Лидеры форума

Выставка была интересной, хоть по уровню и слабее прошлогодней. Я в первый раз был участником, а не посетителем, и по-началу волновался, однако потом все пошло легко и просто. Наконец-то лично познакомился с Кириллом Керценбаумом и Григорием Васильевым. В общем, 3 дня пролетели не заметно. Было много общения, как делового, так и неформального. Вот несколько фотографий: - Обратите внимание на лицо парня на заднем плане на фото с девушкой в боди-арте; - Наши девушки-промоутерши просто сошли с обложек глянцевых журналов; - я и Григорий Васильев (Лаборатория Касперского и ESET) в конце рабочего дня общались на отвлеченные темы.

Мы выпустили универсальную утилиту для удаления буткитов (включая Sinowal/Mebroot всех версий, Stoned Bootkit и все возможные в будущем вариации на тему заражения MBR). Читать описание и скачать утилиту можно здесь: http://www.esagelab.ru/resources.php?s=bootkit_remover. Далее – предыстория. Буткиты, как разновидность широко распространенных вредоносных программ, появились in the wild в начале 2008-го года в лице семейства троянцев Sinowal (или Mebroot, по классификации других вендоров) и стали настоящей головной болью для антивирусной индустрии. К тому же, недавно был представлен концептуальный буткит – Stoned Bootkit. Это послужило поводом для проведения небольшого исследования (см.ниже) с целью выяснить, как справляются антивирусы со старой доброй угрозой и ее новыми вариациями, а результаты тестирования, в свою очередь, послужили поводом для разработки простой и универсальной утилиты для лечения любых заражений MBR. Предыстория Современный буткит, фактически, представляет собой продолжение идей старых-добрых загрузочных вирусов времён DOS под NT платформу. Их история началась с презентации eEye Digital Security на конференции Black Hat USA в 2005-м году, в ходе которой был представлен концепт, запускающийся из главного загрузочного сектора и содержащий в качестве "полезной нагрузки" NDIS-бекдор, который позволял удалённо выполнять произвольный код на захваченном хосте: http://www.blackhat.com/presentations/bh-u...s-05-soeder.pdf Именно этот код и взяли за основу авторы троянца Sinowal, дополнив его функционалом по загрузке драйвера и механизмами сокрытия вредоносной активности, сделавшими удаление данного буткита делом совсем нетривиальным. Что из себя представляет Sinowal? 1. В процессе заражения компьютера дроппер буткита модифицирует код главной загрузочной записи (MBR). Работающий в системе троянец не виден в качестве файла, он "живёт" исключительно в MBR и первых секторах диска, которые не относятся к какому-либо разделу. 2. Во время загрузки системы, MBR-код буткита перехватывает процедуру чтения ядра операционной системы с диска, для осуществления патчинга вызова функции IoInitSystem рядом с точкой входа. После этого (так же как и в случае с легитимным загрузочным кодом) дальнейшее управление процессом загрузки передаётся загрузочному коду системного раздела, который, в свою очередь, считывает и запускает загрузчик операционной системы (ntldr). 3. По завершению второй стадии загрузки, загрузчик операционной системы передаёт управление ядру, но из-за установленного перехвата вызова IoInitSystem выполняется код буткита, который осуществляет проецирование в память драйвера с основным функционалом троянца. 4. Драйвер троянца устанавливает перехваты на драйвера дисковой подсистемы, которые, при попытке чтения модифицированного MBR, возвращают сохранённую копию оригинального загрузочного сектора. 