Комментарии 39
Утащил в избранное.
> при запуске заражает MBR через прямой доступ к диску.
ну даже и не знаю что тут можно еще добавить о безопасности Windows.
> при запуске заражает MBR через прямой доступ к диску.
ну даже и не знаю что тут можно еще добавить о безопасности Windows.
получается подобное возможно и в линухе, если удастся получить прямой доступ к жесткому — это возможно только добившись прав рута или есть другие пути?
летс старт холивар!
летс старт холивар!
НЛО прилетело и опубликовало эту надпись здесь
эм???
тогда встречный вопрос — как это до сих пор никто не умудрился создать целую армию компов линукс-ботов?
тогда встречный вопрос — как это до сих пор никто не умудрился создать целую армию компов линукс-ботов?
Если права у пользователя есть, то можно, обычно их нет. В статье явно сказано, что повышенные требования к стабильности всего этого. Как вы добьетесь этой стабильности, если разные дистры — разные ядра, разные ядра — разные условия. Не, из этой темы нормальный холивар не выйдет.
Мне кажется, изображения чересчур перенасыщены ненужной информацией, громоздки и непонятны.
Хотя, может, кто-то на хабре и читает 16-ричные коды…
Хотя, может, кто-то на хабре и читает 16-ричные коды…
Прямой доступ к железу тоже возможен только под администратором. Однако в винде под админом принято сидеть по умолчанию, в отличии от *nix
Вообще странно всё, зачем автор вируса мучался с парсингом NTFS. Ведь самый простой вариант: Перед заражением загрузочного сектора, для нужного файла получить список кластеров (благо это очень просто), далее сохранить эту таблицу вместе с загрузочным сектором, а далее уже несложными вычислениями заразить сразу нужный файл, без предварительного поиска.
К тому же если этот код хотят задействовать для обхода WFP (то это довольно странно), потому что WFP обходится через банальный FileMapping. Другое дело Антивирусы, но что-то мне подсказывает что ни один нормальный антивирус не даст прямого доступа к MBR и Boot
К тому же если этот код хотят задействовать для обхода WFP (то это довольно странно), потому что WFP обходится через банальный FileMapping. Другое дело Антивирусы, но что-то мне подсказывает что ни один нормальный антивирус не даст прямого доступа к MBR и Boot
Неинтересно, потому как в таком варианте даже в случае восстановления userinit.exe, но не восстановления MBR произойдёт повторное заражение. В Вашем же варианте если восстановить userinit.exe — повторного заражения уже не будет.
Я привел вариант альтернативного заражения файлов в обход WFP (хотя с тем же успехом можно восстановить и userinit и mbr). А как основной вариант я привел более простую задачу по поиску файла, без парсинга ФС.
Хотя если дело на то, пошло то надо былобы заражать системные файлы типа svchost/services/lsass потому что они активны на протяжении всей работы windows, в отличии от userinit. т.е. userinit можно тупо руками удалить и WFP его восстановит или руками восстановить, без перезагрузки компа. А потом восстановить MBR. А при заражении того же svchost единственным решением было бы загрузка с другова диска.
Хотя если дело на то, пошло то надо былобы заражать системные файлы типа svchost/services/lsass потому что они активны на протяжении всей работы windows, в отличии от userinit. т.е. userinit можно тупо руками удалить и WFP его восстановит или руками восстановить, без перезагрузки компа. А потом восстановить MBR. А при заражении того же svchost единственным решением было бы загрузка с другова диска.
Можно и так. И тогда вообще фэйковым explorer'ом не пользоваться, а тупо лепить всё в джойнер. И создать криптованный раздел в неразмеченной области диска, куда сваливать пэйлоад. Но тогда это будет совсем другой зловред :)
так уже нельзя. так уже tdss делает :)
Думаете, засудят по патентам и копирайтам? ;)
ну засудить не засудят, но tdl5 могут наверное с новыми извращениями изобрести :)
По мотивам? Я бы назвал это переводом.
