VIRY.CZ

Koukali jste před chvílí na TV Nova na reportáž v televizních novinách ? Informovali o novém viru

textový popis reportáže zde: http://tn.nova.cz/zpravy/domaci/extremn ... itaci.html

Docela mě to vyděsilo, ví někdo něco blíže? Koukal jsem na blogy 2 českých antivirových firem a nic jsem tam nenašel, že by se něco šířilo.

Používám Microsoft Security Essential a on-line antiviry (ESET, F-Secure)

Zdravim a pekny den preji

TDL neni rozhodne zadna novinka

Neco malo o nem

• jeden z rodiny MBR TDSS rootkitu
• nemá soubor ani službu, je zapsán v mbr části disku
• napadá systémové ovladače disku
• skvělá technika kamufláže (antivirům předhazuje čisté soubory), velmi odolný při odstraňování
• rád „krade“ hesla a „povídá si o nich“ s okolím
• první tři měsíce roku 2011 – napadeno více jak 4,5 milionu PC

Někde jsem tady už o něm četl zmínku
Pokud nebudeš stahovat bůhvíco, bůhvíkde a od bůhví koho.
Ne nejsem náboženský založen
A budeš dodržovat základní pravidla ochrany pc (antivir+firewall, občasná kontrola na spyware, adware a jinou havěť), občas si taky nech udělat preventivní kontrolu zde na fóru
Tak by se tě problém neměl týkat

StrejdaProšek píše:Někde jsem tady už o něm četl zmínku

A dokonce byl uz hodnekrat u nas lecen...

ESET jej identifikuje jako Olmarik ci Aleuron v operacni pameti...

Ja ked v TV pocujem alebo v novinac citam o nejakom novom strasnom viruse, je mi to jasne, ze je to vec aspon stvrt roka stara...

Zdravím,

nojo, v televizi si občas něčeho všimnout.

Pravda je taková, že se relativně nedávno objevila nová verze TDL4, která funguje trochu odlišně než varianty minulé. Rozdíl spočívá v tom, že nepřepisuje kód MBR, ale vytvoří si v tabulce oddílů svůj vlastní oddíl a nastaví jej jako aktivní. Tím docílí toho, že i základní bootovací kód od Windows, který je v MBR uložen, bude chápat oddíl vytvořený virem jako bootovací a předá mu řízení.

Další podrobnosti si nepamatuju, ale pravděpodobně se nebudou příliš lišit:
+ Virus ukládá informace na svém vlastním oddílu ve svém vlastním souborovém systému, jehož možnosti byly vylepšeny (ověřování obsahu souborů přes kontrolní součty, větší počet souborů)
+ Hlídá změny v MBR a pravděpodobně také na svém oddílu
+ Bude asi fungovat i pod 64bitovými verzemi Windows (ale to jsem nikde neviděl u této nové verze explicitně napsané).

Tak co umí jsme probrali a teď k důležitější věci

Jak se toho "hajzlíka" zbavit ?

Naughty se už určitě těší na trojboj TDL4 zde na foru

michal.kolesa píše:Tak co umí jsme probrali a teď k důležitější věci

Jak se toho "hajzlíka" zbavit ?

Alebo skor ako ho neziskat?

ak co umí jsme probrali a teď k důležitější věci

Jak se toho "hajzlíka" zbavit ?

Když byl "v módě" TDL3, tak se vyrojilo hned několik utilit na jeho odstranění. Nevím ale, zda byly upgradovány i na tuhle novou variantu čtvrté verze.

http://support.kaspersky.com/faq/?qid=208283363

Smutné je, že pokud ten rootkit vytváří svůj vlastní oddíl, ale jinak MBR nemění, pravděpodobně na něj nebude zabírat příkaz fixmbr či bootsect

TDSSKiller od Kasperskeho zabiral, tez zabiral aswMBR od Alwilu (Avast)...

Detekci umi i gmer a mbr.exe od nej...Mel by si s nim poradit i ComboFix a i zmineny fixmbr, ale nejjistejsi je TDSSkiller - kaspersky vydava aktualizaci tusim co druhy den

kaspersky vydava aktualizaci tusim co druhy den

Nevím, jak je to teď, ale bývaly doby, kdy se TDL aktualizoval každou chvíli. Každých pár hodin vycházel ve zmutované podobě, aby unikl signaturám v databázích antivirů. A často přinášel vylepšení v podobě anti-anti technologií.

Tak hlavne co mam vim, tak co chvili prepisuje mbr sektor, takze jak si tam obcas nejaka utilita sahla tak slo PC do BSOD

Panebože! Vy se tu díváte na bulvární televizní noviny Novy, které jsou objektivním zprávám vzdálené na světelné roky. Dokážou udělat z nepodstatné zprávy událost roku s nulovou informační hodnotou. Aspoň vidím o co přicházím. Televize co dokáže vpustit na televizní obrazovky kraviny typu Superstár a Babicovy dobroty, bych fakt nebral moc vážně.

ESET ho veľmi dobre vie odstrániť, ale len offline.
Pri spustenom OS však ESET nemá šancu Olmarika odstrániť. Pre takéto typy ťažkých infiltrácií je tu program, ktorý treba vypáliť, ale málo ľudí o ňom vie - ESET SysRescue. http://www.youtube.com/watch?v=IgOKCC2lAMw