Rootkit ZeroAccess
#1
Bardzo ciekawy rootkit.

Co potrafi można zobaczyć tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]


Poczytać tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


I moje pytanie: posiada ktoś tą próbkę? Jeśli tak to poproszę Smile

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
To jeszcze jeden linkdo poczytania Suspicious

[Aby zobaczyć linki, zarejestruj się tutaj]


Opisywany plik do zassania z offensivecomputing.net
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Odpowiedz
#3
ananael napisał(a):z offensivecomputing.net


strona jest mi znana i próbowałem znaleźć, ale:
- po wpisywaniu zero access nic nie znajduje,
- po wpisaniu zeroaccess długo szuka i nie może poszukać.


Dodano: 20 sie 2011 00:14

Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę.

[Aby zobaczyć linki, zarejestruj się tutaj]


Jak widać nie ma spektakularnej wykrywalności.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
w artykule jest MD5 droppera: d8f6566c5f9caa795204a40b3aaaafa2
na offensivecomputing jest ten plikWink

A 8f2bb1827cac01aee6a16e30a1260199 to pewnie tylko jeden z komponentow rootkita, po rozmiarze wnioskuje, ze aktywnosc tego pliku tez nie jest spektakularna Smile
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Odpowiedz
#5
Dziękuje bardzo Smile

Więc zgromadziłem 3 podejrzanych:

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


Rootkit o tyle ciekawy, że zabija wszelkie narzędzie skanujące, modyfikuje ich pliki tam, że nie są już zdolne do pracy.
Ponadto posiada silne moduły samoochrony.
Zobaczymy Smile

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
jak można to złapać? :p


Dodano: 20 sie 2011 00:57

Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect?
Odpowiedz
#7
shinjiru napisał(a):jak można to złapać? :p

pewnie tak samo jak wszystko inne Wink

shinjiru napisał(a):Czyli pewnie wychodzi na to, że ci od antywirusów beda musieli wypuścić update który w jakiś tam sposób blokuje źródło z którego jest podjęta próba uszkodzenia antywirusa?czy co? taki self kill protect?

no ale to juz jest - antywirusy czesto posiadaja systemy ochrony wlasnych plikow
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Odpowiedz
#8
hm, ale mi chodzi o coś takiego co by to blokowało tak... no podczas jego akcji? nie wiem pewnie d+ i inne już zainstalowane dadzą sobie z tym radę
Odpowiedz
#9
Widziałem w logach ze skanu KISa że to było, mogę przeskanować i wrzucić do osobnego pliku, będzie dla wszystkich Wink
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#10
Bardzo fajnie, jak byś wstawił.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#11
Jak wyglądają nazwy sygnatur? Wszystkie z ZAccess?
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#12
najwyzje cos podobnego, typu 0Access badź ZeroAccess.

BTW Komp, który był tym zainfekowany, był chroniony NISem 2011, nie mówiąc o 300 innych infekcjach znalezionych przez MBAM Tongue

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#13
szukaj ZAccess, ZeroAccess, Sirefef, starsze wersje Kaspersky wykrywal jako PMax
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Odpowiedz
#14
szukam po zaccess, były nawet w miesiącu 06.2011 Smile
warianty rootkit/backdoor
za niedługo wstawię.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#15
morphiusz napisał(a):Skan tego rootkita cudem wyciągniętego z zainfekowanego kompa przez kolegę.

[Aby zobaczyć linki, zarejestruj się tutaj]


Jak widać nie ma spektakularnej wykrywalności.


Ważne że EAM chwyta co mnie cieszy... Grin
Avast! Internet Security v8.0.1482
Odpowiedz
#16
24 różne ZAccess to ze skanu kaspersky:

Treść widoczna jedynie dla zarejestrowanych użytkowników

06, 07, 08 do 20.08.2011
Przewaga wariantów backdoor, są tylko 2 rootkit wg. kaspra. Tyle z działu naszego malware.


Dodano: sobota, 20 sierpnia 2011, 12:33

Przydało się?, cisza na razie jestTongue
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#17
Na razie męcze tego Twojego droppera, oczywiście paczka się przyda, dzięki.
Dam znać co i jak.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#18
he no do kolekcji bardzo ciekawy malware
Odpowiedz
#19
Na ile się da to pomagam.

W kolekcji cały czas jest, jak ktoś ma wszystkie paczki.Tongue

Ale jak trzeba to można znaleźć po nazwach albo po MD5 Smile
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#20
i jeszcze co nieco o tym rootkicie
Specjaliści przeanalizowali wysoko zaawansowanego rootkita, który jest prawdopodobnie dziełem Russian Business Network. Szkodliwy program ZeroAccess został napisany tak, by nie był podatny na analizy kodu. Jednak takiej szczegółowej analizy udało się dokonać Giuseppe Bonfie z InfoSec Institute. Jego praca pokazała, że niemal niemożliwe jest usunięcie rootkita bez uszkodzenia systemu, który zainfekował. Ponadto szkodliwy kod używa języków programowania niskiego poziomu do utworzenia na dysku twardym woluminów, które są niewykrywalne przy użyciu standardowych technik.

Eksperci chwalą prace Bonfy, podkreślając, że rootkit korzysta z niezwykle zaawansowanych technik, a jego przeanalizowanie daje wgląd w techniki tworzenia, instalowania i zarządzania rootkitami.

Teraz, dzięki Bonfie, możliwe będzie łatwiejsze usuwanie ZeroAccess, który jest obecnie wykorzystywany przez cyberprzestępców do instalowania fałszywego oprogramowania antywirusowego.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości