Перейти к содержанию

Что с BackDoor.Tdss.565


Самогонщик

Рекомендуемые сообщения

Что известно про пути распространения? Или всё покрыто мраком, как и в случае с Рустоком? И пока нам Саша Гостев в очередном детективном повествовании не напишет, как распространяется зараза, мы про это знать ничего не будем?

Ссылка на комментарий
Поделиться на другие сайты

А что с КАВ/КИС? Не справятся ? :)

С новыми семплами,на сколько я знаю, не справляется НИКТО, кроме данной утилиты. :)

 

Что известно про пути распространения?

Один из:

"Привет, прикольное видео: "ссылка"-> переход по ссылке- реально видео, но + сообщение: "Для просмотра данного видеофайла, необходимо установить пакет кодеков"" и далее по сценарию... :help:

Ссылка на комментарий
Поделиться на другие сайты

Слишком уж веселая игрушка этот ТДСС. лучше юзать специально натасканного на него киллера

Ребята старались. :)

 

Кстати:

Итак, оглашаю краткий список интересных фич нового ТДСС5 (версия 4 сейчас релизится, наши люди работают уже над 5й).

 

Дроппер проникает на компьютер при помощи специальных вызовов к драйверу USB-концентратора из заражённой микропрограммы флешки. Все флешки, вставляемые в компьютер, проверяются на предмет маркера 0xDEADF001 по смещению 0x7D55 (aka TDSS) в микропрограмме контроллера, и если не находится маркер - то заражают.

 

TDSS5 создаёт на компьютере, куда попал, беспроводное сетевое подключение с ssid "hpsetup", через которое при подключении по механизму worm.win32.delf начинает рассылать свои копии с привлекательными именами. Имена формируются на основе случайных комбинаций 1500 слов из групп (ru-build) "xxx - porno", "antivirus", "putin - medvedev", "semenovi4 - seryoga" (группа поп звёзд, самая обширная, часто используется вместе с группой тематики xxx - porno), "shock - novosti" и "Timoshenko - poroshenko", также часто сопоставляемой со 2й и 1й группами.

 

В случае обнаружения запрещённой к записи флешки, руткит использует классический autorun.inf. Кроем того, используется изменённый подход Virus.redolf, состоящий в использовании для размножения на локальной машине и сетевых дисках и папках файлов desktop.ini.

 

На 13й день своей жизни на кломпьютере пользователя руткит выводит сообщение, предлаагающее пользователю отправить смс tdss2010iPray4U на короткий номер 3358 (98642 для Life:) Ukr и 774432 для Мегофон), стоимостью 40$. В случае отказа выполнения требования в течение 24 часов, руткит меняет драйвера дисплея на устройство "Metheus 4 Megapixel, для двух экранов" и вызывает функцию установки цветовой температуры с отрицательным значением, что приводит к закипанию и сгоранию ЖК экранов. ЭЛТ мониторы не подвержены вредоносному влиянию. После этого, удаляется раздел vgasafe, а в параметры дров на nvidia или ati (смотря что на машине) вносятся некорректные значения, препятствующие запуску драйвера.

:)

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Данила, ну что ты.... представь себе что сейчас начнется после такого описания

Все флэшки под пресс. ЖК-мониторы в ванную

Обыск всех друзей - на наличие флэшек... А если попадется подруга.... :)

Ссылка на комментарий
Поделиться на другие сайты

До чего уже вирусописатели доходят. Уже переходят от слов к делу. Интересно он и правда может сжечь монитор. И антивирус не заметит как вирус меняет драйвера дисплея.

Тяжёлый случай.

Ссылка на комментарий
Поделиться на другие сайты

starik и Mark D. Pearlstone

 

:) Вы смайлик под описанием видели? :help:

Вот где ... До первого апреля ещё далеко) Ну, Danilka, погоди :) Да не прибудет к тебе BackDoor.Tdss.565 страшный :cry2:

Ссылка на комментарий
Поделиться на другие сайты

Вот где ... До первого апреля ещё далеко)

:help:

 

Ну, Danilka, погоди :) Да не прибудет к тебе BackDoor.Tdss.565 страшный :cry2:

 

Он у меня и так на виртуалке не плохо живет. :)

Ссылка на комментарий
Поделиться на другие сайты

Ты его мониторами подкармливаешь? или держишь на голодном пайке?

 

Ааааа... тот монитор формата 6 в 1 - случайно не жертва? :)

Ссылка на комментарий
Поделиться на другие сайты

С новыми семплами,на сколько я знаю, не справляется НИКТО, кроме данной утилиты. :)

Как так Dr.WEB вроде заявил что он не только детектит его но и лечит.

Ссылка на комментарий
Поделиться на другие сайты

Ааааа... тот монитор формата 6 в 1 - случайно не жертва? ;)

:) тсссс. :acute:

 

Как так Dr.WEB вроде заявил что он не только детектит его но и лечит.

На тот момент они не знали о новых семплах... ;)

Изменено пользователем Danilka
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...