Опять вирус

Цитата ("LSD-Team"):

Цитата ("voron_76"):

ERD в руки - и вперед, прочёсывать ключевые точки.

В случае с другим вирусом, поступил бы именно так... а тут даже не знаю, какие ключевые точки ковырять.

Конфикер, если я правильно помню, - это троян и состоит из отдельных файлов. Значит, эти файлы можно попытаться найти и по ним найти записи в реестре.

Хотя - это теория. Конфикер, помнится, я ковырял по инструкции, где точки были указаны.

А всякие GMER-AVZ-RKUnhooker?

Цитата ("voron_76"):

Конфикер, если я правильно помню, - это троян и состоит из отдельных файлов

Не, это единственная библиотека.

Цитата ("voron_76"):

Значит, эти файлы можно попытаться найти и по ним найти записи в реестре.

Не могу найти файл. Руткит работает в kernel-mode и его не видно. Это единственный вирус, который я не могу поймать.

Цитата ("voron_76"):

Хотя - это теория. Конфикер, помнится, я ковырял по инструкции, где точки были указаны.

Так я тоже делал год назад много кому, но сейчас методика не работает.

Цитата ("voron_76"):

А всякие GMER-AVZ-RKUnhooker?

А что это? :
AVZ пробовал - не понравился. Каким-то бесполезным он мне показался... мне IceSword нравится.

Но мои попытки еще не закончены, есть еще несколько идеек. Завтра после работы реализую...

Цитата ("LSD-Team"):

Цитата ("voron_76"):

Конфикер, если я правильно помню, - это троян и состоит из отдельных файлов

Не, это единственная библиотека.

В смысле, это файл на диске, а не кусок кода, заражающий исполнимые файлы.

Цитата:

Цитата ("voron_76"):

Значит, эти файлы можно попытаться найти и по ним найти записи в реестре.

Не могу найти файл. Руткит работает в kernel-mode и его не видно. Это единственный вирус, который я не могу поймать.

ERD в помощь.
Кстати, AVZ при установленном драйвере такие вещи иногда нейтрализует.

Цитата:

Цитата ("voron_76"):

А всякие GMER-AVZ-RKUnhooker?

А что это? :
AVZ пробовал - не понравился. Каким-то бесполезным он мне показался... мне IceSword нравится.

Это всё антируткитные утилиты. IceSword тоже юзаю, кстати, но мне как раз он почему-то бесполезным показался. Обычно я использую эту троицу плюс Доктор Веб со свежими базами - во многих случаях после блокировки руткита он детектится антивирусом.
GMER хорош, рекомендую.

Цитата ("voron_76"):

В смысле, это файл на диске, а не кусок кода, заражающий исполнимые файлы.

Раньше это была библиотека, которая прописана как служба с рандомным названием из комбинации некоторых слов (типа System, Helper, Boot и т. д.). Файлы он никогда не заражал, но патчил svchost.exe. Библиотеку не могу найти, но какие-то файлы пропатчены.

Цитата ("voron_76"):

Это всё антируткитные утилиты. IceSword тоже юзаю, кстати, но мне как раз он почему-то бесполезным показался. Обычно я использую эту троицу плюс Доктор Веб со свежими базами - во многих случаях после блокировки руткита он детектится антивирусом.

Кстати сейчас AVZ гораздо функциональнее, чем когда я его первый раз пробовал. При выборе инструмента я больше смотрю на мануальные методы анализа, чем автоматические. Поэтому эвристические анализаторы использую только тогда, когда лень ковырять что-либо у кого-либо. AVZ хорош.

Цитата ("voron_76"):

GMER хорош, рекомендую.

Обязательно попробую.
Спасибо.

Есть такая удобная штука - Enum называется. Попробуйте.

Цитата ("LSD-Team"):

Цитата ("voron_76"):

В смысле, это файл на диске, а не кусок кода, заражающий исполнимые файлы.

Раньше это была библиотека, которая прописана как служба с рандомным названием из комбинации некоторых слов (типа System, Helper, Boot и т. д.). Файлы он никогда не заражал, но патчил svchost.exe. Библиотеку не могу найти, но какие-то файлы пропатчены.

Кстати, недавно ковырял руткита-вымогателя - тот свою библиотеку прятал среди файлов шрифтов. Файл назывался, как один из ttf-ов, только к расширению было приписано несколько цифр.
Выловил как раз GMERом.

Цитата ("unglued"):

Есть такая удобная штука - Enum называется. Попробуйте.

Что за штука? Что-то я её найти не могу...

Про руткит в шрифтах слышал, но не сталкивался.

GMER попробовал - действительно хороша штуковина. Одно из достоинств, что отличает GMER от IceSword и AVZ - это поиск ADS. Еще две вещи я оценил: эвристический анализатор довольно мощный, обнаружил подтянутые к svchost.exe два троянских потока. Правда это никак не помогло, про существование этих потоков я и раньше знал, тут проблема в другом. Проблема кроется в том, что эти два потока видны только до перезагрузки системы, после которой ни GMER, ни KidoKiller, ни какая другая шляпа Conficker не обнаруживает вовсе, хотя до перезагрузки KidoKiller успешно убивает эти потоки. И конечно же, сканирование автозагрузки в GMER превосходное, не уступает ни одному инструменту, что я пробовал.

Автоматические методы не сработали, буду пробовать с помощью GMER'а делать анализ ручками, да глазками.

Цитата ("LSD-Team"):

Про руткит в шрифтах слышал, но не сталкивался.

Это не в шрифтах. Это просто библиотека руткита кладётся в папку шрифтов и как шрифт обзывается. Для маскировки.

Цитата:

Проблема кроется в том, что эти два потока видны только до перезагрузки системы, после которой ни GMER, ни KidoKiller, ни какая другая шляпа Conficker не обнаруживает вовсе

Ого! И AVZ с установленным драйвером тоже не видит? Тогда искать какую-нибудь малоизвестную утилитку, против которой у этого трояна нет методов противодействия.
RKUnhooker, кстати, мне иногда помогал, когда ни AVZ, ни GMER не помогали. Он тоже свой хитрый драйвер внедряет.

LSD-Team, а этот зверь как распространяется? Через флешки? Пришлите его заразный файл - поковыряю.

Цитата ("voron_76"):

Это не в шрифтах

Да механизм-то понятен. Так же, как и в том трояне, что пользователям этого форума рассылалось. Подмена расширения обычной библиотеки / исполняемого файла.

Цитата ("voron_76"):

И AVZ с установленным драйвером тоже не видит? Тогда искать какую-нибудь малоизвестную утилитку, против которой у этого трояна нет методов противодействия.

Тут дело совсем не в том, что Conficker прячется от конкретно каких-то анализаторов, а в том, что в дальнейшем он перехватывает их методы, изменяя результаты. Если бы он работал из под ring3, то он бы не смог сие делать, но тут мы имеем дело с ring0. Грубо говоря: антируткит собирается проверить перехват и подмену каких-то функций, но руткит возвращает антируткиту чистый результат, ибо антируткит как раз и стал жертвой перехвата (ибо система возвращает всем приложениям тот результат, который они получают обычно, без руткита). Вопрос только в том, где именно сидит руткит. Но где бы он не сидел, ясно одно - это место он прекрывает. А таких интимных мест много.

Но мои идеи еще не закончились

Обязательно пришлю. Вечером.
Я догадываюсь, к чему был вопрос про флешки Нет, эта метода тоже не работает

Цитата ("LSD-Team"):

Если бы он работал из под ring3, то он бы не смог сие делать, но тут мы имеем дело с ring0.

Так AVZ, если я правильно понимаю, свой драйвер как раз и суёт в ring0. Другой вопрос, даст ли ему активный руткит это сделать.

Цитата ("LSD-Team"):

Я догадываюсь, к чему был вопрос про флешки Нет, эта метода тоже не работает

Не... вопрос про флешки был исключительно с целью выяснения способа заражения. Не факт, что я смогу внедрить абстрактную dll в свою систему.

Цитата ("voron_76"):

Так AVZ, если я правильно понимаю, свой драйвер как раз и суёт в ring0

Именно так он и делает. Даст. Потом догонит и еще даст)) Я не знаю, как это объяснить, необходимо нарисовать.

Цитата ("voron_76"):

Не... вопрос про флешки был исключительно с целью выяснения способа заражения

Если на флешке остался файл, можно посмотреть его размер и по размеру найти его на диске Но так действует только с руткитами школьников (с 95% ). С Конфикером не прокатывает, я не могу добиться, чтобы он флешку заразил, хотя флешки он заражает, я точно знаю. На флешки он записывается в папку RECYCLER

ВНИМАНИЕ! Небольшая пометка для пользователей
Многие пользователи думают, что папка RECYCLER на флешке - это корзина. На самом деле, это вирус
Другие наоборот думают, что RECYCLER на локальном диске - это тоже вирус. На самом деле, это корзина
Итак:
Если на флешке есть папка recycler, это 100% вирус
Если на локальном диске есть папка recycler, это 100% корзина. Но не исключено, что в корзине не может лежать активный вирус, хотя случай довольно редкий.

Цитата ("voron_76"):

Не факт, что я смогу внедрить абстрактную dll в свою систему.

rundll32.exe в помощь. Перед операцией напишу в асю, и обо всем поведаю.

Цитата ("LSD-Team"):

Цитата ("voron_76"):

Так AVZ, если я правильно понимаю, свой драйвер как раз и суёт в ring0

Именно так он и делает. Даст. Потом догонит и еще даст)) Я не знаю, как это объяснить, необходимо нарисовать.

Вот поэтому и нужны малоизвестные утилиты: сомневаюсь, что руткит будет блокировать установку всех драйверов без разбора, если его задача - оставаться незаметным.
Попробуйте RKUnhooker.

Отписался

Да нет же, он не блокирует установку драйверов вообще. Не получитсо у меня объяснить, ибо и я сам мутно все это представляю и вообще плаваю в вопросе, но алгоритм знаю. В книге "Rootkits под Windows. Техника создания шапок-невидимок" (автор Колесниченко) очень хорошо метода расписана.

Кстати, AVZ нашел все перехватчики API функций и все хуки, которые вешает Outpost, но Конфикера так и не нашел :P

Цитата ("LSD-Team"):

ибо и я сам мутно все это представляю и вообще плаваю в вопросе

И я плаваю

Проблема с Conficker'ом (он же Kido, Downdup) решена. KidoKiller касперского этот вирус вовсе не удаляет (точнее удаляет, но только если машина после инфицирования не была перезагружена. А может, это просто новая модификация). Я не уверен, что причина таится в том, что специалисты Касперски Лаб туго соображают... меня терзают смутные сомнения..... а терзают они меня потому, что погуглив немного интернеты в пиндосии, я наткнулся на утилиту Conficker Removal Tool от Enigma Software Group, которая без труда удаляет заразу. И проблемы, из-за которых я понял, что у меня Конфикер, сразу пропали. Лично я не вычислил его штаб по глупости, отныне справлюсь и без утилитки.

Если кто-то страдает подобной проблемой, шагаем сюда ссылка и бесплатно скачиваем тулзу. Правда, удаляет она руткит, совершая несколько перезагрузок винды, но при этом каждый шаг Вы контролируете.