Лидеры форума

Обнаружился семпл, который неожиданно оказался реинкарнацией уже немного подзабытого VBR-руткита Trojan.Mayachok.2. Подзабытого хотя бы на фоне развязавшегося мешка с "безруткитным" Trojan.Mayachok.1. Запустив его на виртуалке, увидев знакомую картину с перезагрузкой, первая мысль была - "маячок, сейчас из AppInit_DLLs либу достану". Однако, после перезагрузки Positive Technologies Startup Monitor промолчал. "Странно, неужто второй?" - подумалось. Оказалось, да: 1.VBA32Arkit, который показал Non-standard VBR: 2. Dr.Web CureIt!: 3. TDSSKiller: Детекты на момент публикации: - Дроппер - Дамп VBR Успешное лечение на момент публикации обеспечивается использованием VBA32Arkit (Restore VBR and force reboot) и TDSSKiller (Restore с последующей перезагрузкой компьютера).

Подойдет. В этой версии он начал блокировать перезапись кода VBR c помощью перехвата IRP_MJ_SCSI в порт-драйвере.

Детект и лечение в базах запилены и выпущены - Rootkit.Boot.Cidox.b. TDSSKiller с именованным детектом на данную модификацию доступен здесь (на главный сайт только в понедельник выложим) - ftp://SLArchive-ro:vOs1onEcsM@data6.kaspe.../TDSSKiller.exe