Ars Technica - Raziskovalci iz Kaspersky Lab poročajo o novem botnetu, ki ima vrsto naprednih značilnosti, s katerimi se poizkuša čim dlje časa izmuzniti detekciji in otežiti odstranitev ali uničenje, zaradi česar so ga poimenovali "praktično neuničljiv". Pojavlja se pod imeni TDL-4 (tako ga imenuje pisec), TDSS (tako ga imenujejo protivirusni programi) in Alureon.
Ker so botneti vredno veliko denarja, poizkušajo pisci in upravitelji zakriti prisotnost zlobne programske opreme na okuženih računalnikih in omejiti konkurenco. TDL-4 se zato skrije v zagonski sektor diska (MBR). To je prvi sektor diska, ki se prebere ob zagonu računalnika, in v zdravih računalnikih vsebuje le kazalce za začetek zaganjanja operacijskega sistema. Zato se TDL-4 zažene še pred operacijskim sistemom in protivirusnih programom, kar otežuje njegovo detekcijo.
TDL-4 širijo promotorji (affiliates), ki za vsakih 1000 namestitev na osebne računalnike prejmejo od 20 do 200 dolarjev. Namestitev izvedejo s podtikanjem TDL-4 na pornografske spletne strani, spletne strani z ilegalnimi vsebinami in strani z video vsebinami. Ko enkrat računalnike stakne TDL-4, se ta pritaji v zagonski sektor in pazi, da se nanj ne ugnezdi še kakšna druga zla programska oprema. S tem ubije dve muhi na en mah, sej prepreči, da bi se računalnik obnašal čudno, kar bi vzbudilo sume, in hkrati onemogoča konkurenco.
Za komunikacijo TDL-4 uporablja javno P2P-omrežje Kad, prek katerega vrši komunikacijo v šifrirani obliki. Šifrirni ključi so imena domen, do katerih so vzpostavljene povezave, in parametri bsh iz datoteke cfg.ini. Hkrati TDL-4 na okuženih računalnikih vzpostavi posredniško funkcionalnost (proxy server), tako da jih lahko skrbniki ali kupci storitev botneta uporabljajo za anonimno brskanje po internetu.
Samo letos je TDL-4 okužil več kot štiri milijone računalnikov. Največ okuženih je v ZDA, sledijo pa Indija, Indonezija, Velika Britanija, Kanada in Francija, na katere skupno odpade več kot polovica vseh instanc TDL-4.
Novice » Omrežja / internet » Odkrit nov trdovraten botnet TDL-4
denial ::
Obliž, ki preprečuje nekatere oblike infekcije: KLIK
Quick check:
run => diskpart => lis dis
if
msg "There are no fixed disks to show"
then
you're infected
Quick remedy:
RC => fixmbr
Quick check:
run => diskpart => lis dis
if
msg "There are no fixed disks to show"
then
you're infected
Quick remedy:
RC => fixmbr
SELECT finger FROM hand WHERE id=3;
filip007 ::
Najprej so rekli nov install, potem ne, potem prepisat MBR, kar bo samo delno pomagalo, ta zadeva okuži še disk driver. Pomaga samo čistilno orodje od Kaspersky. http://support.kaspersky.com/viruses/so...
Trevor Philips Industries
filip007 ::
Ja že, gor pa vse epizode Top Gear. Sem videl stvar v akciji, nov install pa je bil nazaj v 10 minutah, zelo zoprna zadeva, pa še MBR na USB ključih isto okuži! Priden Kaspersky Tdss killer
Linux je varen, ker ima odprtokodni sistem ne verjamem, da bi kdo prevzel strežnike in uporabnikom poslal slabe popravke, to bi bil potem Skynet.
Linux je varen, ker ima odprtokodni sistem ne verjamem, da bi kdo prevzel strežnike in uporabnikom poslal slabe popravke, to bi bil potem Skynet.
Trevor Philips Industries
Zgodovina sprememb…
- spremenil: filip007 ()
mihec87 ::
kaspersky tdss killer mi označi sptd.sys za sumljivega?
Suspicious file (NoAccess): C:\Windows\system32\Drivers\sptd.sys.
Suspicious file (NoAccess): C:\Windows\system32\Drivers\sptd.sys.
blblb ::
v Win7 Home ta datoteka ne obstaja, oz. je ni na tistem mestu kjer tebi Kaspersy najde nekaj sumljivega.
lp, blblb
lp, blblb
antonija ::
sptd ti laufa ce imas instalirane Daemon tools (in verjetno tudi kaksen drug SPTD driver). Ce nimas na svojem compu nobenega SWja ki ima tako funkcionalnost, potem zalaufaj se kaksen scan.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Bananovec ::
Torej če se ti na komp nasadi ta umazanija je po eni strani tudi dobro, saj veš kaj imaš gori in veš, da gor ne more priti nič drugega.
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple
this is the shittest tech ever ... and we'll sue you.
