среда, 23 ноября 2011 г.

Carberp with rootkit for w7 64bit

был пойман например сегодня с помощью wincheck
собс-но вот по этой строчке:
Image notifiers:
[0] FFFFF800039EF7C0 \SystemRoot\system32\ntoskrnl.exe
[1] FFFFFA800360B6C8 UNKNOWN

отлично-отлично ящетаю, бгг
Дроппер залит на vt - не ловит практически никто. продолжение ждите через месяц, как обычно

2 комментария:

  1. Забавно, здесь все тоже самое, только в нашем дропере не было дровины для x64. Она в принципе нужна только для инжекта пейлоада в юзермоде, который собственно и творит всякое непотребство.

    ОтветитьУдалить
  2. Image notifiers:
    [0] F2C91442 \??\C:\Program Files\Sandboxie\SbieDrv.sys
    [1] FF349B03 UNKNOWN

    apfn[98] patched by e:\analysis\!samples\Rootkits\TDL\tdl4 aka alureon.DX\wincheck.exe, addr 0052005C
    apfn pfnFindResourceExA patched by C:\WINDOWS\system32\kernel32.dll, addr 7C835F90
    apfn pfnLoadResource patched by C:\WINDOWS\system32\kernel32.dll, addr 7C80A045
    apfn pfnSizeofResource patched by C:\WINDOWS\system32\kernel32.dll, addr 7C80BCF9

    Так реагирует на tdl4 aka alureon.DX
    Вообще классная тулза, пригодится)

    ОтветитьУдалить