# кто курил рустока?

Крис утрирует. Надеюсь ))

 

какие вы "умные" ребята, что ты что крис.
вы хотя б md5 посчитали для начала =)
это тот же образец отгруженный на вирустотал.
это не длл и не экзе это сам драйвер бугггага -
успехов с олькой и вабще с дебаггерами типа софтайс.
брутьте ключик шифрования из pci-to-isa bridge удачи 8)

смейсо смейсо а афтору сейчас ой как не смишно.
из того что удалось выяснить эти ребята, причастные к
находке и распаковке русток называют
себя ''Intial Three''. и вы почти всех их знаете =/

 

Вообще, лично меня в DDos'ерах огорчало как раз отсутствие всякой иделогии и профессиональной террористической этики. Скажем, за множество раз, когда ддосили как wasm.ru, так и другие сайты смежных тематик, ещё ни одна киберсобака не позвонила в правоохранительные органы и не сказала, что, мол, "мы, Интернет-группа свободных ддосеров", совершили ддосакт по таким-то причинам и берём на себя за это ответственность. Все приличные террористы в своё профессиональном сообществе так делают. Что же мы видим в случае ддосеров? Полную маргинализацию и падение нравов.

 

За годы, проведённые на этом сайте, я не мог не подметить определённой напряжённости между некоторых представителями антивирусной индустрии и вирмейкерского сообщества. Как мне кажется, это связано с тем, что они исповедуют одну религию, но поклоняются антагонистичным сущностям в её рамках. Религия называется вирусологией, но одни поклоняются Вирусу, а другие - Антивирусу. .

 

Aquila
Ты несешь бред, впрочем как всегда, это ж Heap.

Я не страдаю религиозными болезнями в любых составляющих. Вот ей богу, лучше б некоторые дети с этого форума пошли ящики бы грузить, чем кодили Все больше пользы для собственного развития.

Как там Рома поживает?

 

А кто это? )

Меня больше всего удивляет, что некоторые пользователи считают, что я должен знать о людях, о которых я ни сном ни духом. Ты не первый. Подозреваю, что моё знакомство с "Ромой" в лучшем случае ограничено данным форумом, поэтому доступные мне сведения о его текущем быте при максимально благоприятном стечении обстоятельств исчерпывается разве что временем его последнего посещения WASM.RU.

 

Aquila Удали plz весь этот флуд включая это сообщение.
to trialka может уже покажешь свой настоящий ник? Из всего того что ты написал я вижу единственную цель - провокация и стеб, на этом интеллектуальные способности созданного образа под ником trialka заканчиваются.

 

k3internal
nester7
> Крис утрирует. Надеюсь ))
я образно выражаюсь. книжки разные. например, юниоры курят руссиновича. а так конкретно за каждого человека я не в курсе, что он долбит на данный момент, но что долбил - факт

trialka
> какие вы "умные" ребята, что ты что крис.
> вы хотя б md5 посчитали для начала =)
> это тот же образец отгруженный на вирустотал.
кстати, на фирме, что я работаю - тот же самый образец, что наводит на размышления...
md5 не считал, но версия - та же самая, а вот один чел, который ковыряет рустока.с - он скинул мне лог трассировки ольки на 80 мег - русток.с распознается с первого взгляда, но это какой-то другой русток.

> это не длл и не экзе это сам драйвер бугггага -
дык нативная подсистема все за себя говорит
ясно, что драйвер, но в ольке два слоя проходятся на ура,
дальше уже возникают некоторые (преодолимые) сложности,
ну а после загрузка в иду сразу нескольких файлов.
в первую очередь ребазированного ядра и уля-ля.
плюс плагин-эмулятор рулит для изучения.
плюс статические скрипты или проги на си...
для начала можно сбросить в характеристиках бит dll,
поменять систему на консоль и грузить куды угодно...

> успехов с олькой и вабще с дебаггерами типа софтайс.
ну там конечно антидебажные приемы есть,
поэтому ида+эмулятор+скрипты очень сильно рулят.

> брутьте ключик шифрования из pci-to-isa bridge удачи 8)
а що его брутфорсить?! http://linux.dell.com/files/tools/dump_pirq
даже на моем позорном P-4 3.2 HT много времени не занимает

 

можно ссылочку

 

Гм. То на что выложена ссылка здесь нод обозначил как "ntldrbot.А" а не как ".С" или это кому как?

 

ntldrbot - так обозвали все семейство русток.с, A - одна из модификаций. sww_ же говорил что тока в их вирлабе есть порядка 600 самплов данного руткитиса, сомневаюсь что все 600 это один и тоже отморфленный...

 

Я тоже авер
Кидайте помидорами, "хэкеры".
Распаковано
внутри лапша, драйвер написан на чистом асме, переходы генерируются жуткой кашей
типа

Код (Text):

1. push    esi
2. mov     esi, ds:dword_var
3. add     esi, address
4. jmp     esi

привязка к железу, детект виртуальных машин, внутренние проверки море всего ...

