No, tworcy tego "cuda" dali czadu. Pierwszy raz slysze, zeby wirus tworzyl woluminy...
mianowicie chodzi o to że stosuje technik niskiego poziomu czyli języka programowania Asambler gdzie można infekować (programować) dane sterowniki-kontrolery przy próbie odczytu powoduje unieruchomienie danego narzędzia-programu
No to niezle... Jak to mozna usunac? Live CD chyba nie da rady z tym.
F-secure 2012
24/24 (100%!)
yaslaw, to chyba nic szczególnego, bo CIS też 100%
Tommy pisal, ze w tej paczce jest duzo backdoorow, a rootkitow chyba tylko 2, no ale te 2 sa wykrywane
Emsisoft wykrywa jako Backdoor Backdoor.Win32.ZAccess!IK
[Aby zobaczyć linki, zarejestruj się tutaj]
MSE wykrywa jako Backdoor:Win32/Smadow
[Aby zobaczyć linki, zarejestruj się tutaj]
avast! 24/24 (100%)
Screen:
[Aby zobaczyć linki, zarejestruj się tutaj]
To są tylko próbki, które wyciągłem z loga kaspra. Modyfikacjii jest pewnie bardzo, bardzo dużo.
Ale wazne, ze chociaz te, rownie grozne probki, antywirusy wykrywaja koncertowo.
morphiusz ta wersja którą miał twój kolega to ta sama która radzi sobie z automatyczną piaskownicą CISa? (przynajmniej na partially limited) - temat w dziale beta dostępny tylko dla zarejestrowanych
[Aby zobaczyć linki, zarejestruj się tutaj]
egemen napisał(a):languy99 napisał(a):you guys can download the analysis here, this should lead to some clues as to how the infections happens.
[Aby zobaczyć linki, zarejestruj się tutaj]
Thanks for the analysis Languy. So it exploits JAVA and drops malware. Then the malware is executed. After the execution, it seems to be copying an executable to adobe plugins folder and
We will need to further anlayze whats going on. It seems it is trying to drop some files to adobe plugins folder and create shell keys. All of these would be blocked by CIS normally.
However there may be something iit is using that we must understand. Once we know what it is doing, i will let you know.
Be assured that if there are any problems in HIPS to lets such an infection, it will be fixed immediately to prevent this threat.
Bardzo podobny jak nie ten sam.
Trudno mi ocenić.
morphiusz napisał(a):Bardzo podobny jak nie ten sam.
Trudno mi ocenić.
chyba jednak ten sam z tego co widzę sumy kontrolne są identyczne
No to rzeczywiście ten sam
Symantec o ZeroAccess:
[Aby zobaczyć linki, zarejestruj się tutaj]
To jest tu najlepsze - removal:Easy
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Próbka nowej wersji z dnia wczorajszego.
Hasło do archiwum to nazwa pliku.
Avast 6 Wykrywa