Rootkit ZeroAccess - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Malware Lab (https://safegroup.pl/forum-20.html) +--- Wątek: Rootkit ZeroAccess (/thread-3330.html) Strony:
1
2
|
Rootkit ZeroAccess - morphiusz - 19.08.2011 Bardzo ciekawy rootkit. Co potrafi można zobaczyć tutaj: [Aby zobaczyć linki, zarejestruj się tutaj] Poczytać tutaj: [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] I moje pytanie: posiada ktoś tą próbkę? Jeśli tak to poproszę Re: Rootkit ZeroAccess - ananael - 19.08.2011 To jeszcze jeden linkdo poczytania [Aby zobaczyć linki, zarejestruj się tutaj] Opisywany plik do zassania z offensivecomputing.net Re: Rootkit ZeroAccess - morphiusz - 19.08.2011 ananael napisał(a):z offensivecomputing.net strona jest mi znana i próbowałem znaleźć, ale: - po wpisywaniu zero access nic nie znajduje, - po wpisaniu zeroaccess długo szuka i nie może poszukać. Dodano: 20 sie 2011 00:14 Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę. [Aby zobaczyć linki, zarejestruj się tutaj] Jak widać nie ma spektakularnej wykrywalności. Re: Rootkit ZeroAccess - ananael - 19.08.2011 w artykule jest MD5 droppera: d8f6566c5f9caa795204a40b3aaaafa2 na offensivecomputing jest ten plik A 8f2bb1827cac01aee6a16e30a1260199 to pewnie tylko jeden z komponentow rootkita, po rozmiarze wnioskuje, ze aktywnosc tego pliku tez nie jest spektakularna Re: Rootkit ZeroAccess - morphiusz - 19.08.2011 Dziękuje bardzo Więc zgromadziłem 3 podejrzanych: [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Rootkit o tyle ciekawy, że zabija wszelkie narzędzie skanujące, modyfikuje ich pliki tam, że nie są już zdolne do pracy. Ponadto posiada silne moduły samoochrony. Zobaczymy Re: Rootkit ZeroAccess - shinjiru - 19.08.2011 jak można to złapać? :p Dodano: 20 sie 2011 00:57 Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect? Re: Rootkit ZeroAccess - ananael - 20.08.2011 shinjiru napisał(a):jak można to złapać? :p pewnie tak samo jak wszystko inne shinjiru napisał(a):Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect? no ale to juz jest - antywirusy czesto posiadaja systemy ochrony wlasnych plikow Re: Rootkit ZeroAccess - shinjiru - 20.08.2011 hm, ale mi chodzi o coś takiego co by to blokowało tak... no podczas jego akcji? nie wiem pewnie d+ i inne już zainstalowane dadzą sobie z tym radę Re: Rootkit ZeroAccess - tommyklab - 20.08.2011 Widziałem w logach ze skanu KISa że to było, mogę przeskanować i wrzucić do osobnego pliku, będzie dla wszystkich Re: Rootkit ZeroAccess - morphiusz - 20.08.2011 Bardzo fajnie, jak byś wstawił. Re: Rootkit ZeroAccess - tommyklab - 20.08.2011 Jak wyglądają nazwy sygnatur? Wszystkie z ZAccess? Re: Rootkit ZeroAccess - morphiusz - 20.08.2011 najwyzje cos podobnego, typu 0Access badź ZeroAccess. BTW Komp, który był tym zainfekowany, był chroniony NISem 2011, nie mówiąc o 300 innych infekcjach znalezionych przez MBAM Re: Rootkit ZeroAccess - ananael - 20.08.2011 szukaj ZAccess, ZeroAccess, Sirefef, starsze wersje Kaspersky wykrywal jako PMax Re: Rootkit ZeroAccess - tommyklab - 20.08.2011 szukam po zaccess, były nawet w miesiącu 06.2011 warianty rootkit/backdoor za niedługo wstawię. Re: Rootkit ZeroAccess - Piotrex44 - 20.08.2011 morphiusz napisał(a):Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę. Ważne że EAM chwyta co mnie cieszy... Re: Rootkit ZeroAccess - tommyklab - 20.08.2011 24 różne ZAccess to ze skanu kaspersky: Treść widoczna jedynie dla zarejestrowanych użytkowników 06, 07, 08 do 20.08.2011 Przewaga wariantów backdoor, są tylko 2 rootkit wg. kaspra. Tyle z działu naszego malware. Dodano: sobota, 20 sierpnia 2011, 12:33 Przydało się?, cisza na razie jest Re: Rootkit ZeroAccess - morphiusz - 20.08.2011 Na razie męcze tego Twojego droppera, oczywiście paczka się przyda, dzięki. Dam znać co i jak. Re: Rootkit ZeroAccess - tachion - 20.08.2011 he no do kolekcji bardzo ciekawy malware Re: Rootkit ZeroAccess - tommyklab - 20.08.2011 Na ile się da to pomagam. W kolekcji cały czas jest, jak ktoś ma wszystkie paczki. Ale jak trzeba to można znaleźć po nazwach albo po MD5 Re: Rootkit ZeroAccess - tachion - 20.08.2011 i jeszcze co nieco o tym rootkicie Specjaliści przeanalizowali wysoko zaawansowanego rootkita, który jest prawdopodobnie dziełem Russian Business Network. Szkodliwy program ZeroAccess został napisany tak, by nie był podatny na analizy kodu. Jednak takiej szczegółowej analizy udało się dokonać Giuseppe Bonfie z InfoSec Institute. Jego praca pokazała, że niemal niemożliwe jest usunięcie rootkita bez uszkodzenia systemu, który zainfekował. Ponadto szkodliwy kod używa języków programowania niskiego poziomu do utworzenia na dysku twardym woluminów, które są niewykrywalne przy użyciu standardowych technik. Eksperci chwalą prace Bonfy, podkreślając, że rootkit korzysta z niezwykle zaawansowanych technik, a jego przeanalizowanie daje wgląd w techniki tworzenia, instalowania i zarządzania rootkitami. Teraz, dzięki Bonfie, możliwe będzie łatwiejsze usuwanie ZeroAccess, który jest obecnie wykorzystywany przez cyberprzestępców do instalowania fałszywego oprogramowania antywirusowego. |