Dotaz na zkušeného hackera či programátora

[qcp]

Jednoduse z neinfikozovaneho pocitace se podivam na disk resp. konec disku treba pres winhex ci jiny programek...

A co mam hledat? Resp. Tandardni antivirak na cistem pocitaci neco na infikovanem disku najde?


Sent using Tapatalk

[Reklama]

[MiliNess]

Musíš spustit třeba LiveCD. Z něho to v diskovém editoru uvidíš. Dnes to už antiviry/antirootkity najdou, protože ví, co mají hledat. Napsat virus a použít profláknuté techniky umí každý vůl.
Machr použije novou techniku, kterou nehlídá AV program ani operační systém. Jsem docela zvědav, co vznikne, až se masivně rozšíří UEFI. S tím už budou muset antiviry počítat.
Proč ale hledat nové díry v systému, zneužitelné třeba k eskalaci práv nebo spuštění kódu v ring0, když stačí mailem poslat v příloze soubor školačky_šukají_školníka.exe a 60% uživatelů to dobrovolně spustí i s právy správce. Dalších 30% si spustí přílohu mladá_japonka_kouří_psa.exe. Zbývajících 10% má buď rozum, dobrý antivir nebo nemá počítač.

Jinak tohle byl frajer

[qcp]

No a co situace, kdy mi avg bezi viz screenshot vyse a presto ten virus fbi se spustil!!!

Ps: http://www.digit.cz/2013/03/21/digit-95-bezpecnost/ chlapik z esetu


Sent using Tapatalk

[hroch123]

Nebaví mě to, je to úmorný houbaření. Zavřete to jako Warez.

[jaro3]

Tak se taky přidám:

New TDL4 rootkit

Win32/Olmasco.R (dle ESETu) nebo MAXSS or Pihar (BitDefender).
http://www.eset.eu/encyclopaedia/win32- ... anger-cq-b

Tento aktualizovaný TDL4 znechopní dosavadní mbr , a vytvoří nový oddíl na disku , který prohlásí za mbr.

Popsáno zde:
http://www.geekstogo.com/2297/tdl4-infe ... xss-pihar/

odstranění tohoto oddílu a uschopění starého oddílu s mbr , je možné jen mimo systém , na bázi Linuxu = gparted apod.

Zjištění by mělo napomoci přítomnost klíče( viz odkaz esetu):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
IpFilterDriver]
A souboru:
%system%\drivers\mbam.sys

New TDL4 rootkit


00000000
00000020
00000060
00000080
000000A0
000000C0
000000E0
00000100
00000120
00000140
00000160
00000180
000001A0
000001C0

***************************************************************************
http://blog.eset.com/2011/10/18/tdl4-rebooted
http://translate.google.cz/translate?hl ... md%3Dimvns
Mějte na paměti, že MBR obsahuje tabulku oddílů na posunu 0x1BE od svého vzniku v prvním sektoru disku. Tato tabulka se skládá ze čtyř 16-bajty položek, z nichž každá popisuje odpovídající oddíl na pevném disku. Tak tam jsou na maximálně 4 primární oddíly na pevném disku a tam je přesně jeden oddíl označen jako aktivní, což znamená, že je oddíl, v němž se OS zavést. Malware přepíše prázdné položky v tabulce oddílů s parametry pro nebezpečné oddíl, označí ji jako aktivní a inicializuje VBR (Volume Boot Record), nově vzniklého oddílu, jak je

***************************************************************************

http://www.securelist.com/en/analysis/2 ... L4_Top_Bot

http://translate.google.cz/translate?hl ... md%3Dimvns
Zločinci, aby soubor s názvem ktzerules přístupné na síti Kad. Soubor je zašifrován a obsahuje seznam příkazů pro TDSS.
Počítače infikované TDSS obdrží příkaz ke stažení a instalaci kad.dll modul.
Po instalaci, kad.dll stažení souboru nodes.dat, který obsahuje veřejně přístupný seznam IP adres Kad síťové servery a klienty.
Kad.dll modul odešle požadavek na Kad síť pro vyhledávání souborů ktzerules.
Jakmile ktzerules soubory byly staženy a šifrované, kad.dll spustí příkazy, které obsahuje ktzerules.

