Bardzo ciekawy rootkit.
Co potrafi można zobaczyć tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
Poczytać tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
I moje pytanie: posiada ktoś tą próbkę? Jeśli tak to poproszę 
To jeszcze jeden linkdo poczytania
[Aby zobaczyć linki, zarejestruj się tutaj]
Opisywany plik do zassania z offensivecomputing.net
ananael napisał(a):z offensivecomputing.net
strona jest mi znana i próbowałem znaleźć, ale:
- po wpisywaniu zero access nic nie znajduje,
- po wpisaniu zeroaccess długo szuka i nie może poszukać.
Dodano: 20 sie 2011 00:14
Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać nie ma spektakularnej wykrywalności.
w artykule jest MD5 droppera: d8f6566c5f9caa795204a40b3aaaafa2
na offensivecomputing jest ten plik
A 8f2bb1827cac01aee6a16e30a1260199 to pewnie tylko jeden z komponentow rootkita, po rozmiarze wnioskuje, ze aktywnosc tego pliku tez nie jest spektakularna
Dziękuje bardzo
Więc zgromadziłem 3 podejrzanych:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Rootkit o tyle ciekawy, że zabija wszelkie narzędzie skanujące, modyfikuje ich pliki tam, że nie są już zdolne do pracy.
Ponadto posiada silne moduły samoochrony.
Zobaczymy
jak można to złapać? :p
Dodano: 20 sie 2011 00:57
Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect?
shinjiru napisał(a):jak można to złapać? :p
pewnie tak samo jak wszystko inne
shinjiru napisał(a):Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect?
no ale to juz jest - antywirusy czesto posiadaja systemy ochrony wlasnych plikow
hm, ale mi chodzi o coś takiego co by to blokowało tak... no podczas jego akcji? nie wiem pewnie d+ i inne już zainstalowane dadzą sobie z tym radę
Widziałem w logach ze skanu KISa że to było, mogę przeskanować i wrzucić do osobnego pliku, będzie dla wszystkich
Bardzo fajnie, jak byś wstawił.
Jak wyglądają nazwy sygnatur? Wszystkie z ZAccess?
najwyzje cos podobnego, typu 0Access badź ZeroAccess.
BTW Komp, który był tym zainfekowany, był chroniony NISem 2011, nie mówiąc o 300 innych infekcjach znalezionych przez MBAM
szukaj ZAccess, ZeroAccess, Sirefef, starsze wersje Kaspersky wykrywal jako PMax
szukam po zaccess, były nawet w miesiącu 06.2011
warianty rootkit/backdoor
za niedługo wstawię.
morphiusz napisał(a):Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać nie ma spektakularnej wykrywalności.
Ważne że EAM chwyta co mnie cieszy...
24 różne ZAccess to ze skanu kaspersky:
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass: sg[/malware]
06, 07, 08 do 20.08.2011
Przewaga wariantów backdoor, są tylko 2 rootkit wg. kaspra. Tyle z działu naszego malware.
Dodano: sobota, 20 sierpnia 2011, 12:33
Przydało się?, cisza na razie jest
Na razie męcze tego Twojego droppera, oczywiście paczka się przyda, dzięki.
Dam znać co i jak.
he no do kolekcji bardzo ciekawy malware
Na ile się da to pomagam.
W kolekcji cały czas jest, jak ktoś ma wszystkie paczki.
Ale jak trzeba to można znaleźć po nazwach albo po MD5
i jeszcze co nieco o tym rootkicie
Specjaliści przeanalizowali wysoko zaawansowanego rootkita, który jest prawdopodobnie dziełem Russian Business Network. Szkodliwy program ZeroAccess został napisany tak, by nie był podatny na analizy kodu. Jednak takiej szczegółowej analizy udało się dokonać Giuseppe Bonfie z InfoSec Institute. Jego praca pokazała, że niemal niemożliwe jest usunięcie rootkita bez uszkodzenia systemu, który zainfekował. Ponadto szkodliwy kod używa języków programowania niskiego poziomu do utworzenia na dysku twardym woluminów, które są niewykrywalne przy użyciu standardowych technik.
Eksperci chwalą prace Bonfy, podkreślając, że rootkit korzysta z niezwykle zaawansowanych technik, a jego przeanalizowanie daje wgląd w techniki tworzenia, instalowania i zarządzania rootkitami.
Teraz, dzięki Bonfie, możliwe będzie łatwiejsze usuwanie ZeroAccess, który jest obecnie wykorzystywany przez cyberprzestępców do instalowania fałszywego oprogramowania antywirusowego.