Hitomi Опубликовано 26 декабря, 2008 Опубликовано 26 декабря, 2008 Не так давно, размышляя о вечном и прекрасном ( проще говоря - рассматривал свои пхотки ), попутно обдумывал один случай, натолкнувший меня на следующий вопрос. Вот существует такая программа - руткит. Служит она для сокрытия, маскировки других вредоносных программ... А вот интересно. Он может работать только в паре с каким-либо определённым вредоносом? То есть руткит создаётся...ну допустим только для работы с почтовым червём а обычный вирус или троян, в таком случае, уже не попадают под его действие? Или ему вообще без разницы кого "покрывать"? Тогда возникает следующий вопрос. Насколько большая и "разношёрстная" компания может спрятаться под его защитой? Допустим, сможет ли руткит "спрятать" троицу вирусов, пару червей (один из которых почтовый, а второй так просто), пяток разноназначенных "троянов" и ещё какую-нибудь ad-варь?... Причём делать это так, что Касперский 7.0. не может ничего найти?
Fasawe Опубликовано 26 декабря, 2008 Опубликовано 26 декабря, 2008 А вот интересно. Он может работать только в паре с каким-либо определённым вредоносом? То есть руткит создаётся...ну допустим только для работы с почтовым червём а обычный вирус или троян, в таком случае, уже не попадают под его действие? Или ему вообще без разницы кого "покрывать"? Тогда возникает следующий вопрос. Насколько большая и "разношёрстная" компания может спрятаться под его защитой? Допустим, сможет ли руткит "спрятать" троицу вирусов, пару червей (один из которых почтовый, а второй так просто), пяток разноназначенных "троянов" и ещё какую-нибудь ad-варь?... Причём делать это так, что Касперский 7.0. не может ничего найти? А почему нет? Но подумайте сами - каждый спрятанный разнообразный вирус будет требовать, чтобы руткит был функциональнее, т.е. толще. И как следствие, руткит станет более заметным и соответственно более уязвимым. Ради интереса создать такое чудо можно, но не более. В моем понимании руткит надо максимально минимизировать.
Hitomi Опубликовано 26 декабря, 2008 Автор Опубликовано 26 декабря, 2008 (изменено) руткит был функциональнее, т.е. толще. опять же - чем толще, тем функциональнее. А значит больше возможности задурить голову антивиру. Не праздный интерес у меня. Доступа к тому компу я не имею, лиц.КАВ7.0. ничего не видит на нём. Однако флешка с него содержала кучу "гостей". Не склонен думать, что Касперский глюканул целой "гирляндой". КАВ8.0. не поставить по причине SP1. Изменено 26 декабря, 2008 пользователем Hitomi
starik Опубликовано 26 декабря, 2008 Опубликовано 26 декабря, 2008 Руткит - это зачастую драйвер (ring0) который скрывает процессы, файлы, ключи реестра - по маске уже "вшитой" в него. Однако "нормальные" руткиты (а их мало) могут работать в паре с пользовательскими приложениями т.е. происходит создание устройства, после чего с user mode возможно отсылать Irp запросы только что созданному устройству, зачастую в Irp передаётся структура содержащая информацию для скрытия объектов. Процесс передачи информации обсадютно не вызывает не каких подозрения у антивирусов т.к. при этом используются обычные API функции - CreateFile(открывает манипулятор устройства), DeviceIoControl (отправка самого запроса).
C. Tantin Опубликовано 26 декабря, 2008 Опубликовано 26 декабря, 2008 starik, +1. Написано всё правильно, но подозрения у антивируса может вызвать не сам руткит, а то, что он маскирует, либо до маскировки, либо при попытке "что-то натворить". Hitomi, очень маловероятно, что на описанном компе сидит такой руткит, который прячет гирлянду малвари не только на компе, но и на флешке. Но теоретически это возможно. А что тут можно посоветовать - установить сервиспак поновее а потом КАВа восьмого...
Hitomi Опубликовано 26 декабря, 2008 Автор Опубликовано 26 декабря, 2008 (изменено) не только на компе, но и на флешке. Нет. В том и дело, что на компе семёрка ничего не видит, а у меня восьмёрка находит на флешке "оттуда" эту самую гирлянду... На флешке никакого руткита не было. Неужели КАВ такой ложный алерт всё таки выдал? Изменено 26 декабря, 2008 пользователем Hitomi
C. Tantin Опубликовано 26 декабря, 2008 Опубликовано 26 декабря, 2008 Покажите вердикт КАВ8. Кстати, может быть и такое: эти файлы относятся к категории угроз, которые на другом компе с КАВ7 игнорируются...
Hitomi Опубликовано 26 декабря, 2008 Автор Опубликовано 26 декабря, 2008 Покажите вердикт КАВ8. К сожалению не сохранил. Конкретно определялись (некоторые неоднократно, не в одном месте то есть) Worm.Win32.AutoRun.ci Virus.VBS.Small.a Trojan.WinREG.AutoRun.a Worm.Win32.VB.el Worm.Win32.AutoRun.dmp На эту тему я начинал уже здесь разговор. Просто меня "догнало" поинтересоваться про руткит только теперь.
C. Tantin Опубликовано 26 декабря, 2008 Опубликовано 26 декабря, 2008 Hitomi ту тему я читал и писал там... На руткит не похоже, похоже на выключенный/необновлённый антивирус Это чисто из опыта 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти