Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
Bardzo ciekawy rootkit.
Co potrafi można zobaczyć tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
Poczytać tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
I moje pytanie: posiada ktoś tą próbkę? Jeśli tak to poproszę
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 250
Liczba wątków: 10
Dołączył: 23.04.2011
Reputacja:
7
To jeszcze jeden linkdo poczytania
[Aby zobaczyć linki, zarejestruj się tutaj]
Opisywany plik do zassania z offensivecomputing.net
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
ananael napisał(a):z offensivecomputing.net
strona jest mi znana i próbowałem znaleźć, ale:
- po wpisywaniu zero access nic nie znajduje,
- po wpisaniu zeroaccess długo szuka i nie może poszukać.
Dodano: 20 sie 2011 00:14
Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać nie ma spektakularnej wykrywalności.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 250
Liczba wątków: 10
Dołączył: 23.04.2011
Reputacja:
7
w artykule jest MD5 droppera: d8f6566c5f9caa795204a40b3aaaafa2
na offensivecomputing jest ten plik
A 8f2bb1827cac01aee6a16e30a1260199 to pewnie tylko jeden z komponentow rootkita, po rozmiarze wnioskuje, ze aktywnosc tego pliku tez nie jest spektakularna
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
Dziękuje bardzo
Więc zgromadziłem 3 podejrzanych:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Rootkit o tyle ciekawy, że zabija wszelkie narzędzie skanujące, modyfikuje ich pliki tam, że nie są już zdolne do pracy.
Ponadto posiada silne moduły samoochrony.
Zobaczymy
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 636
Liczba wątków: 62
Dołączył: 31.10.2010
jak można to złapać? :p
Dodano: 20 sie 2011 00:57
Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect?
Liczba postów: 250
Liczba wątków: 10
Dołączył: 23.04.2011
Reputacja:
7
shinjiru napisał(a):jak można to złapać? :p
pewnie tak samo jak wszystko inne
shinjiru napisał(a):Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect?
no ale to juz jest - antywirusy czesto posiadaja systemy ochrony wlasnych plikow
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Liczba postów: 636
Liczba wątków: 62
Dołączył: 31.10.2010
hm, ale mi chodzi o coś takiego co by to blokowało tak... no podczas jego akcji? nie wiem pewnie d+ i inne już zainstalowane dadzą sobie z tym radę
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Widziałem w logach ze skanu KISa że to było, mogę przeskanować i wrzucić do osobnego pliku, będzie dla wszystkich
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
Bardzo fajnie, jak byś wstawił.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Jak wyglądają nazwy sygnatur? Wszystkie z ZAccess?
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
najwyzje cos podobnego, typu 0Access badź ZeroAccess.
BTW Komp, który był tym zainfekowany, był chroniony NISem 2011, nie mówiąc o 300 innych infekcjach znalezionych przez MBAM
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 250
Liczba wątków: 10
Dołączył: 23.04.2011
Reputacja:
7
szukaj ZAccess, ZeroAccess, Sirefef, starsze wersje Kaspersky wykrywal jako PMax
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
szukam po zaccess, były nawet w miesiącu 06.2011
warianty rootkit/backdoor
za niedługo wstawię.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 968
Liczba wątków: 26
Dołączył: 21.01.2011
Reputacja:
22
morphiusz napisał(a):Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać nie ma spektakularnej wykrywalności.
Ważne że EAM chwyta co mnie cieszy...
Avast! Internet Security v8.0.1482
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
24 różne ZAccess to ze skanu kaspersky:
06, 07, 08 do 20.08.2011
Przewaga wariantów backdoor, są tylko 2 rootkit wg. kaspra. Tyle z działu naszego malware.
Dodano: sobota, 20 sierpnia 2011, 12:33
Przydało się?, cisza na razie jest
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
Na razie męcze tego Twojego droppera, oczywiście paczka się przyda, dzięki.
Dam znać co i jak.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
he no do kolekcji bardzo ciekawy malware
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Na ile się da to pomagam.
W kolekcji cały czas jest, jak ktoś ma wszystkie paczki.
Ale jak trzeba to można znaleźć po nazwach albo po MD5
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
i jeszcze co nieco o tym rootkicie
Specjaliści przeanalizowali wysoko zaawansowanego rootkita, który jest prawdopodobnie dziełem Russian Business Network. Szkodliwy program ZeroAccess został napisany tak, by nie był podatny na analizy kodu. Jednak takiej szczegółowej analizy udało się dokonać Giuseppe Bonfie z InfoSec Institute. Jego praca pokazała, że niemal niemożliwe jest usunięcie rootkita bez uszkodzenia systemu, który zainfekował. Ponadto szkodliwy kod używa języków programowania niskiego poziomu do utworzenia na dysku twardym woluminów, które są niewykrywalne przy użyciu standardowych technik.
Eksperci chwalą prace Bonfy, podkreślając, że rootkit korzysta z niezwykle zaawansowanych technik, a jego przeanalizowanie daje wgląd w techniki tworzenia, instalowania i zarządzania rootkitami.
Teraz, dzięki Bonfie, możliwe będzie łatwiejsze usuwanie ZeroAccess, który jest obecnie wykorzystywany przez cyberprzestępców do instalowania fałszywego oprogramowania antywirusowego.
|