Comments 34
Дизассемблируя системные файлы, вы нарушили Лицензионное Соглашение (;
+26
Какое лицензионное соглашение? Вы правда в курсе подробностей соглашений ESET и Microsoft? ;) Или вы думаете что раз Windows одинаковая — то и соглашение у всех точно такое же как в коробочных версиях?
+2
UFO just landed and posted this here
Наше законодательство разрешает такое дело.
+5
Читайте ГК. У него статус повыше, чем у соглашения.
+1
UFO just landed and posted this here
«достаточно велико» и «отнюдь не маленькая» это сколько в цифрах?
+3
> руткит мог заражать и другие системные драйверы
Скоро руткиты будут заражать прошивки контроллеров на материнской плате (
Скоро руткиты будут заражать прошивки контроллеров на материнской плате (
+2
уже умеют писаться в bios flash
+2
скоро руткиты будут заражать прошивки на наших мозгах (
+1
На PAGE_FAULT_IN_NON_PAGED_AREA сегодня насмотрелся в течение дня. Драйвер выходит туго.
0
Наредкость качественный «скриншот» BSoD'а =)
+2
а как вылечить-то это? Есет, вроде, ничего не нашёл, когда я поймал этот бсод два дня назад
0
Если я правильно понял всё, что там написано, это хрень какая-то, а не решение. Вопрос в том, как убить руткит этот? Ведь не майкрософт же его в патчах рассылает. Удаление патча уберёт только последствия, но не причину. Так вот как избавиться от причины всего этого добра?
+1
По ссылке решение проблемы синего экрана. А насчет руткита, я думаю самое лучшее решение — это переустановить систему.
0
UFO just landed and posted this here
спасибо
0
Осторожнее с этой штукой.
Файл remover.exe получен 2010.02.16 20:52:54 (UTC)
Текущий статус: закончено
Результат: 5/40 (12.50%)
www.virustotal.com/ru/analisis/700177464d15cbcce4a835df950e2db988288abaa97172944eb2a40cdd6b3323-1266353574
Да и мой антивирь лает на этот ремовер…
Файл remover.exe получен 2010.02.16 20:52:54 (UTC)
Текущий статус: закончено
Результат: 5/40 (12.50%)
www.virustotal.com/ru/analisis/700177464d15cbcce4a835df950e2db988288abaa97172944eb2a40cdd6b3323-1266353574
Да и мой антивирь лает на этот ремовер…
0
Расскажу вам чуток поподробнее.
При заражении размер драйвера не меняется. Руткит перезаписывал часть ресурсов и устанавливал точку входа на себя. Он заражает atapi.sys(там идёт перехват диспатч таблицы irp), т.е. возможность стартовать на самом раннем этапе загрузки ОС.
В болле поздних версиях диспатч-таблица не тронута, а создается fake объект драйвера со своими диспатч функциями и перезаписывает указатель в устройстве, которое обслуживает загрузочный диск, на свой драйвер. На этом возможности не заканчиваются, для сокрытия данных он перехватывает функцию для построения очереди irp пакетов, с последующим извлечением их оттуда. Диспатч функция вызывает IoStartPacket, что в свою очередь приведёт к вызову функции StartIO которая и будет перехвачена руткитом.
Если клиент пытается считывать скрываемые сектора, руткит устанавливает свою функцию завершения, в который фильтрует данные.
При заражении размер драйвера не меняется. Руткит перезаписывал часть ресурсов и устанавливал точку входа на себя. Он заражает atapi.sys(там идёт перехват диспатч таблицы irp), т.е. возможность стартовать на самом раннем этапе загрузки ОС.
В болле поздних версиях диспатч-таблица не тронута, а создается fake объект драйвера со своими диспатч функциями и перезаписывает указатель в устройстве, которое обслуживает загрузочный диск, на свой драйвер. На этом возможности не заканчиваются, для сокрытия данных он перехватывает функцию для построения очереди irp пакетов, с последующим извлечением их оттуда. Диспатч функция вызывает IoStartPacket, что в свою очередь приведёт к вызову функции StartIO которая и будет перехвачена руткитом.
Если клиент пытается считывать скрываемые сектора, руткит устанавливает свою функцию завершения, в который фильтрует данные.
+4
Может быть я в танке, но я так и не понял, причём тут Eset? И самое главное, как вылечится?
-1
Sign up to leave a comment.
Патч руткиту не товарищ!