли нет, а о фиксе, привести MBR в изначальный.
     
  20. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Нет, это следующий шаг после детектирования.