Комментарии 39
Утащил в избранное.
> при запуске заражает MBR через прямой доступ к диску.
ну даже и не знаю что тут можно еще добавить о безопасности Windows.
> при запуске заражает MBR через прямой доступ к диску.
ну даже и не знаю что тут можно еще добавить о безопасности Windows.
-4
получается подобное возможно и в линухе, если удастся получить прямой доступ к жесткому — это возможно только добившись прав рута или есть другие пути?
летс старт холивар!
летс старт холивар!
+6
НЛО прилетело и опубликовало эту надпись здесь
эм???
тогда встречный вопрос — как это до сих пор никто не умудрился создать целую армию компов линукс-ботов?
тогда встречный вопрос — как это до сих пор никто не умудрился создать целую армию компов линукс-ботов?
+1
Тссс… они не любят, когда про них говорят вслух…
+4
Откуда вы знаете?
0
Если права у пользователя есть, то можно, обычно их нет. В статье явно сказано, что повышенные требования к стабильности всего этого. Как вы добьетесь этой стабильности, если разные дистры — разные ядра, разные ядра — разные условия. Не, из этой темы нормальный холивар не выйдет.
+5
Мне кажется, изображения чересчур перенасыщены ненужной информацией, громоздки и непонятны.
Хотя, может, кто-то на хабре и читает 16-ричные коды…
Хотя, может, кто-то на хабре и читает 16-ричные коды…
-4
Прямой доступ к железу тоже возможен только под администратором. Однако в винде под админом принято сидеть по умолчанию, в отличии от *nix
0
Вообще странно всё, зачем автор вируса мучался с парсингом NTFS. Ведь самый простой вариант: Перед заражением загрузочного сектора, для нужного файла получить список кластеров (благо это очень просто), далее сохранить эту таблицу вместе с загрузочным сектором, а далее уже несложными вычислениями заразить сразу нужный файл, без предварительного поиска.
К тому же если этот код хотят задействовать для обхода WFP (то это довольно странно), потому что WFP обходится через банальный FileMapping. Другое дело Антивирусы, но что-то мне подсказывает что ни один нормальный антивирус не даст прямого доступа к MBR и Boot
К тому же если этот код хотят задействовать для обхода WFP (то это довольно странно), потому что WFP обходится через банальный FileMapping. Другое дело Антивирусы, но что-то мне подсказывает что ни один нормальный антивирус не даст прямого доступа к MBR и Boot
+1
Неинтересно, потому как в таком варианте даже в случае восстановления userinit.exe, но не восстановления MBR произойдёт повторное заражение. В Вашем же варианте если восстановить userinit.exe — повторного заражения уже не будет.
0
Я привел вариант альтернативного заражения файлов в обход WFP (хотя с тем же успехом можно восстановить и userinit и mbr). А как основной вариант я привел более простую задачу по поиску файла, без парсинга ФС.
Хотя если дело на то, пошло то надо былобы заражать системные файлы типа svchost/services/lsass потому что они активны на протяжении всей работы windows, в отличии от userinit. т.е. userinit можно тупо руками удалить и WFP его восстановит или руками восстановить, без перезагрузки компа. А потом восстановить MBR. А при заражении того же svchost единственным решением было бы загрузка с другова диска.
Хотя если дело на то, пошло то надо былобы заражать системные файлы типа svchost/services/lsass потому что они активны на протяжении всей работы windows, в отличии от userinit. т.е. userinit можно тупо руками удалить и WFP его восстановит или руками восстановить, без перезагрузки компа. А потом восстановить MBR. А при заражении того же svchost единственным решением было бы загрузка с другова диска.
0
Можно и так. И тогда вообще фэйковым explorer'ом не пользоваться, а тупо лепить всё в джойнер. И создать криптованный раздел в неразмеченной области диска, куда сваливать пэйлоад. Но тогда это будет совсем другой зловред :)
0
так уже нельзя. так уже tdss делает :)
+1
Думаете, засудят по патентам и копирайтам? ;)
0
ну засудить не засудят, но tdl5 могут наверное с новыми извращениями изобрести :)
0
Зачем? В 3-ем шикарно придумали с кодом в разделах драйверов и скрытым разделом для библы с конфигом. Но tdl3 уже как бы устарел: в 4-м — буткит с поддержкой х64.
Пока всё работает — нет смысла выкидывать козыря из рукавов.
Пока всё работает — нет смысла выкидывать козыря из рукавов.
0
По мотивам? Я бы назвал это переводом.
+1
У вас обе ссылки в начале текста одинаковы — так и задумано?
+1
А чем лечится?
0
По идее — антивирусом :)
Если вручную — то:
1. Глушим фэйковый %temp%\explorer.exe
2. Восстанавливаем MBR и немедленный reboot.
3. Восстанавливаем userinit.exe
Немного сложнее будет, если заражённый userinit автоматом распаковывает и стартует фэйковый explorer.exe, ещё хуже — если он же повторно заражает MBR в случае её восстановления. Но и это можно победить — придётся скрипт на AVZ ваять ;)
Вообще лечение возможно, это не самый страшный вариант зловреда.
Если вручную — то:
1. Глушим фэйковый %temp%\explorer.exe
2. Восстанавливаем MBR и немедленный reboot.
3. Восстанавливаем userinit.exe
Немного сложнее будет, если заражённый userinit автоматом распаковывает и стартует фэйковый explorer.exe, ещё хуже — если он же повторно заражает MBR в случае её восстановления. Но и это можно победить — придётся скрипт на AVZ ваять ;)
Вообще лечение возможно, это не самый страшный вариант зловреда.
0
Немного сложнее будет, если заражённый userinit автоматом распаковывает и стартует фэйковый explorer.exe— имелось в виду в случае его (explorer.exe) выгрузки из памяти.
0
Вообще, зловред уже палят все кому не лень.
Если сообществу будет интересно рассмотреть механизм ручного удаления — пожалуйста, плюсуйте этот коммент. Наплюсуете больше 20 — заражу виртуалку и вручную пролечу, о результатах отпишусь :) Благо дроппер на руках.
Если сообществу будет интересно рассмотреть механизм ручного удаления — пожалуйста, плюсуйте этот коммент. Наплюсуете больше 20 — заражу виртуалку и вручную пролечу, о результатах отпишусь :) Благо дроппер на руках.
+16
А разве нельзя до ребута переименовать зараженный userinit.exe во что-то иное, восстановить userinit.exe и после этого перегрузиться?
+1
А Вы попробуйте в активной системе userinit.exe переименовать :)
0
Ну дело в том что я сперва проверил, а потом спросил :)
Например это можно сделать в Far'е. Я так делаю когда невозможно удалить файл (например он запущен и процесс невозможно прибить) — переименовываю его, а потом удаляю после перезагрузки.
Например это можно сделать в Far'е. Я так делаю когда невозможно удалить файл (например он запущен и процесс невозможно прибить) — переименовываю его, а потом удаляю после перезагрузки.
+1
… не занимаемся фигней, грузимся с лайвсиди и «глушим/восстанавливаем/...» с комфортом и заметно большей вероятностью успешного лечения. Разумеется, если вирус достаточно туп и не шифрует ФС, например.
0
LiveCD — это, видимо, универсальное решение при лечении любого активного заражения. К сожалению, оно, при своей универсальности, не самое удачное. Проблем может быть несколько:
— нетбук без привода
— платный трафик, а готовой болванки нет
— просто не на что записать в данный момент :)
— не запускается программа для записи на заражённой машине и/или запись не проходит успешно. Или не качается образ. Незаражённой системы под рукой в данный момент нет.
— нетбук без привода
— платный трафик, а готовой болванки нет
— просто не на что записать в данный момент :)
— не запускается программа для записи на заражённой машине и/или запись не проходит успешно. Или не качается образ. Незаражённой системы под рукой в данный момент нет.
0
— нетбук без привода — юсб флешка.
— платный трафик, а готовой болванки нет — да емае
— просто не на что записать в данный момент :) — юсб флешка.
— не запускается программа для записи на заражённой машине и/или запись не проходит успешно. — юсб флешка уже заготовленная.
Или не качается образ. Незаражённой системы под рукой в данный момент нет. — юсб флешка уже заготовленная.
И так можно до опупения продолжать.
— платный трафик, а готовой болванки нет — да емае
— просто не на что записать в данный момент :) — юсб флешка.
— не запускается программа для записи на заражённой машине и/или запись не проходит успешно. — юсб флешка уже заготовленная.
Или не качается образ. Незаражённой системы под рукой в данный момент нет. — юсб флешка уже заготовленная.
И так можно до опупения продолжать.
-1
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анализ Smitnyl.A — первого гибрида буткита и файлового инфектора