5. На более поздних этапах инициализации и работы системы в процессы пользовательского режима драйвером внедряется код, который осуществляет взаимодействие троянца с командным центром а так же представляет собой spyware, ориентированный на кражу аккаунтов для доступа к системам онлайн-банкинга. Неудивительно, что появление подобного зловреда вызвало бурную реакцию всего security-сообщества, ведь до этого, буткиты воспринимали исключительно как интересные концепты, которые вряд ли получат развитие в виде реальных угроз. Первое развёрнутое описание (а заодно и первая работающая утилита, позволяющая удалять буткита) были опубликованы автором популярного антируткита GMER на своём сайте: http://www2.gmer.net/mbr/ Несколько позже, интересными публикациями отличились и эксперты Лаборатории Касперского, вслед за которыми детектирование первого семейства Sinowal-а добавили в свои продукты и другие крупные антивирусные вендоры: http://www.securelist.com/ru/analysis/2040...tkit_vyzov_2008 http://www.securelist.com/ru/analysis/2040..._I_kvartal_2008 Второе, актуальное и по сей день, поколение Sinowal-а увидело свет в марте 2009-го года: http://www.securelist.com/ru/analysis/204007655/Butkit_2009 Из-за более интересных перехватов чтения диска, и возможно, по некоторым другим причинам, лечение активного заражения этой версии стало ещё большей проблемой для производителей антивирусов. Тестирование Задачей тестирования было проверить, насколько качественно антивирусы детектируют и лечат вредоносные программы, модифицирующие MBR, и насколько они готовы к появлению новых угроз такого типа. Для этого, во-первых, необходимо выяснить, каким образом антивирусы детектируют вредоносный код в MBR: сигнатурно или универсально. Сигнатурное детектирование бессильно против новых модификаций старой угрозы. Во-вторых, необходимо протестировать антивирусы с уже появившейся «новой угрозой». К сожалению, у меня не было ни времени ни желания тестировать все несколько десятков антивирусов от разных компаний, поэтому, в тестирование попали только те, которые по информации от самих вендоров и слухам с форума anti-malware.ru способны детектировать и/или лечить второе поколение Sinowal-а. Итак, перед нами: * McAfee VirusScan 13.15.101 * Dr.Web CureIt! 5.0.2.9230 * Kaspersky Antivirus 2009 9.0.0.463 * ESET NOD32 4.0.437.0 * Avast Pro 4.8.1356.0 * Symantec Trojan.Mebroot Removal Tool 1.0.1.0 * F-Secure BlackLight 2.2.1092.0 Кроме того, в тестировании приняла участие бесплатная утилита-антируткит RootRepeal версии 1.3.5.0. Перейдём к делу. Тестирование производилось на VMware, с установленной Windows XP Professional SP2. Всего было развёрнуто три разных тестовых стенда. 1. Самый обычный сампл Sinowal-а второго поколения, дроппер которого датирован концом мая 2009-го года: http://www.virustotal.com/analisis/b29a3d8...4130-1243663256 2. Модифицированная версия Sinowal-а которая была полученна следующим образом: я дизассемблировал код загрузочной записи руткита, прочитанный с зараженной машины, модифицировал его, разбавив мусорными xor-ами и nop-ами и с целью сбития сигнатуры, и после ассембилрования записал обратно на диск. Код доступен для скачивания здесь: http://www.esagelab.com/files/sinowal-b_modified.zip. Модифицированный загрузочный код буткита (добавленные инструкции выделены). 3. Stoned Bootkit. Это очередной концептуальный буткит, который был представлен на конференции BlackHat в этом году. Публично доступная версия буткита является сильно урезанной: кроме инфектора и, собственно, загрузочного кода в ней фактически ничего нет. Дополнительная информация доступна на сайте проекта: http://www.stoned-vienna.com/. На зараженную виртуальную машину устанавливались последние версии перечисленных выше продуктов, после чего осуществлялось обновление антивирусных баз и полное сканирование системы с активацией всех возможных опций и технологий детектирования. Работоспособность Sinowal-а на каждом этапе проверялась с помощью RootkitUnhooker-а по наличию в системе подозрительных потоков и исполняемого кода. Пример лога: ==============================================>Stealth==============================================0x8122CB80 