simplix forum

Просто частенько на вин 7 и 8 этаверсия Win Pe вылетает в БСОД при загрузке. Вы хотели пожелание, ну тогда сделайте ещё версию на Win Pe 3 (для 7) и на Win Pe 4 (под 8).

Всем доброго времени суток!
Ситуация в следующем: мой напарник столкнулся вчера с вирусом о подмене сайтов соц сетей, майл.ру и т.п. антисмс с этой гадостью не справилась. я по удаленке тоже ничего не смог сделать (из-за нехватки времени). так и расстались с тем абонентом.
Сегодня другой абонент с той же историей. антисмс ничего конкретного не нашла. я по удаленке "руками" ничего тож не нашел. avz молчит. и тут я нагуглил гадость о подмене файла rpcss.dll. Скачал др веб курейт и просканил только этот файл (C:\Windows\system32\rpcss.dll) - нашелся зловред, но др веб не смог его вылечить. заменил этот файл файлом из дистрибутива ОС от симпликс. И всё заработало.
В инетах данный вирус начал фигурировать в мае-апреле. значит что-то новое.
Simplix, возможно ли добавить проверку этого файла в антисмс?

ОС: windows xp sp3 (в обоих случаях)
инфицированный файл прилагаю (пароль на архив 12345)

Отредактировано weldance (19.06.2013 14:19:40)

у юзеров проблема с rpcss.dll уже месяца три
решается только заменой из под live cd
причем не забываем, что у каждого дистрибутива windows (а так же редакции x86/x64) свой rpcss.dll

там билды в 99% совпадают, так что замена пройдет без эксцессов
не все rpcss.dll одинаково полезны
себе то я сделал копии rpcss.dll от всех версии windows, начиная с xp

Отредактировано g0dl1ke (19.06.2013 15:15:07)

0 0 сообщает:

Почти за 3 месяца ничего не появилось нового для внедрения/исправления?
В порядке просьбы: отличная идея использовать BitTorrent Sync для обнов, надеюсь, найдёт применение и для AntiSMS.

Появилось, но я не могу выпустить новую версию по желанию, сначала она тестируется и исправляется, добавляются новые функции и опять тестируется. Всему своё время. BTSync тоже будет использоваться, более удобный инструмент трудно придумать.

weldance сообщает:

Simplix, возможно ли добавить проверку этого файла в антисмс?

Да, конечно, спасибо за подробный отчёт, в следующей версии будет добавлено лечение этого файла, а также предупреждение в подобных случаях. Пока что есть два дополнительных вопроса по этой теме: 1) Есть ли у кого-нибудь дроппер (файл с интернета, который патчит rpcss.dll)? 2) Какие системы заражаются - только WinXP, или все WinXP-Win8? Сами заражённые файлы других систем тоже пригодятся, возможно на их основе получится сделать универсальное лекарство.

art9 сообщает:

Я предлагал, чтобы антисмс создавал html отчёт, в котором будет отражена информация по не подписанным dll и sys: имя файла, md5, ссылка на вирустотал. Этот отчёт помог бы быстро находить заразу, которая сидит в файлах, которые не обрабатываются антисмс.

Я ведь отвечал, что утилита sigverif для этой задачи уже встроена в каждую систему. А в следующей версии AntiSMS появится проверка и логирование библиотек служб, что позволит наглядно увидеть случаи вроде rpcss.dll.

simplix
sigverif файл rpcss.dll не проваряет
Провел эксперимент rpcss.dll в отчете отсутствует

SergeyZV

art9
Пожалуйста, дайте конкретный рабочий пример такого руткита. Если уж и работать в эту сторону, то нужно продумывать и лечение, а не только логирование.

art9 сообщает:

Пример обнаружения руткитов: антисмс создаёт лог запуска драйверов, а при запуске в активной среде сверяет его. По примеру функции uvs.

Ууууу... Ребята, AntiSMS тем и был крут, что его могла запустить блондинка и её "мозг" бы не взорвался, так как было всё автоматизированно.
Вы начинаете усложнять и изобретать велосипед.

art9
Вот это хороший пример, удалив подпись с драйвера кейлоггера мы имеем полноценный руткит. В общем нет особых проблем с тем, чтобы заносить в лог расположение неподписанных драйверов, хотя с драйверами есть нюансы и проверять их сложнее, чем обычные приложения. А вот отключать драйвера опасно тем, что некоторые устройства могут перестать работать. По поводу обнаружения руткитов подумаю, как этим не нагрузить пользователя.

Павел Версия доводится до ума, люди уже потестили и выявили недочёты в новой версии, автор исправляет и оптимизирует. А на счёт "Здрасте" в личку - мы не в детском саду чтобы обижатся. Так что "культура-мультура" такая.

Новая версия AntiSMS 4.0

Изменений достаточно много, все они указаны в шапке темы.

Благодарю тестеров, которые много помогали в проверке бета-версий: 0 0, art9, glax24, Core-2, MBTY, Sergikaz, g0dl1ke.
Отдельное спасибо Xemom1 за создание загрузочного диска WinPE на основе Win8.

Я так понимаю SysFiles.bin помещён в AntiSMS.exe?
Да точно - сам посмотрел.

Отредактировано SergeyZV (11.07.2013 06:56:51)