Vba32 AntiRootkit 3.12.*.* beta

Определить IP которые наиболее часто блокируются (АВ компании и т.д.) ну и подкрашивать их красным.

Все это упирается в необходимость таскать с собой базы (и, соотетственно, их поддерживать).
 
Все это упирается в необходимость таскать с собой базы (и, соотетственно, их поддерживать).

Это да, но с другой стороны сайтов вендоров не так уж много, и IP свои они меняют не так часто.

Как насчёт удаления буткитов?
 
Это да, но с другой стороны сайтов вендоров не так уж много, и IP свои они меняют не так часто.

Как насчёт удаления буткитов?

Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.
 
Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.

В качестве живого примера детектирования буткита по косвенным признакам: лог антируткита на инфицированной TDL4 машине. В Kernel Modules жёлтым светится atapi.sys и соответствующие IRP перехваты.
 

Вложения

  • Vba32ArkitLog_2011-3-18_22-33-10_TDL4.zip
    12.4 KB · Просмотры: 7
Хорошо, вот тогда еще лог. Буткит или нет?
 

Вложения

  • Vba32ArkitLog.zip
    140.3 KB · Просмотры: 12
Я пока не готов принимать какие-то feature requests на эту тему, потому что следующий скоуп задач на разработку уже сформирован
Сергей, привет. Надеюсь тебе тут понравится :)

В FR попало то, о чём мы с тобой общались? Я про снимки и сравнение.

Добавлено через 1 минуту 32 секунды
Мишка, и ты здесь? :)

Добавлено через 7 минут 2 секунды
А, Костя, подлец :) Учи тебя после этого и образцы давай :)
Если в логе не заметить одну строчку - никогда не узнаешь, что это. А заметив строчку - сразу понимаешь без ошибок :)
 
Что ж ты так, Миша. Я ж тебе его сэмпл даже присылал ;)

Добавлено через 2 минуты 20 секунд
Даю времени часов 12 - пока буду спать. Если сдадитесь - покажу :)
Кстати, тут оригинальная ситуация несколько гибридного типа. Инфекция и есть - и с другой стороны перехватов не ставит и увидеть её как бы и невозможно. Но она есть, учитывая то, что не утиль не видит модификацию MBR, то остался всего один признак ;)
 
Сергей, привет. Надеюсь тебе тут понравится :)

Привет! Спасибо за рекомендацию :)

В FR попало то, о чём мы с тобой общались? Я про снимки и сравнение.

Попало, конечно. У меня в этом плане ничего не пропадает. Миша может подтвердить ;)

Хорошо, вот тогда еще лог. Буткит или нет?

В логе смущает следующее:

1) большое количество перехватов. Но это последствия запуска тулзы на виртуалке;

2) файл TlmetxD.dll, прилепленный через Parameters\ServiceDll к svchost.exe. При этом служба имеет название Network Connections, а в файле он имеет Description: Battery Meter Helper DLL. Гугл по его поводу тоже молчит;

3) файл VBoxWindowsAdditions.exe прописан в autorun.inf на диске d:\ . Я такого не встречал;

4) ну и IDA, прописанная в правилах виндового фаервола, тоже настораживает.

Все, вроде ничего больше не вижу.

Добавлено через 37 минут 52 секунды
3) файл VBoxWindowsAdditions.exe прописан в autorun.inf на диске d:\ . Я такого не встречал;

Тут подсказали, что это стандартная фича в VBox.
 
Последняя подсказка:
Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\WINDOWS\system32\userinit.exe,
- почему он не подписан? ;)

Добавлено через 1 минуту 24 секунды
P.S. Кстати - вот эти очень удобные галочки "Don't display trusted..." и так далее - у меня в FF почему-то не работают :(
 
Вооот! Если удалить и поставить оригинальный - опять пропатчиться. При этом постоянно тянется какая-то зараза из интернета. Итого - кто это? ;)

FF 3.6.15, NoScript стоит, но тут он разрешён. Иначе бы в логах AVZ тоже не срабатывало. Хм, не знаю даже...
 
Вооот! Если удалить и поставить оригинальный - опять пропатчиться. При этом постоянно тянется какая-то зараза из интернета. Итого - кто это? ;)

Если тянется из Интернета, то downloader ;)

Не буду ничего утверждать, я сам такого сэмпла до сих пор не видел.

FF 3.6.15, NoScript стоит, но тут он разрешён. Иначе бы в логах AVZ тоже не срабатывало. Хм, не знаю даже...

На самом деле, ты уже третий, кто говорит об этой проблеме. Перед выходом беты производилось тестирование на IE, Opera, FF, Chrom. Проблем тогда не обнаружили. Надо будет перепроверять.
 
Что ж ты так, Миша. Я ж тебе его сэмпл даже присылал ;)

:p Ты ещё Trojan.Alipop не видел. Там догадаться вообще хз как, мне только Xuetr в своё время подсказал, куда копать нужно. :training1:
 
Серьёзно? Хм, надо будет посмотреть. Он на виртуалке нормально дропается или только на физе?

Кстати, Костя, неплохо бы тему сделать по обсуждению обнаружения всякой изощрённой заразы.
 
Назад
Сверху Снизу