***************************************************************************

http://public.avast.com/~gmerek/aswMBR.htm
http://translate.google.cz/translate?hl ... md%3Dimvns
*****************************************************************************

Od: fredik

Jedná se o upravenou verzi 4. Nějaké info najdeš k tomu na blogu
esetu, ale to je zmíněné v odkazu na G2G. Jinak k původní verzi jsou nějaké informace i u Kasperáků.

V podstatě by to mohlo jít přes různé live distribuce linuxu, možná i z nějakých rescue CD...

Můžeš se také mrknout na poslední verzi(0.9.9.1124) aswMBR, kde do výpisu je přidaný i přehled partition disků.


Je to stále jen upravené TDL4 …ale je značně upraven a to nejspíše více týmy ( prodán a upraven?).

Viz:
http://blog.eset.com/2011/10/18/tdl4-rebooted
http://translate.google.cz/translate?hl ... md%3Dimvns
***************************************************************************

http://www.securelist.com/en/analysis/2 ... L4_Top_Bot

http://translate.google.cz/translate?hl ... md%3Dimvns
***************************************************************************

http://public.avast.com/~gmerek/aswMBR.htm
http://translate.google.cz/translate?hl ... md%3Dimvns

Jak se zdá poslední update aswMBR již infikování TDL4 zachytil , mám ale určitou nejistotu k možnosti odstranění tohoto rootkitu (Fix , Fix MBR apod.), viz již minulé verze nebyly optimální a odfiltrace se nezdařila , jak bylo zamýšleno ( vlastní úvaha..).
Proto si myslím , že v podstatě by to mohlo jít přes různé live distribuce linuxu, možná i z nějakých rescue CD...

Po ovládnutí PC , po jeho restartu je počítač ovládán pomocí techniky botnetu ( pomocí sítí P2P , viz odkazy ,objevují se různé adresy , na kterých se shromaždují informace , ale i chyby z infikovaných PC..
I když se nákazy tohoto typu již začleňují do antivirové databáze ( viz třeba Avast , Kaspersky) , jeho odstranění a návrat do původního stavu je značně problematický..

Nejlepší možná bude pomocí nějakého infa upozornit usery , požádám fredika , zda by to napsal do své sekce (Bezpečností hrozby) , nebo zatím nic nepsat.

Obrana ( prevence)
pomocí Vytvoření disku pro opravu systému
http://windows.microsoft.com/cs-CZ/wind ... epair-disc
http://neosmart.net/blog/2009/windows-7 ... air-discs/

[qcp]

A nejaky hotovy fixer / detektor by nebyl?
Ten obrazek je bootblocku? V tt se popiska jaksi neukaze...
---
Hroch: to jsem nepobral, kdyz se ti tu nelibi, necti
---
http://www.antivirovecentrum.cz/aktuali ... y-rsa.aspx tady by me zajimalo, jestli nekdo meri dobu mezi zjistenim hole a vydanim zaplaty, zvlast u produktu adobe?
---
Dalsi co se mi nezdalo, ty automaticke opravy, donedavna bylo velmi snadne a vetsinou i dnes, podvrhnout server, manipulaci DNS, hosts apod... Anebo si vsechny sw s auto-update checkuji nejaky certifikat ci co i na starych systemech (< win7 64bit)?

Sent using Tapatalk

[Uziv00]

Nebaví mě to, je to úmorný houbaření. Zavřete to jako Warez.

A proč? Já se rád naučím něco nového. Nedej Bože, abych umřel blbej

[MiliNess]

[url]Malware přepíše prázdné položky v tabulce oddílů s parametry pro nebezpečné oddíl, označí ji jako aktivní a inicializuje VBR (Volume Boot Record), nově vzniklého oddílu[/url]
No vida, tak už přesunuli kód do VBR aby se vyhnuli detekci při kontrole MBR zavaděče. Blbý pro ně je, že je to takhle lépe detekovatelné. Ale je vidět, že to ještě není mrtvý. Jsem zvědavý, co bude následovat.

[qcp]

Browsery jsou derave, jediny ktery vydrzel je udajne safari na osx

Zdroj: slashdot, pwnium 2013

Sent using Tapatalk