Regards, Apple
blblb ::
Imam nalozene Daemon Tools Lite in z njimi mount-an nek image vendar tiste datoteke ni v System32/drivers.
edit: hmm zanimivo. Windows search ga najde tam ampak v Total Commanderju ga pa ne vidim. Cudno tole...
Se opravicijem za paniko :>
lp, blblb
edit: hmm zanimivo. Windows search ga najde tam ampak v Total Commanderju ga pa ne vidim. Cudno tole...
Se opravicijem za paniko :>
lp, blblb
Zgodovina sprememb…
- spremenil: blblb ()
antonija ::
Mene bolj matra firbec zakaj lahko taka nesnaga ucinkovito prepreci drugi nesnagi namestitev na comp, vsi silni AVji pa ne? A je kaksen dogovor da se del AVja ne sme usedet na MBR in ga preverit pred vsemi drugimi kosi SWja?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
radiculus ::
Avast 6 bije bitko z novimi različicami TDL-4. Imajo tudi namensko orodje za odkrivanje in odstranitev tega rootkita aswMBR.
Zgodovina sprememb…
- spremenilo: radiculus ()
denial ::
@filip007
V bistvu ne okuži nobenega gonilnika, temveč naloži driver, ki hooka specifično funkcijo gonilnika diska. Tukaj.
Dalje, ni mi jasno kako je lahko mašina čez 10 min ponovno okužena? IIRC, ta bootkit ne uporablja nobenega 0-day exploita. Za elevacijo privilegijev je uporabljen arhaični MS10-092 (Task Scheduler bug).
USB ključek lahko infecira le če je bootable (torej ima MBR). Večina ključkov ni bootable by default.
Aja, bootkit zazana celo MRT, ki se naloži vsak Patch Tuesday.
@technolog
Jap, Linux je imun. Sam kakšen dolgčas od sistema, da ne premore niti ene spodobne ZlobneKodeTM. :D
V bistvu ne okuži nobenega gonilnika, temveč naloži driver, ki hooka specifično funkcijo gonilnika diska. Tukaj.
Dalje, ni mi jasno kako je lahko mašina čez 10 min ponovno okužena? IIRC, ta bootkit ne uporablja nobenega 0-day exploita. Za elevacijo privilegijev je uporabljen arhaični MS10-092 (Task Scheduler bug).
USB ključek lahko infecira le če je bootable (torej ima MBR). Večina ključkov ni bootable by default.
Aja, bootkit zazana celo MRT, ki se naloži vsak Patch Tuesday.
@technolog
Jap, Linux je imun. Sam kakšen dolgčas od sistema, da ne premore niti ene spodobne ZlobneKodeTM. :D
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
filip007 ::
No ok potem pa to, v vlavnem je da se da stvar elegantno sanirati z mini orodji pod Safe mode kot je Kaspersky Tdss killer. Kako uporabnik ve da ima ravno ta virus in free verzije ga bodo verjetno spustile v drugo fazo je pa druga zgodba.
Trevor Philips Industries
ank ::
aswMBR povzroči BSOD in reboot na mojih windows 7 64bit. Kaspersky Tdss killer pa pregleda brez problemov.
radiculus ::
O čem ti to? Kakšne free verzije? To ni virus ampak rootkit. Namesti ga uporabnik.
Pa TDK je precej neučinkovit pri odstranjevanju novih različic TDL-4. Velikokrat se zgodi da ostaneš z nebootabilno mašino.
Najprej je treba zadevo diagnosticirat. Uporabnik pa lahko zazna, da je gor ta rootkit predvsem po preusmeritvah v iskalnikih, zaznati je tudi izklope AV-ja, počasno browsanje etc.
@ank: To je eksperimentalno orodje, ki se posodablja včasih tudi po večkrat dnevno. Ni za širšo javnost. Trenutna različica tudi na mojem sistemu povzroči BSOD. Vendar samo, če vklopim tudi AV scan. Z (none) opcijo sacn uspešno presta. GMER se pač igra. Danes je sobota in toliko bolj.
Pa TDK je precej neučinkovit pri odstranjevanju novih različic TDL-4. Velikokrat se zgodi da ostaneš z nebootabilno mašino.
Kako uporabnik ve da ima ravno ta virus
Najprej je treba zadevo diagnosticirat. Uporabnik pa lahko zazna, da je gor ta rootkit predvsem po preusmeritvah v iskalnikih, zaznati je tudi izklope AV-ja, počasno browsanje etc.
@ank: To je eksperimentalno orodje, ki se posodablja včasih tudi po večkrat dnevno. Ni za širšo javnost. Trenutna različica tudi na mojem sistemu povzroči BSOD. Vendar samo, če vklopim tudi AV scan. Z (none) opcijo sacn uspešno presta. GMER se pač igra. Danes je sobota in toliko bolj.
filip007 ::
Bla, bla, bla, free verzije AV. Bodo spedenali TDSS se ni za bati, Rusi obvladajo sceno.
