Перейти к содержанию

Руткит и все, все, все...

Hitomi

От Hitomi
в Технологии и техника

 Share

Рекомендуемые сообщения

Hitomi Продвинутый

Hitomi

Опубликовано
Опубликовано

Не так давно, размышляя о вечном и прекрасном ( проще говоря - рассматривал свои пхотки :huh: ), попутно обдумывал один случай, натолкнувший меня на следующий вопрос.

 

Вот существует такая программа - руткит. Служит она для сокрытия, маскировки других вредоносных программ...

 

А вот интересно. Он может работать только в паре с каким-либо определённым вредоносом? То есть руткит создаётся...ну допустим только для работы с почтовым червём а обычный вирус или троян, в таком случае, уже не попадают под его действие? Или ему вообще без разницы кого "покрывать"? Тогда возникает следующий вопрос. Насколько большая и "разношёрстная" компания может спрятаться под его защитой? Допустим, сможет ли руткит "спрятать" троицу вирусов, пару червей (один из которых почтовый, а второй так просто), пяток разноназначенных "троянов" и ещё какую-нибудь ad-варь?... Причём делать это так, что Касперский 7.0. не может ничего найти?

Ссылка на комментарий
Поделиться на другие сайты
Fasawe Профи

Fasawe

Опубликовано
Опубликовано
А вот интересно. Он может работать только в паре с каким-либо определённым вредоносом? То есть руткит создаётся...ну допустим только для работы с почтовым червём а обычный вирус или троян, в таком случае, уже не попадают под его действие? Или ему вообще без разницы кого "покрывать"? Тогда возникает следующий вопрос. Насколько большая и "разношёрстная" компания может спрятаться под его защитой? Допустим, сможет ли руткит "спрятать" троицу вирусов, пару червей (один из которых почтовый, а второй так просто), пяток разноназначенных "троянов" и ещё какую-нибудь ad-варь?... Причём делать это так, что Касперский 7.0. не может ничего найти?

А почему нет? Но подумайте сами - каждый спрятанный разнообразный вирус будет требовать, чтобы руткит был функциональнее, т.е. толще.

И как следствие, руткит станет более заметным и соответственно более уязвимым.

Ради интереса создать такое чудо можно, но не более. В моем понимании руткит надо максимально минимизировать.

Ссылка на комментарий
Поделиться на другие сайты
Hitomi Продвинутый

Hitomi

Опубликовано
  • Автор
Опубликовано (изменено)
руткит был функциональнее, т.е. толще.

 

опять же - чем толще, тем функциональнее. А значит больше возможности задурить голову антивиру. Не праздный интерес у меня.

 

Доступа к тому компу я не имею, лиц.КАВ7.0. ничего не видит на нём. Однако флешка с него содержала кучу "гостей". Не склонен думать, что Касперский глюканул целой "гирляндой". КАВ8.0. не поставить по причине SP1.

Изменено пользователем Hitomi
Ссылка на комментарий
Поделиться на другие сайты
starik Продвинутый

starik

Опубликовано
Опубликовано

Руткит - это зачастую драйвер (ring0) который скрывает процессы, файлы, ключи реестра - по маске уже "вшитой" в него.

Однако "нормальные" руткиты (а их мало) могут работать в паре с пользовательскими приложениями т.е. происходит создание устройства, после чего с user mode возможно отсылать Irp запросы только что созданному устройству, зачастую в Irp передаётся структура содержащая информацию для скрытия объектов. Процесс передачи информации обсадютно не вызывает не каких подозрения у антивирусов т.к. при этом используются обычные API функции - CreateFile(открывает манипулятор устройства), DeviceIoControl (отправка самого запроса).

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано

starik, +1. Написано всё правильно, но подозрения у антивируса может вызвать не сам руткит, а то, что он маскирует, либо до маскировки, либо при попытке "что-то натворить".

 

Hitomi, очень маловероятно, что на описанном компе сидит такой руткит, который прячет гирлянду малвари не только на компе, но и на флешке. Но теоретически это возможно. А что тут можно посоветовать - установить сервиспак поновее а потом КАВа восьмого...

Ссылка на комментарий
Поделиться на другие сайты
Hitomi Продвинутый

Hitomi

Опубликовано
  • Автор
Опубликовано (изменено)
не только на компе, но и на флешке.

Нет. В том и дело, что на компе семёрка ничего не видит, а у меня восьмёрка находит на флешке "оттуда" эту самую гирлянду...

На флешке никакого руткита не было.

Неужели КАВ такой ложный алерт всё таки выдал?

Изменено пользователем Hitomi
Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано

Покажите вердикт КАВ8.

 

Кстати, может быть и такое: эти файлы относятся к категории угроз, которые на другом компе с КАВ7 игнорируются...

Ссылка на комментарий
Поделиться на другие сайты
Hitomi Продвинутый

Hitomi

Опубликовано
  • Автор
Опубликовано
Покажите вердикт КАВ8.

К сожалению не сохранил.

Конкретно определялись (некоторые неоднократно, не в одном месте то есть)

Worm.Win32.AutoRun.ci

Virus.VBS.Small.a

Trojan.WinREG.AutoRun.a

Worm.Win32.VB.el

Worm.Win32.AutoRun.dmp

На эту тему я начинал уже здесь разговор. Просто меня "догнало" поинтересоваться про руткит только теперь. ;)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Тарас333
      Похоже руткит
      От Тарас333
      Здравствуйте, помогите, похоже руткит!
      CollectionLog-2024.02.07-23.03.zip
    • user69696969
      не могу удалить руткит
      От user69696969
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
      Ошибка анализа библиотеки user32.dll   
      аvz выдает ну там еще нейтрализует что то постоянно при чем при след скане.возобновляеться вообщем мне кажеться дело в эом коде подскажите плз как удалить его?не получаеться вообще
×
×
  • Создать...