http://forum.esetnod32.ru Новое в теме Автономный инструмент удаления вредоносного ПО форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Mon, 04 May 2026 04:30:08 +0300 Автономный инструмент удаления вредоносного ПО Standalone malware removal tools в форуме Полезные программы.
TdlFsReader достает из файловой системы TDL4:
<img src="http://www.imageup.ru/img89/0406445555672908.png" alt="Пользователь добавил изображение" border="0" />
Oписание TdlFsReader есть в иследовании Defeating x64 The Evolution of the TDL Rootkit
http://eset.ru/tools/TdlFsReader.exe
http://amatrosov.blogspot.com/2011/06/tdl4-tdlfsreader.html

Исследования можно посмотреть вот тут:

====quote====
TDL4: new bootkits stepping out

My colleague Aleks Matrosov has come across an interesting if uncomfortable post on a Russian language forum, advertising a "Boot loader for drivers" currently under test that doesn't require a Digital Signature driver, which sounds very much like our old friend TDL4.

This metamorphic malware (each build generates a fresh binary) loads before the start of PatchGuard. It's claimed to support all versions of Microsoft Windows, since XP including Windows 7 sp1, inclusive, and supports both x86 and AMD64 (EM64T). A mere $9000, which I guess gives you some idea of how much profit there is in this kind of "costly but effective" malcode.

More info on TDL4 on the white papers page:

The Evolution of TDL: Conquering x64
By Eugene Rodionov and Aleksandr Matrosov

Defeating x64: The Evolution of the TDL Rootkit
By Aleksandr Matrosov and Eugene Rodionov

TDSS part 1: The x64 Dollar Question
By Aleksandr Matrosov, Eugene Rodionov & David Harley

TDSS part 2: Ifs and Bots
By Aleksandr Matrosov, Eugene Rodionov & David Harley

TDSS part 3: Bootkit on the other foot
By Aleksandr Matrosov, Eugene Rodionov & David Harley

Rooting about in TDSS
By Aleksandr Matrosov & Eugene Rodionov
Article first published in Virus Bulletin, October 2010. Copyright is held by Virus Bulletin Ltd, but is made available on ESET's white papers page for personal use free of charge, by permission of Virus Bulletin.

=============
http://www.eset.com/about/blog/blog/article/tdl4-new-bootkits-stepping-out/
http://www.eset.com/about/blog/blog/?tag=Aleksandr Matrosov
http://www.slideshare.net/matrosov/defeating-x64-the-evolution-of-the-tdl-rootkit

«В пятой версии мы сосредоточились на доработке и совершенствовании механизмов обнаружения ранее неизвестных угроз и вредоносных программ, имеющих руткит- или буткит-компоненты. За счет улучшенных алгоритмов работы облачной технологии ThreatSense.Net, нам удалось значительно усилить ее эффективность, – отмечает Александр Матросов, директор Центра вирусных исследований и аналитики российского представительства ESET. – Количество совершенно новых вредоносных программ не столь велико по сравнению с потоком модифицированных образцов для противодействия обнаружению антивирусными решениями. Улучшенное эвристическое обнаружение в сочетании с усовершенствованными облачными алгоритмами позволяют новому поколению ESET NOD32 5.0. эффективно противодействовать таким угрозам».
http://www.esetnod32.ru/.company/news/?id=39195&year=2011

Наверно сейчас над этим работают в бете!  


====quote====
TDSS and hacking the hackers


Share




If you've been following the research we've been publishing (spearheaded by my Russian colleagues Aleksandr Matrosov and Eugene Rodionov) you'll be aware that the TDL rootkit family doesn’t make use of OS’s own file system. Instead, it implements its own hidden storage for the payload, configuration files and so on. The hidden storage is located at the end of the hard drive and encrypted either with RC4 cipher or by XOR-ing with a hex constant.

Recently, Aleks and Eugene released a new version of the tool they developed in the course of their research into the TDL family, which gives easy access to these hidden files. It handles TDL versions including  TDL3/TDL3+, TDL4 (x86 and x64 versions), and the drivers and binary are all signed by ESET.  

They've also released a video demonstration of how to make use of the tool, and another video on debugging the bootkit component of TDL4 with IDA and Bochs, as demonstrated at the recent CONFidence 2011 conference in

=============
http://www.eset.com/about/blog/blog/article/tdss-and-hacking-the-hackers/

04.06.2011 14:31:47, EVE N.]]> http://forum.esetnod32.ru/messages/forum8/topic1505/message16713/ http://forum.esetnod32.ru/messages/forum8/topic1505/message16713/ Sat, 04 Jun 2011 14:31:47 +0400 Полезные программы Автономный инструмент удаления вредоносного ПО Standalone malware removal tools в форуме Полезные программы.
Проверял на Windows 7 64 бит, Win32/Olmarik Tdl4 - детектирует и лечит.

01.02.2011 23:23:52, EVE N.]]> http://forum.esetnod32.ru/messages/forum8/topic1505/message12808/ http://forum.esetnod32.ru/messages/forum8/topic1505/message12808/ Tue, 01 Feb 2011 23:23:52 +0300 Полезные программы Автономный инструмент удаления вредоносного ПО Standalone malware removal tools в форуме Полезные программы.
из данных утилит - наиболее часто использовал Conficker, насколько эффективны другие утилиты - не могу сказать, вот ZloyDi по моему использовал Daonol, Olmarik&OlmarikTdl4, может он поделится опытом применения данных утилит.
01.02.2011 11:28:37, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic1505/message12747/ http://forum.esetnod32.ru/messages/forum8/topic1505/message12747/ Tue, 01 Feb 2011 11:28:37 +0300 Полезные программы Автономный инструмент удаления вредоносного ПО Standalone malware removal tools в форуме Полезные программы.
http://kb.eset.com/esetkb/index?page=content&id=SOLN2372

Win32/Conficker
Win32/Mebroot
Win32/Daonol
Win32/IRCBot
Win32/Sirefef
Win32/Olmarik
Win32/OlmarikTdl4
RogueAV Cleaner
Win32/Zimuse
Win32/Bubnix
Win32/Merond.

29.01.2011 14:53:54, EVE N.]]> http://forum.esetnod32.ru/messages/forum8/topic1505/message12619/ http://forum.esetnod32.ru/messages/forum8/topic1505/message12619/ Sat, 29 Jan 2011 14:53:54 +0300 Полезные программы