+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Malware Lab (https://safegroup.pl/forum-20.html)
+--- Wątek: Rootkit ZeroAccess (/thread-3330.html)
Strony:
1
2
Rootkit ZeroAccess - morphiusz - 19.08.2011
Bardzo ciekawy rootkit.
Co potrafi można zobaczyć tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
Poczytać tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
I moje pytanie: posiada ktoś tą próbkę? Jeśli tak to poproszę
Re: Rootkit ZeroAccess - ananael - 19.08.2011
To jeszcze jeden linkdo poczytania
[Aby zobaczyć linki, zarejestruj się tutaj]
Opisywany plik do zassania z offensivecomputing.net
Re: Rootkit ZeroAccess - morphiusz - 19.08.2011
ananael napisał(a):z offensivecomputing.net
strona jest mi znana i próbowałem znaleźć, ale:
- po wpisywaniu zero access nic nie znajduje,
- po wpisaniu zeroaccess długo szuka i nie może poszukać.
Dodano: 20 sie 2011 00:14
Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać nie ma spektakularnej wykrywalności.
Re: Rootkit ZeroAccess - ananael - 19.08.2011
w artykule jest MD5 droppera: d8f6566c5f9caa795204a40b3aaaafa2
na offensivecomputing jest ten plik
A 8f2bb1827cac01aee6a16e30a1260199 to pewnie tylko jeden z komponentow rootkita, po rozmiarze wnioskuje, ze aktywnosc tego pliku tez nie jest spektakularna
Re: Rootkit ZeroAccess - morphiusz - 19.08.2011
Dziękuje bardzo
Więc zgromadziłem 3 podejrzanych:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Rootkit o tyle ciekawy, że zabija wszelkie narzędzie skanujące, modyfikuje ich pliki tam, że nie są już zdolne do pracy.
Ponadto posiada silne moduły samoochrony.
Zobaczymy
Re: Rootkit ZeroAccess - shinjiru - 19.08.2011
jak można to złapać? :p
Dodano: 20 sie 2011 00:57
Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect?
Re: Rootkit ZeroAccess - ananael - 20.08.2011
shinjiru napisał(a):jak można to złapać? :p
pewnie tak samo jak wszystko inne
shinjiru napisał(a):Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect?
no ale to juz jest - antywirusy czesto posiadaja systemy ochrony wlasnych plikow
Re: Rootkit ZeroAccess - shinjiru - 20.08.2011
hm, ale mi chodzi o coś takiego co by to blokowało tak... no podczas jego akcji? nie wiem pewnie d+ i inne już zainstalowane dadzą sobie z tym radę
Re: Rootkit ZeroAccess - tommyklab - 20.08.2011
Widziałem w logach ze skanu KISa że to było, mogę przeskanować i wrzucić do osobnego pliku, będzie dla wszystkich
Re: Rootkit ZeroAccess - morphiusz - 20.08.2011
Bardzo fajnie, jak byś wstawił.
Re: Rootkit ZeroAccess - tommyklab - 20.08.2011
Jak wyglądają nazwy sygnatur? Wszystkie z ZAccess?
Re: Rootkit ZeroAccess - morphiusz - 20.08.2011
najwyzje cos podobnego, typu 0Access badź ZeroAccess.
BTW Komp, który był tym zainfekowany, był chroniony NISem 2011, nie mówiąc o 300 innych infekcjach znalezionych przez MBAM
Re: Rootkit ZeroAccess - ananael - 20.08.2011
szukaj ZAccess, ZeroAccess, Sirefef, starsze wersje Kaspersky wykrywal jako PMax
Re: Rootkit ZeroAccess - tommyklab - 20.08.2011
szukam po zaccess, były nawet w miesiącu 06.2011
warianty rootkit/backdoor
za niedługo wstawię.
Re: Rootkit ZeroAccess - Piotrex44 - 20.08.2011
morphiusz napisał(a):Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać nie ma spektakularnej wykrywalności.
Ważne że EAM chwyta co mnie cieszy...
Re: Rootkit ZeroAccess - tommyklab - 20.08.2011
24 różne ZAccess to ze skanu kaspersky:
Treść widoczna jedynie dla zarejestrowanych użytkowników
06, 07, 08 do 20.08.2011
Przewaga wariantów backdoor, są tylko 2 rootkit wg. kaspra. Tyle z działu naszego malware.
Dodano: sobota, 20 sierpnia 2011, 12:33
Przydało się?, cisza na razie jest
Re: Rootkit ZeroAccess - morphiusz - 20.08.2011
Na razie męcze tego Twojego droppera, oczywiście paczka się przyda, dzięki.
Dam znać co i jak.
Re: Rootkit ZeroAccess - tachion - 20.08.2011
he no do kolekcji bardzo ciekawy malware
Re: Rootkit ZeroAccess - tommyklab - 20.08.2011
Na ile się da to pomagam.
W kolekcji cały czas jest, jak ktoś ma wszystkie paczki.
Ale jak trzeba to można znaleźć po nazwach albo po MD5
Re: Rootkit ZeroAccess - tachion - 20.08.2011
i jeszcze co nieco o tym rootkicie
Specjaliści przeanalizowali wysoko zaawansowanego rootkita, który jest prawdopodobnie dziełem Russian Business Network. Szkodliwy program ZeroAccess został napisany tak, by nie był podatny na analizy kodu. Jednak takiej szczegółowej analizy udało się dokonać Giuseppe Bonfie z InfoSec Institute. Jego praca pokazała, że niemal niemożliwe jest usunięcie rootkita bez uszkodzenia systemu, który zainfekował. Ponadto szkodliwy kod używa języków programowania niskiego poziomu do utworzenia na dysku twardym woluminów, które są niewykrywalne przy użyciu standardowych technik.
Eksperci chwalą prace Bonfy, podkreślając, że rootkit korzysta z niezwykle zaawansowanych technik, a jego przeanalizowanie daje wgląd w techniki tworzenia, instalowania i zarządzania rootkitami.
Teraz, dzięki Bonfie, możliwe będzie łatwiejsze usuwanie ZeroAccess, który jest obecnie wykorzystywany przez cyberprzestępców do instalowania fałszywego oprogramowania antywirusowego.