Анализ Sality руткит Sality является хорошо известным семейством файлов Infectors (или PE-infectors или просто вирусы). И как вредоносные программы он имеет очень длинную историю эволюции с 2003 года. Последние версии содержат это руткит на борту, чтобы усложнить обнаружение со стороны Антивирусных сканеров. Драйвер имеет следующие характеристики: Процессы прекращения через NtTerminateProcess ; Блокировке доступа к некоторым веб Антивирусным ресурсам через IP-фильтрацию ; Малый размер ~ 5 Кб. Согласно анализу, Руткит предназначен для Windows, начиная с NT4 и заканчивая Vista, . Надо сказать заранее, что этот руткит не новый и не содержит некоторые особенности, которые имеют современные руткиты или буткиты. Исследования версией руткитов начилось с начала 2010 года. Rootkit создает устройство с именем: \ Device \ amsint32 \ DosDevices \ amsint32 и это сигнал к инфекции. Rootkit содержит обычный самый известный способ убийства процесса, который используется почти во всех руткитов. Sality использует старую модель IP-фильтрации для блокирования доступа к веб-ресурсам, которые принадлежат Анивирисным поставщикам. Эта техника называется IP-фильтрация. Дополнительная информация: Windows 2000 Filter-Hook Driver например http://ntdev.h1.ru/ipfilter.html и MSDN http://msdn.microsoft.com/en-us/library/windows/hardware/ff548976(v=vs.85).aspx Перечень затрагиваемых производителей: Эта функция требует от драйвера регистрацию функций обратного вызова, которая будет вызываться для IP-пакетов. Эта функция будет решать, что делать с этим пакетом: направить его или удалить. Зарегистрированный - fnFilterHookIP будет искать присутствие Антивирусных-вендоров строки в данных пакетах. В случае обнаружения он заставляет IP-драйвера выкинуть этот пакет. Зашифрованные строки антивирусов в его теле: Обнаружение отношение: Размер: 5157 байт
ZeroAccess обнаружения с инструментом Xuetr Xuetr является мощным инструментом для hide_code / обнаружения руткитов (доступна для загрузки с http://www.xuetr.com/download/XueTr.zip ). Запустите ее на машине, которая была инфицирована последним ZeroAccess руткитом. После запуска , мы получаем предупреждение Далее, посмотрим на "Модуль ядра" на вкладке Xuetr нашли два драйвера ZeroAccess, мы можем сделать дамп Далее проверяется ядро на подозрительные действия - Kernel-
