Вход
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Полезные программы

Автономный инструмент удаления вредоносного ПО , Standalone malware removal tools

1
RSS
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 29.01.2011 14:53:54
http://kb.eset.com/esetkb/index?page=content&id=SOLN2372

Win32/Conficker
Win32/Mebroot
Win32/Daonol
Win32/IRCBot
Win32/Sirefef
Win32/Olmarik
Win32/OlmarikTdl4
RogueAV Cleaner
Win32/Zimuse
Win32/Bubnix
Win32/Merond.
:)
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
santy
santy
Администратор
Сообщений: 17535
Баллов: 14028
Регистрация: 16.03.2010
Размещено 01.02.2011 11:28:37
из данных утилит - наиболее часто использовал Conficker, насколько эффективны другие утилиты - не могу сказать, вот ZloyDi по моему использовал Daonol, Olmarik&OlmarikTdl4, может он поделится опытом применения данных утилит.
Изменено: santy - 01.02.2011 11:28:56
[ Как создать образ автозапуска? ]
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 01.02.2011 23:23:52
Проверял на Windows 7 64 бит, Win32/Olmarik Tdl4 - детектирует и лечит. :)
01.02.png (106.67 КБ)
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 04.06.2011 14:31:47
TdlFsReader достает из файловой системы TDL4:

Oписание TdlFsReader есть в иследовании Defeating x64 The Evolution of the TDL Rootkit
http://eset.ru/tools/TdlFsReader.exe
http://amatrosov.blogspot.com/2011/06/tdl4-tdlfsreader.html

Исследования можно посмотреть вот тут:
Цитата
TDL4: new bootkits stepping out

My colleague Aleks Matrosov has come across an interesting if uncomfortable post on a Russian language forum, advertising a "Boot loader for drivers" currently under test that doesn't require a Digital Signature driver, which sounds very much like our old friend TDL4.

This metamorphic malware (each build generates a fresh binary) loads before the start of PatchGuard. It's claimed to support all versions of Microsoft Windows, since XP including Windows 7 sp1, inclusive, and supports both x86 and AMD64 (EM64T). A mere $9000, which I guess gives you some idea of how much profit there is in this kind of "costly but effective" malcode.

More info on TDL4 on the white papers page:

The Evolution of TDL: Conquering x64
By Eugene Rodionov and Aleksandr Matrosov

Defeating x64: The Evolution of the TDL Rootkit
By Aleksandr Matrosov and Eugene Rodionov

TDSS part 1: The x64 Dollar Question
By Aleksandr Matrosov, Eugene Rodionov & David Harley

TDSS part 2: Ifs and Bots
By Aleksandr Matrosov, Eugene Rodionov & David Harley

TDSS part 3: Bootkit on the other foot
By Aleksandr Matrosov, Eugene Rodionov & David Harley

Rooting about in TDSS
By Aleksandr Matrosov & Eugene Rodionov
Article first published in Virus Bulletin, October 2010. Copyright is held by Virus Bulletin Ltd, but is made available on ESET's white papers page for personal use free of charge, by permission of Virus Bulletin.
http://www.eset.com/about/blog/blog/article/tdl4-new-bootkits-stepping-out/
http://www.eset.com/about/blog/blog/?tag=Aleksandr Matrosov
http://www.slideshare.net/matrosov/defeating-x64-the-evolution-of-the-tdl-rootkit

«В пятой версии мы сосредоточились на доработке и совершенствовании механизмов обнаружения ранее неизвестных угроз и вредоносных программ, имеющих руткит- или буткит-компоненты. За счет улучшенных алгоритмов работы облачной технологии ThreatSense.Net, нам удалось значительно усилить ее эффективность, – отмечает Александр Матросов, директор Центра вирусных исследований и аналитики российского представительства ESET. – Количество совершенно новых вредоносных программ не столь велико по сравнению с потоком модифицированных образцов для противодействия обнаружению антивирусными решениями. Улучшенное эвристическое обнаружение в сочетании с усовершенствованными облачными алгоритмами позволяют новому поколению ESET NOD32 5.0. эффективно противодействовать таким угрозам».
http://www.esetnod32.ru/.company/news/?id=39195&year=2011

Наверно сейчас над этим работают в бете! :)  ;)

Цитата
TDSS and hacking the hackers


Share




If you've been following the research we've been publishing (spearheaded by my Russian colleagues Aleksandr Matrosov and Eugene Rodionov) you'll be aware that the TDL rootkit family doesn’t make use of OS’s own file system. Instead, it implements its own hidden storage for the payload, configuration files and so on. The hidden storage is located at the end of the hard drive and encrypted either with RC4 cipher or by XOR-ing with a hex constant.

Recently, Aleks and Eugene released a new version of the tool they developed in the course of their research into the TDL family, which gives easy access to these hidden files. It handles TDL versions including  TDL3/TDL3+, TDL4 (x86 and x64 versions), and the drivers and binary are all signed by ESET.  

They've also released a video demonstration of how to make use of the tool, and another video on debugging the bootkit component of TDL4 with IDA and Bochs, as demonstrated at the recent CONFidence 2011 conference in
http://www.eset.com/about/blog/blog/article/tdss-and-hacking-the-hackers/
pic2-300x276.png (44.67 КБ)
Изменено: EVE N - 07.06.2011 16:17:57
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
1
Читают тему (гостей: 1)