Page with executable code [ ETHREAD 0x81400DA8 ] TID: 256, size: 1152 bytes0x811E9B29 Page with executable code [ ETHREAD 0x813C9DA8 ] TID: 652, size: 1239 bytes0x811E6B13 Page with executable code [ ETHREAD 0x813D25D0 ] TID: 656, size: 1261 bytes0x811BAB07 Page with executable code [ ETHREAD 0x81416570 ] TID: 744, size: 1273 bytes0x81202AF1 Page with executable code [ ETHREAD 0x815BC570 ] TID: 752, size: 1295 bytes0x81208A55 Page with executable code [ ETHREAD 0x815BC570 ] TID: 752, size: 1451 bytes0x811DA9B1 Page with executable code [ ETHREAD 0x815BB8F8 ] TID: 684, size: 1615 bytes0x811E78F8 Page with executable code [ ETHREAD 0x813D25D0 ] TID: 656, size: 1800 bytes0x811E87B9 Page with executable code [ ETHREAD 0x813C9DA8 ] TID: 652, size: 2119 bytes0x811BB6B2 Page with executable code [ ETHREAD 0x815BC570 ] TID: 752, size: 2382 bytes0x811C3581 Page with executable code [ ETHREAD 0x81661A90 ] TID: 748, size: 2687 bytes0x811DE4A3 Page with executable code [ ETHREAD 0x817CB810 ] TID: 24, size: 2909 bytes0x8120648C Page with executable code [ ETHREAD 0x815BC570 ] TID: 752, size: 2932 bytes0x811E841F Page with executable code [ ETHREAD 0x815BCDA8 ] TID: 660, size: 3041 bytes0x8121F419 Page with executable code [ ETHREAD 0x815BC570 ] TID: 752, size: 3047 bytes0x8121E3CA Page with executable code [ ETHREAD 0x815BC570 ] TID: 752, size: 3126 bytes0x811EC3B6 Page with executable code [ ETHREAD 0x815BCDA8 ] TID: 660, size: 3146 bytes0x811FE321 Page with executable code [ ETHREAD 0x813F3B20 ] TID: 252, size: 3295 bytes0x811FE25E Page with executable code [ ETHREAD 0x81400B20 ] TID: 264, size: 3490 bytes0x811FB20A Page with executable code [ ETHREAD 0x813F3B20 ] TID: 252, size: 3574 bytes0x8120EA80 Unknown thread object [ ETHREAD 0x813F3DA8 ] TID: 248, size: 592 bytes0x811FB187 Unknown thread object [ ETHREAD 0x813F3B20 ] TID: 252, size: 592 bytes0x8122CAF7 Unknown thread object [ ETHREAD 0x81400DA8 ] TID: 256, size: 592 bytes0x811FE119 Unknown thread object [ ETHREAD 0x81400B20 ] TID: 264, size: 592 bytes0x8123FDF0 Unknown thread object [ ETHREAD 0x816EB030 ] TID: 560, size: 592 bytes0x811C3417 Unknown thread object [ ETHREAD 0x8165BDA8 ] TID: 648, size: 592 bytes0x811C0D7C Page with executable code [ ETHREAD 0x815BC570 ] TID: 752, size: 644 bytes0x811D5D2D Page with executable code [ ETHREAD 0x815BCDA8 ] TID: 660, size: 723 bytes0x8120ED0B Page with executable code [ ETHREAD 0x813F3DA8 ] TID: 248, size: 757 bytes Кроме того, для диагностики системы использовалась и утилита собственной разработки, речь о которой пойдёт в конце поста. Результаты тестирования привожу в виде таблицы (детектирование/удаление). В таблице не фигурируют утилиты и продукты от Avast, Symantec и F-Secure, так как они провалили тест, отказавшись впринципе детектировать что-либо из использовавшихся самплов. Но результаты по остальным оказались весьма интересные, и с ходу вызывают достаточно много вопросов. 1. Почему в первом тесте NOD32 не смог вылечить активное заражение? Если честно, для меня самого это осталось загадкой, особенно с учётом того, что ESET зарелизил отдельную утилиту-ремовер, замечательно справляющуюся с удалением не модифицированного Sinowal-а обеих поколений. Однако, в силу того что среднестатистический пользователь вряд ли додумается найти и использовать эту утилиту, я посчитал более справедливым включить в тестирование именно "большой" продукт. 2. Почему во втором тесте большинство продуктов от антивирусных компаний смогли детектировать буткит, но не смогли с ним ничего сделать? На самом деле, речь идёт всего-лишь о детекте драйвера буткита в памяти, а не вредоносного кода в главной загрузочной записи. Полная бесполезность подобного детектирования очевидна. 