ESS 5.0 vs. TDL4 (Olmarik)

[Rustock.C 110]

Все предыдущие версии антивирусного комплекса ESET не могли обнаруживать активное присутствие буткита TDL4 (хотя неоднократно исследовали данную угрозу и делали отчет о рутките )

И вот свершилось хоть что-то: новая пятёрка от ESET видит угрозу в памяти и оповещает об этом, но сделать, как и прежде, ничего не может

ESET не особо торопится внедрять средства по анализу и удалению сложного вредоносного ПО. Ну хоть утилитка есть для удаления Win32/OlmarikTdl4 (обновлённая последний раз 10 июня)

Проблема заключается в том, что рядовые пользователи подвержены большому риску и надеемя, что в скором времени ESET реализует механизмы по удалению подобного вредоносного ПО в своих продуктах.

[senyak 330]

Поэтому вся надежда на HIPS. А он мне доверия не внушает

[Z.E.A. 190]

Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

[Doctor_Petrov 126]

Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

Вот так и начинается холивар!

[senyak 330]

Виталика сюда, он нам расскажет что к чему

Насколько помню, у Norton с этим дела не лучше

[Rustock.C 110]

Rustock.C, думаете у Symantec с этим делом лучше?

А то тема началась с эдакой грубости в сторону ЕСЕТ.

Я прекрасно знаю, как обстоят с этим дела у Symantec.

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

[Z.E.A. 190]

А причём тут Symantec, здесь раздел ESET, и тема посвящена Eset ?

А при чём тут Вы, тут мы говорим с Rustock.C, и тема посвящена детектированию.

Так и начинается холивар!

Суть темы была не унизить ESET, а показать, что в новых версиях происходит обнаружение TDL.

Тогда без претензий.

[DaTa 182]

есть у них такая штукенция которая называется SysInspector, а к ней приблуда ServiceScript которая позволяет удалять необходимое после анализа лога SysInspector. Правда, когда я пробовал его тестировать(года 2 назад) он не мог почти ничего удалить.

Вот ссылка на канал Веталега(http://www.youtube.com/user/nodikess), он там описует как боротся с Mebroot(Sinowal). И вроде с TDL правда какой версии не знаю.

[Rustock.C 110]

Угу. Проверил только что. SysInspector засёк заразу.

MD5: e0a59774e59c946b7f3c89eec33418c3

[Rustock.C 110]

И тут же получил оплеуху

[Ego Dekker 110]

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

[A. 875]

Вредонос этот попал в лабораторию чуть более месяца назад (по информации ESET LiveGrid), ловится пока как Win32/Kryptik.QMD (временное название). Посмотрим, что сможет сделать антивирус, когда добавят сигнатуру Win32/Olmarik.

 

Типа, месяца для этого недостаточно ?

[OlegAndr 236]

Типа, месяца для этого недостаточно ?

Самый быстрый антивирус, фигли.

[CatalystX 25]

У меня на виртуалке стоит ESS 5.0. И если честно, то ни сканер, ни SysInspector не видят активный TDL4. Только фаервол блокирует некоторые адреса к которым TDL4 подключается. Руткит по версии Dr.Web: Backdoor.TDSS.4005. Вроде очень старый.

[DaTa 182]

Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

[CatalystX 25]

Все относительно. Если нет ни сигнатурного ни эвристического либо поведенческого детекта то он еще зиродей для этой компании.

Это я знаю. Весь прикол в том "мой" дроппер TDL4 палится всем чем можно(нодом тоже), а руткит тоже не зиродей. Лично я знаю что сам руткит детектят Avast, BitDefender, GDATA, Dr.web, Kaspersky. Версия по Др.Веб, Backdoor.TDSS.4005 который появился вроде в прошлом году и является вроде одним из первых в семействе TDL4.