У вас обе ссылки в начале текста одинаковы — так и задумано?
А чем лечится?
По идее — антивирусом :)
Если вручную — то:
1. Глушим фэйковый %temp%\explorer.exe
2. Восстанавливаем MBR и немедленный reboot.
3. Восстанавливаем userinit.exe
Немного сложнее будет, если заражённый userinit автоматом распаковывает и стартует фэйковый explorer.exe, ещё хуже — если он же повторно заражает MBR в случае её восстановления. Но и это можно победить — придётся скрипт на AVZ ваять ;)
Вообще лечение возможно, это не самый страшный вариант зловреда.
Если вручную — то:
1. Глушим фэйковый %temp%\explorer.exe
2. Восстанавливаем MBR и немедленный reboot.
3. Восстанавливаем userinit.exe
Немного сложнее будет, если заражённый userinit автоматом распаковывает и стартует фэйковый explorer.exe, ещё хуже — если он же повторно заражает MBR в случае её восстановления. Но и это можно победить — придётся скрипт на AVZ ваять ;)
Вообще лечение возможно, это не самый страшный вариант зловреда.
Немного сложнее будет, если заражённый userinit автоматом распаковывает и стартует фэйковый explorer.exe— имелось в виду в случае его (explorer.exe) выгрузки из памяти.
Вообще, зловред уже палят все кому не лень.
Если сообществу будет интересно рассмотреть механизм ручного удаления — пожалуйста, плюсуйте этот коммент. Наплюсуете больше 20 — заражу виртуалку и вручную пролечу, о результатах отпишусь :) Благо дроппер на руках.
Если сообществу будет интересно рассмотреть механизм ручного удаления — пожалуйста, плюсуйте этот коммент. Наплюсуете больше 20 — заражу виртуалку и вручную пролечу, о результатах отпишусь :) Благо дроппер на руках.
Наверное можно из консоли восстановления сделать fixmbr? Ну и файлы ненужные удалить.
Читайте — не дождался +20 и выложил тут.
А разве нельзя до ребута переименовать зараженный userinit.exe во что-то иное, восстановить userinit.exe и после этого перегрузиться?
А Вы попробуйте в активной системе userinit.exe переименовать :)
… не занимаемся фигней, грузимся с лайвсиди и «глушим/восстанавливаем/...» с комфортом и заметно большей вероятностью успешного лечения. Разумеется, если вирус достаточно туп и не шифрует ФС, например.
LiveCD — это, видимо, универсальное решение при лечении любого активного заражения. К сожалению, оно, при своей универсальности, не самое удачное. Проблем может быть несколько:
— нетбук без привода
— платный трафик, а готовой болванки нет
— просто не на что записать в данный момент :)
— не запускается программа для записи на заражённой машине и/или запись не проходит успешно. Или не качается образ. Незаражённой системы под рукой в данный момент нет.
— нетбук без привода
— платный трафик, а готовой болванки нет
— просто не на что записать в данный момент :)
— не запускается программа для записи на заражённой машине и/или запись не проходит успешно. Или не качается образ. Незаражённой системы под рукой в данный момент нет.
— нетбук без привода — юсб флешка.
— платный трафик, а готовой болванки нет — да емае
— просто не на что записать в данный момент :) — юсб флешка.
— не запускается программа для записи на заражённой машине и/или запись не проходит успешно. — юсб флешка уже заготовленная.
Или не качается образ. Незаражённой системы под рукой в данный момент нет. — юсб флешка уже заготовленная.
И так можно до опупения продолжать.
— платный трафик, а готовой болванки нет — да емае
— просто не на что записать в данный момент :) — юсб флешка.
— не запускается программа для записи на заражённой машине и/или запись не проходит успешно. — юсб флешка уже заготовленная.
Или не качается образ. Незаражённой системы под рукой в данный момент нет. — юсб флешка уже заготовленная.
И так можно до опупения продолжать.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анализ Smitnyl.A — первого гибрида буткита и файлового инфектора