3. А почему антивирусы не смогли детектировать модифицированный загрузочный код буткита? Это звучит пугающе, но загрузочный код детектируется исключительно сигнатурно. Да, вы не ослышались, это полный и невообразимый [песец]: активный руткит, который легко идентифицировать по подменённому загрузочному коду (при попытке его считывания стандартными средствами) напрочь игнорируется, если сгнатуры этого самого загрузочного кода нет в базе. Удивительно, но всего за десять минут работы мы смогли проапгрейдить версию зловреда почти пятимесячной давности таким образом, что удалить её не смог ни один антивирус. 4. Но ведь RootRepeal замечательно справляется с удалением буткита в первых двух тестах? Да, справляется. Автор этого антируткита написал "правильный" детект, который срабатывает именно в случае обнаружения аномалии (несоответствие загрузочного кода при попытке его чтения разными средствами). На лицо повторение ситуации, которая какое-то время назад сложилась и в области классических руткитов: бесплатная утилита, написанная энтузиастом-одиночкой справляется с лечением технически сложных троянов гораздо лучше, чем продукты больших компаний, в написание которых было вложенно огромное количество материальных ресурсов и человеко-часов. 5. Почему почти никто не детектирует и не лечит Stoned Bootkit? С RootRepeal-ом всё просто: это антируткит, и его задачей является исключительно детектирование аномалий. Stoned никак не скрывает свой код в MBR, из-за этого и игнорируется антируткитом. Однако, подобная формулировка не сможет служить оправданием в случае с антивирусами. На первый взгляд, может показатся что детектировать ничего не делающий концепт действительно бессмысленно (исключение составили только ESET, которые, видимо, удосужились потратить две минуты на скачивание инфектора и добавления сигнатуры в базу), но давайте мыслить шире. Вирусописатель вполне может использовать полиморфный движок для генерации уникального загрузочного кода в каждом конкретном случае заражения, блокируя после этого попытки его модификации/перезаписи, вместо перехвата процедуры чтения. Таким образом, в течении того времени, что потребуется антивирусным компаниям на анализ сампла, написание и тестирование процедуры детекта/удаления, новый зловред получит возможность невозбранно поселиться хоть на сотнях тысяч компьютеров. Выводы, опираясь на приведенные мной факты, можете сделать сами, но то, что антивирусная индустрия в техническом плане не готова в полной мере защищать пользователей от нового вида угроз - более чем очевидно. Радует лишь тот факт, что участвовавшие в тестировании продукты хоть как-то детектируют распотраненные in the wild сапмплы, ведь подавляющие большинство других вендоров тихо отмалчивается вообще игнорируя проблемы. Утилита В завершение этой заметки, я хотел бы представить вашему вниманию утилиту собственной разработки, которая является универсальным средством для детектирования и удаления буткитов. Её главные отличительные особенности: - Корректно детектирует и лечит активное заражение как распространенных in the wild буткитов (включая все модификации Sinowal/Mebroot), так и неизвестных зловредов подобного класса. - Протестирована и работает на 32-х и 64-х разрядных операционных системах Microsoft Windows XP, Server 2003, Vista, Server 2008 и Windows 7 (RC1 и RTM). - Работает исключительно из режима пользователя, без использования драйверов и каких-либо недокументированных механизмов и функций операционной системы. Bootkit Remover нашел активный Sinowal-b. Ремовер простой в использовании. Утилита работает из командной строки (необходимы права администратора). Проверка MBR для всех физических накопителей: > remover.exe В отчете сканирования выводится один из трех вердиктов для каждого физического накопителя: OK (DOS/Win32 Boot code found) - MBR содержит оригинальный загрузочный код операционной системы DOS/Windows. Unknown boot code - MBR содержит неизвестный