avatar1989 Публикувано Април 4, 2012 Report Share Публикувано Април 4, 2012 Наскоро ми се наложи да се справя с компютри заразени със споменатите горе рууткити.За TDSS използвах инструмента на Kaspersky и го елиминирах.Обаче с ZeroAccess не се получи толкова лесно.Използвах ComboFix и споменатия туул на Kaspersky.Елиминирах го обаче TCP/IP стека беше повреден и нямах интернет.Изтрих всички точки за възстановяване.Пуснах рипеър на инсталацията.След нея обаче проблема си оставаше освен това авирата ми засичаше нови вируси.Преинсталирах на чисто и засега всичко е наред и логовете на OTL изглеждат чисти. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Април 4, 2012 Report Share Публикувано Април 4, 2012 Kаква изобщо е целта на темата ?Combofix не е инструмент, който трябва да се използва без надзор от потребители запознати с неговите възможности.Щом не сте успяли да поправите щетите по TCP/IP stack-a, явно не сте запознати как правилно и ръчно да почистите ZeroAccess.Само с автоматични тулчета не става. Изисква се писането на доста скриптове според ситуацията и нанесените щети по Операционната Система.Ако нямате повече въпроси и проблеми мисля да затворя темата ви, защото тук не обучаваме в използването на инструментите. Поздрави ! Цитирай Link to comment Сподели другаде More sharing options...
avatar1989 Публикувано Април 5, 2012 Author Report Share Публикувано Април 5, 2012 Целта на темата ми беше да разбера защо и как рууткита поврежда стака.Освен това мисля че няма лошо да се науча да работя с ComboFix и други подобни инструменти.Целта ми не е просто да реша проблема а да разбера как зловредния код наистина действа. Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Април 5, 2012 Report Share Публикувано Април 5, 2012 Целта на темата ми беше да разбера защо и как рууткита поврежда стака.Освен това мисля че няма лошо да се науча да работя с ComboFix и други подобни инструменти.Целта ми не е просто да реша проблема а да разбера как зловредния код наистина действа.Tук никой няма да те обучи и едва ли някой ще ти обясни. Политиката спрямо някои инструменти е императивна и трябва да влезеш в специално онлайн школо, ако те приемат, т.е не е само въпрос на желание и трябва да преминеш определен курс.Иначе, винаги можеш да потърсиш, ето един сайт, където има описано как се прави Recovery на IP/TCP стака след премахването на Zero Access/Маx++zeroaccess-rootkit-sirefef-no-internet-connectivity-dnsАбсурдно е да говорим за стандартизирана методика и автоматични инструменти,.A защо поврежда IP/TCP? Ами абстрактно и обяснено по моему, гадинката се вкопчва за нейни си цели, за да препраща към страници и най-различен друг вид контрол на трафика. За целта тя променя настройки, пачва драйвери. Когато гадинката бъде премахната, драйверите остават пачнати, а настройките променени. Но нея вече я няма, настройките далеч не са тези, които са по оригиналному от OS. Мисли за гадинката в случая като за мост между заразената OS и IP/TCP. Ясно е какво става, когато разрушиш моста/премахнеш гадинката/.А различните зловреди имат различни начини на действие...В днешно време зловредите се пишат за пари и получаване на някаква изгода. Дали ще те препраща към някакъв сайт, ще ти краде информацията, ще се представя за фалшив антивирус-всичко е за пари...Толкова от мен, че модераторите ще ме бият по главата... Цитирай Link to comment Сподели другаде More sharing options...
avatar1989 Публикувано Април 5, 2012 Author Report Share Публикувано Април 5, 2012 Благодаря за отговора.Да разбирам ли че няма толкова лесно да намеря материали на тази тема.За какъв курс става на въпрос. Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Април 5, 2012 Report Share Публикувано Април 5, 2012 Благодаря за отговора.Да разбирам ли че няма толкова лесно да намеря материали на тази тема.За какъв курс става на въпрос.http://safezone.cc/forum/showthread.php?t=1012 VIRUSNEThttp://www.geekstogo.com/forum/topic/4817-would-you-like-to-learn-to-fight-malware/ GeeksToGohttp://www.bleepingcomputer.com/forums/topic86678.html Bleepingcomputerhttp://forums.whatthetech.com/index.php?showtopic=80368 WhatTheTechИнтересно е да отбележа, че между някои школота има интересни неразбирателства За някои зловреди има материали по обезвреждането им от самите антивирусни компании или трети източници, обикновено тези с по-стандартизираното почистване. За други информацията е малко. Трети са нови и почти нищо няма за тях.Курсовете не са за 1 ден, изискват старание, търпение и разбиране на поне средно компютърно ниво. Обаче кандидатстването не значи, че ще те приемат веднага...Кандидати имало много и чакането може и да е голямо... Цитирай Link to comment Сподели другаде More sharing options...
