banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... CodeWalker vs. Advanced MBR rootkit (Mebroot)  XML
  [Question]   CodeWalker vs. Advanced MBR rootkit (Mebroot) 15/04/2009 11:16:59 (+0700) | #1 | 177211
Thug4Lif3
Researcher

Joined: 03/02/2004 10:13:47
Messages: 25
Offline
[Profile] [PM]
Mebroot là 1 rootkit đặc biệt, lây nhiễm vào Master Boot Record và exec rootkit khi OS khởi động. Rootkit này được ví như 1 "hệ điều hành malware chạy bên trong hệ điều hành Windows". Vì sao? Mebroot là 1 rootkit thương mại có khả năng bypass tất cả các loại personal FW như ZoneAlarm, KIS, Outpost, .. hiện có trên thế giới bằng TCP/IP stack tự tạo cùng kỹ thuật hook đặc biệt cực kỳ khó phát hiện, có khả năng update bản thân cùng các tính năng đặc biệt khác. Theo phân tích của F-Secure thì rootkit này được viết rất chuyên nghiệp và người viết có kiến thức cực sâu về Windows & NDIS. Các bạn có thể search thêm thông tin về rootkit này thông qua google.

Từ ngày 31/03 cho đến hôm nay (14/04), các tác giả của Mebroot lại triển khai 1 chiến dịch lây lan các biến thể mới của rootkit này. Các biến thể này sử dụng các kỹ thuật mới cho việc che dấu bản thân. Hiện tại, GMER/RkU/IceSword phiên bản mới nhất và các antirootkit tool khác vẫn chưa phát hiện được loại các biến thể mới của Mebroot.

CodeWalker 0.2.4.500 được phát triển để tạo các tính năng phát hiện biến thể mới nói trên. Các bạn có thể thấy các system thread ẩn từ tab "Hidden Code" và check MBR từ tab "Files". Mời các bạn dùng thử và feedback cho mình tại thread này.

Screenshot: CodeWalker vs. Mebroot




Download:

http://cmcinfosec.com/download/cmcark_cw0.2.4.500.rar

Nếu bạn bị màn hình xanh, trước tiên, config:

My Computer > Properties > Tab "Advanced" > Startup and Recovery Settings > Write Debugging Information > Kernel Memory Dump.

Sau đó, reboot và chạy lại CodeWalker. Nếu bị BSOD thì bạn vào lấy file %systemroot%\MEMORY.DMP và send vào thug4lif3 <a/t> gmail \.com
[Up] [Print Copy]
  [Question]   Re: CodeWalker vs. Advanced MBR rootkit (Mebroot) 15/04/2009 13:08:29 (+0700) | #2 | 177223
[Avatar]
rongchaua
Elite Member

[Minus]    0    [Plus]
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
[Profile] [PM]
http://rapidshare.com/files/221303711/MEMORY.rar

Của lão Thug nè. Lỗi màn hình xanh.
My website: http://rongchaua.net
[Up] [Print Copy]
  [Question]   Re: CodeWalker vs. Advanced MBR rootkit (Mebroot) 12/05/2009 23:58:05 (+0700) | #3 | 180349
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Anh Thug4Lif3 xem lại lỗi khi dump module :
Em scan máy em bằng CMC Codewalker thì thấy hidden system module:
driver \SystemRoot\system32\drivers\kmixer.sys
driver name : ?????
Nhưng em không thể dump selected module với CodeWalker (failed to dump ).
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|