загрузочный код. На практике это может означать то, что в системе присутствует буткит который не скрывает модифицированный загрузочный код. Кроме того, подобный статус будет выводится в случае использования какого-либо нестандартного мененджера загрузки (например, GRUB). Controlled by rootkit! - в системе обнаружен активный буткит, который препятствует чтению модифицированного загрузочного кода стандартными средствами (именно так детектируется Sinowal/Mebroot). Восстановление оригинального загрузочного кода Windows: > remover.exe fix <device> ... где <device> - это системное имя физического накопителя, на котором вы хотите восстановить загрузочный код (например, \\.\PhysicalDrive0). Дамп загрузочного кода в консоль или в файл: > remover.exe dump <device> [output_file] ... где output_file - опциональное имя выходного файла, в который будет записан загрузочный код. *** ВНИМАНИЕ! При перезаписи MBR всегда существует небольшой риск нанести вред операционной системе. Поэтому, перед тем как использовать утилиту Bootkit Remover, обязательно приготовьте загрузочный установочный диск с используемой версией Windows, с помощью которого (Recovery Console) можно восстановить MBR в случае его повреждения. Скачать утилиту можно здесь: http://www.esagelab.com/files/bootkit_remover.rar По вопросам работы ремовера связываться со мной лучше всего по е-mail: dmitry@esagelab.ru Я буду благодарен за любые дополнения и исправления по теме поста. Если вы владеете проверенной информацией, согласно которой какой-либо не попавший в обзор продукт может детектировать/удалять Sinowal - пишите, я с радостью включу его в тестирование. UPD: EsetInspector, после запуска сервисного скрипта, смог успешно излечить Sinowal.b и Stoned Bootkit, однако, модифицированную версию Sinowal-а попросту не увидел. Спасибо юзерам santy и VNE за информацию.

Действительно, всё интуитивно и просто, но почему же много лет в этом первом окне не предлагается выбрать желаемые на удаление программы (они идут списком, без чекбоксов), ведь у пользователей могут стоять разные программы из этого списка? Сам столкнулся с этим всего 2 раза (Антивирус и Ghost, Антивирус и одна из старых утилит). В результате пришлось пользователю ставить вместо программ Norton то, что было под рукой.

Соглашусь... к тому же уже сейчас 90% моих знакомых выбирают себе 64хбитную версию этой ОС.

Чисто "Русский" подход!.... Кстати, сейчас идет к тому, что если проголосует всего лишь один человек, а остальные просто не придут...., то выборы будут состоявшимся!!! ------------------- У меня такое вот пожелание всем экспертам, и администрации форума - Очень внимательно обращать внимание на самую главную черту вашего будущего коллеги.... - Не знаю как назвать таких... скажем так к примеру - Паразитирующий метод общения!... Кому нужны такие знание эксперта, если от него пользы ноль, одна гордость и тщеславие... Эти люди не привносят пользы, они паразитируют на чужих высказываниях, высмеивая их...

В недавние наши времена им бы сказали: "А надо ещё быстрее! Партия... велит." Ответ: "Ну если надо, если партия велит, то будем ещё быстрее!" Так и сгорали люди на производстве... А я скажу – не надо быстрее, не надо круглосуточно, надо с перерывом, с отдыхом и сном. Так вернее будет.

был на мероприятии и вот моя версия происходящего полная версия тут: http://forum.kasperskyclub.ru/index.php?au...;blogid=76&

Опять "религиозные войны" На самом деле, хоть мой ответ топик-стартеру заранее известен (ну естественно, Касперский), хочу все-таки его мотивировать тем, что наш новый продукт Kaspersky Internet Security 2010 вобрал в себя много новых уникальных разработок и технологий наших специалистов и получился действительно очень удачным. По крайней мере, с ним не так много проблем возникает да и он может начинать лечить компьютер еще во время установки.