avatar1989 Публикувано Април 5, 2012 Author Report Share Публикувано Април 5, 2012 Много благодаря за информацията. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Април 5, 2012 Report Share Публикувано Април 5, 2012 Това е малко по-добра статия за възстановяване на stack-a.Разбира се, ZeroAccess и TDL3 се обновяват доста често и това води и до промяна в тактиката на почистването.Автоматични тулчета има доста - TDSSKiller, Combofix, Hitmanpro, Yorkyt, MBAM, но често се иска и ръчна намеса. Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Април 5, 2012 Report Share Публикувано Април 5, 2012 Това е малко по-добра статия за възстановяване на stack-a.Разбира се, ZeroAccess и TDL3 се обновяват доста често и това води и до промяна в тактиката на почистването.Автоматични тулчета има доста - TDSSKiller, Combofix, Hitmanpro, Yorkyt, MBAM, но често се иска и ръчна намеса.Именно...Изисква се често ръчна намеса...Аз все си мисля, че от Microsoft трябва да измислят функция за проверка на файловете по контролни суми..Но е доста трудно за имплементиране, поради обновяванията на ОС. Цитирай Link to comment Сподели другаде More sharing options...
avatar1989 Публикувано Април 6, 2012 Author Report Share Публикувано Април 6, 2012 А има ли програма чрез която да се проверяват контролните суми и да сигнализира при промяна. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Април 6, 2012 Report Share Публикувано Април 6, 2012 Повечето могат да проверяват ръчно MD5 статуса на зададените обекти, само един проверява автоматично, но е забранено да се говори за него...Но аз не виждам как това ще помогне за почистването на ZeroAccess. Цитирай Link to comment Сподели другаде More sharing options...
avatar1989 Публикувано Април 6, 2012 Author Report Share Публикувано Април 6, 2012 Няма общо но както вече казах интересувам се от всичко свързано с борбата със зловреден код.Та относно контролните суми може ли малко повече подробности .Относно рууткитите-на споменатия компютър ми излизаше съобщение от TDSS Killer за Backboot.Доколкото разбрах това е бооткит-записва се в MBR-ра и действа оттам.След преинстала се махна обаче мисълта ми е дали може да се махне само чрез презапис на MBR сектора. Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Април 6, 2012 Report Share Публикувано Април 6, 2012 Повечето могат да проверяват ръчно MD5 статуса на зададените обекти, само един проверява автоматично, но е забранено да се говори за него...Но аз не виждам как това ще помогне за почистването на ZeroAccess. Не конкретно за ZeroAccess, но ако можеше да се прави проверка на статуса на контролните суми на системните файлове, чрез Live система, това би било много полезно срещу някои зловреди, а и като цяло би предоставило информация за съмнителни нерегламентирани пачвания на системни файлове.Няма общо но както вече казах интересувам се от всичко свързано с борбата със зловреден код.Та относно контролните суми може ли малко повече подробности .Относно рууткитите-на споменатия компютър ми излизаше съобщение от TDSS Killer за Backboot.Доколкото разбрах това е бооткит-записва се в MBR-ра и действа оттам.След преинстала се махна обаче мисълта ми е дали може да се махне само чрез презапис на MBR сектора.Backboot.gen, до колкото помня е генерично име, което TDSS Killer дава при засичане на bootkit/MBR Rootkit/Да, приципно с премахване на bootkit кода от MBR-то на заразеният компютър, той би трябвало да бъде почистен/да не може да се стартира. Но например TDL4 си създава отделна партиция на твърдият диск, криптирана, към която води заразеният MBR, информацията от нея се декриптира, парсва и налага контрол върху зареждането на MS Windows. За да е пълно почистването, трябва да се изтрие и дялът, който гадинката създава. Най-добре е всичко това да става offline, а още по-добре след това да се сканира цялостно през LiveCD.Eто малко информацияhttp://cleanbytes.ne...boot-record-mbrЧакам новите гадинки, които хем заразяват MBR и се стартират от него, хем се стартират и в Windows, така че дори и да изчистиш MBR, при стартиране на Windows те пак го презаписват/заразяват, а при изтриване на компонента им в OS при следващо стартиране да се заразява OS и наново да се "инсталира" компонентът, така че да се налага хем да се ликвидира резидиращата в OS част, хем да се чисти MBR... Цитирай Link to comment Сподели другаде More sharing options...
Гост newnickname Публикувано Април 6, 2012 Report Share Публикувано Април 6, 2012 Няма общо но както вече казах интересувам се от всичко свързано с борбата със зловреден код.Та относно контролните суми може ли малко повече подробности .Относно рууткитите-на споменатия компютър ми излизаше съобщение от TDSS Killer за Backboot.Доколкото разбрах това е бооткит-записва се в MBR-ра и действа оттам.След преинстала се махна обаче мисълта ми е дали може да се махне само чрез презапис на MBR сектора. Мисля, че може да се махне с Dr. Web Live CD. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Април 6, 2012 Report Share Публикувано Април 6, 2012 Той и TDSSKiller би могъл, но не с Cure (а с Restore) опцията.Все пак не препоръчвам човъркането по MBR, BCD таблици, партишъни и т.н. без човек да е наясно какво точно прави.Едно презаписване на MBR със стандартен код и може да направи компютъра небуутващ или поне потребителя да загуби достъп до Recovery партишъна.Някои бацили пък даже не се поправят чрез fixmbr, а само с fixboot. Като цяло презаписването на MBR-то си остава едно от най-успешните манипулации.Иначе трябва да се форматира Операционната Система, да се изтрие дяла и да се създаде наново и да се инсталира начисто.За по-запознатите пък - просто отварянето на MBR с един прост hex едитор и поправянето на стойностите вътре също би свършило работа... Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.