Če se komu skenira, Kasperky in Symantec imata lep zalogaj mini orodij, če ste vsi na Avast, pa še kakšen F-Secure web scanner nebi škodval (Java). http://f-secure.com/en_EMEA-Labs/securi...
Pa Stinger od McAffe http://mcafee.com/us/downloads/free-too...
Če se komu skenira, Kasperky in Symantec imata lep zalogaj mini orodij, če ste vsi na Avast, pa še kakšen F-Secure web scanner nebi škodval (Java). http://f-secure.com/en_EMEA-Labs/securi...
Pa Stinger od McAffe http://mcafee.com/us/downloads/free-too...
Trevor Philips Industries
Zgodovina sprememb…
- spremenil: filip007 ()
radiculus ::
In zakaj je tu pomembno če je free ali pay AV? Pa Rusi prepočasi pedenajo svoj TDK. Niso v taktu z avtorji TDL-ja.
MrStein ::
Hvala za linke.
(hmm, stinger mi po zagonu pravi, da je outdated in naj downloadam novo verzijo)
(hmm, stinger mi po zagonu pravi, da je outdated in naj downloadam novo verzijo)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
brodul ::
@technolog
Na Alureon je imun. Ni pa imun na rootkite.
Na Alureon je imun. Ni pa imun na rootkite.
Pretending to be a mature adult is so exhausting.
Furbo ::
WhiteAngel je izjavil:
Če poradiraš MBR in formatiraš disk, ti nima biti kaj.
Ja, pa če poliješ računalnik z bencinom in ga zakuriš tudi ne?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
5er--> ::
Seveda sta imuna, če pa je stvar namenjena Windows sistemom...
sudo dd if=/dev/zero of=/dev/sda bs=466 count=1
denial ::
Artikel, ki je linkal @ninja4t (KLIK) je bullshit beyond any recognition. Tole je boot/rootkit! Mašina mora biti predhodno ownana. Pwnana je lahko preko a)exploitov ali b)povratnega inžiniringa. V primeru TDL* gre za varijanto b --> Users are tricked into executing malware! Ni ga sistema, in tudi ne varnostnega mehanizma, ki bi lahko to preprečil. Remember CVE-0.
SELECT finger FROM hand WHERE id=3;
MrStein ::
Saj ga je že danes.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Furbo ::
Saj se tudi na tem forumu stalno pojavljajo sumljive povezave. Res pa nikoli nobene ne kliknem, da bi videl, kam vodijo, to prepuščam junakom z linuxi. :D
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Spock83 ::
poweroff ::
WhiteAngel je izjavil:
Če poradiraš MBR in formatiraš disk, ti nima biti kaj.
Jaz ne bi bil tako prepričan.
sudo poweroff
Furbo ::
Saj se tudi na tem forumu stalno pojavljajo sumljive povezave. Res pa nikoli nobene ne kliknem, da bi videl, kam vodijo, to prepuščam junakom z linuxi. :D
Kaj pa virtualizacija? Ali pa naložiš Sandboxie. Tudi novi Avast ima podobno funkcijo itd.
Da bi se spustil v vse to, da bi kliknil na link, na katerega v bistvu nočem klikniti. Nah.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Isotropic ::
zanimiva zadeva tale rootkit, sem si malo prebral zadnje case o tem. pa napredna, vsaj v verziji 4 so se kar orenk potrudili, moram reci. kaksno je pa trenutno stanje, so ga ze onemogocili ali je se vedno in the wild?
pa koliko pomnilnika za firmware imajo mrezne kartice recimo? sem bral, da bi se tja dal fajn skrit rootkit, ki bi bil se bolj nevaren in prikrit od teh, ki obstajajo dandanes.
pa koliko pomnilnika za firmware imajo mrezne kartice recimo? sem bral, da bi se tja dal fajn skrit rootkit, ki bi bil se bolj nevaren in prikrit od teh, ki obstajajo dandanes.
ender ::
Mrežne kartice, ki jih imaš v desktop računalnikih večinoma nimajo uporabnega firmwara (imajo sicer boot rom, samo le-tega ne moreš uporabit). Tisti napad je bil izveden s strežniško mrežno.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
Isotropic ::
kaj so pa te persistent hooks, s katerimi naj bi se poskodoval sam OS, ce se rootkit odstrani? lahko to kdo razlozi in laymans' terms?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Odkrit nov trdovraten botnet TDL-4Oddelek: Novice / Omrežja / internet | 9141 (6098) | Isotropic |
» | AVG vs Avira vs F-secureOddelek: Programska oprema | 1437 (1214) | Isotropic |
» | Botnet TDL-4 prinaša lepe denarjeOddelek: Novice / Kriptovalute | 6917 (5133) | RejZoR |
» | Najbolj okuženi Windows XP, najmanj Windows 7Oddelek: Novice / Varnost | 8726 (7101) | vir |