CodeWalker vs. Advanced MBR rootkit (Mebroot)

CodeWalker vs. Advanced MBR rootkit (Mebroot)
by : Thug4lif3

Mebroot là 1 rootkit đặc biệt, lây nhiễm vào Master Boot Record và exec rootkit khi OS khởi động. Rootkit này được ví như 1 “hệ điều hành malware chạy bên trong hệ điều hành Windows”. Vì sao? Mebroot là 1 rootkit thương mại có khả năng bypass tất cả các loại personal FW như ZoneAlarm, KIS, Outpost, .. hiện có trên thế giới bằng TCP/IP stack tự tạo cùng kỹ thuật hook đặc biệt cực kỳ khó phát hiện, có khả năng update bản thân cùng các tính năng đặc biệt khác. Theo phân tích của F-Secure thì rootkit này được viết rất chuyên nghiệp và người viết có kiến thức cực sâu về Windows & NDIS. Các bạn có thể search thêm thông tin về rootkit này thông qua google.

Từ ngày 31/03 cho đến hôm nay (14/04), các tác giả của Mebroot lại triển khai 1 chiến dịch lây lan các biến thể mới của rootkit này. Các biến thể này sử dụng các kỹ thuật mới cho việc che dấu bản thân. Hiện tại, GMER/RkU/IceSword phiên bản mới nhất và các antirootkit tool khác vẫn chưa phát hiện được loại các biến thể mới của Mebroot.

CodeWalker 0.2.4.500 được phát triển để tạo các tính năng phát hiện biến thể mới nói trên. Các bạn có thể thấy các system thread ẩn từ tab “Hidden Code” và check MBR từ tab “Files”. Mời các bạn dùng thử và feedback cho mình tại thread này.

Screenshot: CodeWalker vs. Mebroot

cw

Download:

http://cmcinfosec.com/download/cmcark_cw0.2.4.500.rar

Nếu bạn bị màn hình xanh, trước tiên, config:

My Computer > Properties > Tab “Advanced” > Startup and Recovery Settings > Write Debugging Information > Kernel Memory Dump.

Sau đó, reboot và chạy lại CodeWalker. Nếu bị BSOD thì bạn vào lấy file %systemroot%\MEMORY.DMP và send vào thug4lif3 gmail \.com

Thanx Thug for Good Tools!
m4n0w4r

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.