+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Malware Lab (https://safegroup.pl/forum-20.html)
+--- Wątek: Rootkit ZeroAccess (/thread-3330.html)
Strony:
1
2
Re: Rootkit ZeroAccess - KaMiL - 20.08.2011
No, tworcy tego "cuda" dali czadu. Pierwszy raz slysze, zeby wirus tworzyl woluminy...
Re: Rootkit ZeroAccess - tachion - 20.08.2011
mianowicie chodzi o to że stosuje technik niskiego poziomu czyli języka programowania Asambler gdzie można infekować (programować) dane sterowniki-kontrolery przy próbie odczytu powoduje unieruchomienie danego narzędzia-programu
Re: Rootkit ZeroAccess - KaMiL - 20.08.2011
No to niezle... Jak to mozna usunac? Live CD chyba nie da rady z tym.
Re: Rootkit ZeroAccess - yaslaw - 20.08.2011
F-secure 2012
24/24 (100%!)
Re: Rootkit ZeroAccess - morphiusz - 20.08.2011
yaslaw, to chyba nic szczególnego, bo CIS też 100%
Re: Rootkit ZeroAccess - Eugeniusz - 20.08.2011
Emsisoft też 100%.
Re: Rootkit ZeroAccess - Ambient - 20.08.2011
MSE też 100%
Re: Rootkit ZeroAccess - KaMiL - 20.08.2011
Tommy pisal, ze w tej paczce jest duzo backdoorow, a rootkitow chyba tylko 2, no ale te 2 sa wykrywane
Re: Rootkit ZeroAccess - Eugeniusz - 20.08.2011
Emsisoft wykrywa jako Backdoor Backdoor.Win32.ZAccess!IK
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Rootkit ZeroAccess - Ambient - 20.08.2011
MSE wykrywa jako Backdoor:Win32/Smadow
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Rootkit ZeroAccess - Flash999 - 20.08.2011
avast! 24/24 (100%)
Screen:
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Rootkit ZeroAccess - tommyklab - 20.08.2011
To są tylko próbki, które wyciągłem z loga kaspra. Modyfikacjii jest pewnie bardzo, bardzo dużo.
Re: Rootkit ZeroAccess - KaMiL - 20.08.2011
Ale wazne, ze chociaz te, rownie grozne probki, antywirusy wykrywaja koncertowo.
Re: Rootkit ZeroAccess - AgataS - 23.08.2011
morphiusz ta wersja którą miał twój kolega to ta sama która radzi sobie z automatyczną piaskownicą CISa? (przynajmniej na partially limited) - temat w dziale beta dostępny tylko dla zarejestrowanych
[Aby zobaczyć linki, zarejestruj się tutaj]
egemen napisał(a):languy99 napisał(a):you guys can download the analysis here, this should lead to some clues as to how the infections happens.
[Aby zobaczyć linki, zarejestruj się tutaj]
Thanks for the analysis Languy. So it exploits JAVA and drops malware. Then the malware is executed. After the execution, it seems to be copying an executable to adobe plugins folder and
We will need to further anlayze whats going on. It seems it is trying to drop some files to adobe plugins folder and create shell keys. All of these would be blocked by CIS normally.
However there may be something iit is using that we must understand. Once we know what it is doing, i will let you know.
Be assured that if there are any problems in HIPS to lets such an infection, it will be fixed immediately to prevent this threat.
Re: Rootkit ZeroAccess - morphiusz - 23.08.2011
Bardzo podobny jak nie ten sam.
Trudno mi ocenić.
Re: Rootkit ZeroAccess - AgataS - 23.08.2011
morphiusz napisał(a):Bardzo podobny jak nie ten sam.
Trudno mi ocenić.
chyba jednak ten sam z tego co widzę sumy kontrolne są identyczne
Re: Rootkit ZeroAccess - morphiusz - 14.09.2011
No to rzeczywiście ten sam
Symantec o ZeroAccess:
[Aby zobaczyć linki, zarejestruj się tutaj]
To jest tu najlepsze - removal:Easy
Re: Rootkit ZeroAccess - Waves - 13.11.2011
Treść widoczna jedynie dla zarejestrowanych użytkowników
Hasło do archiwum to nazwa pliku.
Avast 6 Wykrywa