Код (Text):

1. \SystemRoot\system32\%S
2. \SystemRoot\system32\drivers\%S
3. %ws%ws
4. \registry\machine\system\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
5. NameServer
6. DhcpNameServer
7. \SystemRoot\System32\ntdll.dll
8. \SystemRoot
9. ImagePath
10. tcpip.sys
11. ndis.sys
12. wanarp.sys
13. RUSTOCK
14. TCPIP
15. TCPIP_WANARP
16. efvevol
17. \Registry\Machine\System\CurrentControlSet\Services
18. \Registry\Machine\System\CurrentControlSet\Control\SafeBoot\Minimal
19. Microsoft CorpMicrosoft
20.  Windows
21. Microsoft(R) Windows (R)
22. ImagePath
23. Group
24. Start
25. Type
26. %ws\%ws
27. \SystemRoot\system32\drivers\%ws.sys
28. \SystemRoot\%ws
29. services.exe
30. \BaseNamedObjects\%0.8X-%0.4X-%0.4X-%0.4X-%0.8X%0.4X
31. \Device\Tcp
32. \Device\Udp
33. Z:\NewProjects\spambot\rustock.c\driver\asm_\driver.pdb
34. ExRaiseException
35. PAGE
36. INIT
37. ndis.sys
38. NdisRegisterProtocol
39. NdisDeregisterProtocol
40. NdisAllocateBuffer
41. NdisAllocateBufferPool
42. NdisAllocatePacket
43. NdisAllocatePacketPoolEx
44. NdisFreePacket
45. NdisMRegisterMiniport
46. NdisOpenAdapter
47. NdisCloseAdapter
48. NdisIMCopySendPerPacketInfo
49. NdisIMCopySendCompletePerPacketInfo
50. NdisScheduleWorkItem
51. KfReleaseSpinLock
52. KeInitializeEvent
53. ntoskrnl
54. RtlGetVersion
55. ks.sys
56. videoprt.sys
57. wmilib.sys
58. hal.dll
59. ntoskrnl.exe
60. ntoskrnl
61. ZwQuerySystemInformation
62. ZwReadVirtualMemory
63. ZwWriteVirtualMemory
64. ZwProtectVirtualMemory
65. ZwCreateThread
66. ZwTerminateThread
67. ZwOpenThread
68. ZwDuplicateObject
69. ZwDelayExecution
70. ZwSetEvent
71. ZwSetInformationThread
72. ZwResumeThread
73. ZwTerminateProcess
74. ZwCreateUserProcess
75. ZwCreateThreadEx
76. winlogon.exe
77. services.exe
78. MmUserProbeAddress
79. TransportAddress
80. ConnectionContext
81. CreateThread
82. LoadLibraryA
83. GetProcAddress

Установленный в системе русток создает объект - секция с случайным именем по маске.
хучит дрова и ядро - push retf.

fastfat.sys или ntfs.sys
IRP_MJ_READ
IRP_MJ_WRITE
IRP_MJ_CLOSE
IRP_MJ_DIRECTORY_CONTROL
IRP_MJ_CREATE
IRP_MJ_QUERY_INFORMATION
IRP_MJ_SET_INFORMATION
и какой то ещё 1 хук

tcpip.sys
IRP_MJ_CREATE
IRP_MJ_INTERNAL_DEVICE_CONTROL
и какой то ещё 1 хук

wanarp.sys + 0x000053FD

Хук в ядре на диспетчер таблицы сервисов.

з.ы.
Крис с таким описанием как в твоем последнем посте ты ещё оччччень долго будешь это хачить. 21 век на дворе.

 

gfgfgfgf
Молодца! Скажи между делом:

Просто подменяются в таблице IRPов?

 

=) так может аверы в честь примерения к хакерам покажут весь код ? )))))) за нами не заржавеет

 

хм... я думал, только жидохекеры любят хвалиться, а оказывается, жидоаверы не меньше любят повыеживаться :/
ну что ж, распаковали - молодцы

 

MSoft
сам ты жидоавер
не вижу ничего страшного сообщить что ваш неуловимый и
нераспаковываемый русток.с распакован и ещё как уловим.
про хуки читайте выше в моем посте, но для особо непонятливых
вот как они выглядят

Код (Text):

1. push    cs              
2. nop
3. sub     esp, 4
4. mov     dword ptr [esp], 8114F7FEh
5. retf

 

эм... вроде бы как тут никто его не хвалил - сами же антивирусники и начали рассказывать, что поймали мега-вирус. Пиаром рустока тут никто не занимался.

ну за полгода странно, что его вообще обнаружили... так что говорить, что это самый обычный смертный (хотя почему полгода искали?) вирус... хм, ну как-то странно все это звучит

 

не за полгода, а за полтора года дата сборки раздолбанного выше рустока примерно февраль 2007 года

sww_
Вебычам респект! Вы проделали замечатальную работу! Слав, ix0des'у привет из Саймантика

Нет ничего что нельзя поймать, вылечить и распаковать.

 

тем более

пнятное дело

давно мучает вопрос - а нет ли щас где-нить русток.d? А то щас все разговоры, что победили непобедимое, а на самом деле это возможно уже устаревшая версия

 

gfgfgfgf
если не секрет - как это непобедимое чудо распостроняется??
EP_XOFF говорил, что даже низкоуровневый формат диска не прибивает его - где он прячется??
ещё один момент, он содержит в себе строку "RUSTOK" - вопрос аля бурят Вован из фильма терминатор 2 Goblin Edition - х*ли??????)