Показано с 1 по 19 из 19.

Backdoor.win32.small.os с чем его едят ?

  1. #1
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35

    Backdoor.win32.small.os с чем его едят ?

    Господа профессионалы !
    Большая просьба, не поленитесь и в свободную минуту и дайте краткое описание механизма действия вируса Backdoor.win32.small.os

    Очень хорошо и без шуток огромное Вам спасибо, что даете конкретные рекомендации по ликвидации вредоносных программ и последствий их деятельности. Однако иногда более продвинутым пользователям хочется подробнее узнать механизм работы того или иного вируса хотя бы для того, чтобы не наступать дважды на одни ите же грабли.

    "Весь" Inet уже пару недель спрашивает друг у друга - как действует вышеуказанный вирус (привыкли понимаешь что нашел и остановил процесс или в крайнем случае службу, вычичтил реестр и сиди дальше спокойно). А тут ни процесса ни службы чужой, а злокозненная программа с достойным иного применения постоянством записывает часть себя (perfc000.dat) в system32 и ссылку в реестр и т.д.

    Я вот только запустил вашу знаменитую AVZ (предварительно обманув вирус путем подсовывания своего файла perfc000.dat c readonly вместо вирусного) как вредоносная программа (после первого же запуска AVZ не принесшего сообщений о вирусах) прекратила свою активность и не знаешь где она окопалась и есть ли вообще на компьютере

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Смотрите эту тему -> http://www.virusinfo.info/showthread.php?t=9725

    Если есть сомнения по поводу вирусов, зделайте логи по правилам, мы посмотрим, может чего подскажем...

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    дайте краткое описание механизма действия вируса
    Солдаты анатомию не знают
    Это к патологоанатомам - т.е. аналитикам вирлаба.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35
    Так если б он проявлял себя, этот вирус !
    А так нерегламентная деятельность прекратилась и поэтому боюсь, что Вам нелегко будет определить, что осталось ли чего от вируса на компьютере, да и люди у которых вредоносные программы работают сейчас - требуют Вашего внимания куда больше

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Bratez Посмотреть сообщение
    Солдаты анатомию не знают
    ROFL
    @Celamoi
    Бэкдор он и есть бэкдор - как его ни назови. Механизмы действия их описаны вдоль и поперек. А средство защиты очень простое: думать до того, как надавить на setup или download.

  7. #6
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    ROFL
    думать до того, как надавить на setup или download.
    Волков бояться - в лес не ходить !

    Этот отличается от всех backdoor'ов с которыми мне приходилось иметь дело в том числе и от родственных по класификации Касперского - backdoor.win32.small...
    Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.

    Хоть подскажите, если можно, как запускается и где обычно хранит остальной (кроме perfc000.dat) кусок себя, а

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.
    Как это нету?
    perfc000.dat - это библиотека(DLL) которая подгружается через AppInit_DLLs.



    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

  9. #8
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35
    Цитата Сообщение от Muffler Посмотреть сообщение
    Как это нету?
    perfc000.dat - это библиотека(DLL) которая подгружается через AppInit_DLLs.
    Это понятно, а вот какая программа/процесс постоянно прописывает указанную Вами строчку в реестр, а в system32 записывает perfc000.dat (если их удаляешь) ?

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.
    Попадалась недавно такая "прелесть" http://forum.kaspersky.com/index.php?showtopic=37997
    Олег в теме рассказал как она работает.

  11. #10
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35
    Цитата Сообщение от MaXim Посмотреть сообщение
    Попадалась недавно такая "прелесть" http://forum.kaspersky.com/index.php?showtopic=37997
    Олег в теме рассказал как она работает.
    Увы, господин Зайцев там рассказал (а точнее подсказал хелперу) как боротся с другим вирусом - Backdoor.Win32.Bifrose.acs (по Касперскому) и файл sysinfo.exe у меня совсем не "троян" и ведет себя не так как описано в теме.
    Может это не та тема ?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    @Celamoi
    Т.к. количество троянов и их модификаций огромно, описать каждый из них практически не представляется возможным. Понаблюдайте этот топик: http://forum.kaspersky.com/lofiversi...hp/t38169.html М.б. через пару-тройку дней появится и описание, т.к. заражение им приобретает массовый характер. См. также портал http://www.virusbtn.com/ . Чтобы получить доступ к разделу VGrep Вам нужно там зарегистрироваться.

  13. #12
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от Celamoi Посмотреть сообщение
    Увы, господин Зайцев там рассказал (а точнее подсказал хелперу) как боротся с другим вирусом - Backdoor.Win32.Bifrose.acs (по Касперскому) и файл sysinfo.exe у меня совсем не "троян" и ведет себя не так как описано в теме.
    Может это не та тема ?
    Ключевая фраза Олега: "Он создает потоки в процессе explorer.exe, ...". Так и эта. Как мне кажется, Backdoor.win32.small.os (он же Trojan.Proxy.1798 или Trojan.Proxy.1800) создает потоки в svchost'е.
    ---
    С уважением,
    Borka.

  14. #13
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35
    Цитата Сообщение от borka Посмотреть сообщение
    создает потоки в svchost'е.
    У меня тоже сложилось такое впечатление ! Узнать бы еще какой из запущених процессов svchost запускает левый сервис, поддерживающий функционирование вируса.

    А начнешь их "глушить" - так "падает" или перегружается операционка
    А еще интересно было бы знать - какой объект инициирует запуска этого левого сервиса через svchost.
    Моей квалификации, увы, для ответов на эти вопросы не хватает - так что может и слава богу, что AVZ "спугнул" вирус

  15. #14
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от Celamoi Посмотреть сообщение
    У меня тоже сложилось такое впечатление ! Узнать бы еще какой из запущених процессов svchost запускает левый сервис, поддерживающий функционирование вируса.

    А начнешь их "глушить" - так "падает" или перегружается операционка
    А еще интересно было бы знать - какой объект инициирует запуска этого левого сервиса через svchost.
    Моей квалификации, увы, для ответов на эти вопросы не хватает - так что может и слава богу, что AVZ "спугнул" вирус
    Стартует он отсюда:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="..."
    Ну а дальше "вопрос техники" - как и куда инжектироваться и что контролировать.
    ---
    С уважением,
    Borka.

  16. #15
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35
    Цитата Сообщение от borka Посмотреть сообщение
    Стартует он отсюда:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="..."
    А я в безопасном режиме удалял эту запись из реестра, а вирус продолжал работать после перезагрузки !
    Возможно перед перезагрузкой зловредный процесс восстанавливал эту запись а заодно файл perfc000.dat ?
    Правда тогда как svchost в безопасном режиме стартует левый "вирусный" сервис, если такое возможно - зачем нам такой "безопасный режим" ?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Левый сервис и поток -две большие разницы.

  18. #17
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35
    @Alex_Goodwin
    Подскажете, где прочитать по русски про то что такое потоки в процессе и как их создают (а главное определяют кто создал - буду очень обязан

  19. #18
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от Celamoi Посмотреть сообщение
    А я в безопасном режиме удалял эту запись из реестра, а вирус продолжал работать после перезагрузки !
    Возможно перед перезагрузкой зловредный процесс восстанавливал эту запись а заодно файл perfc000.dat ?
    Именно так. Огромное число зловредов отслеживают шатдаун системы и восстанавливаются - как в файловом виде, так и в реестровом.

    Цитата Сообщение от Celamoi Посмотреть сообщение
    Правда тогда как svchost в безопасном режиме стартует левый "вирусный" сервис, если такое возможно - зачем нам такой "безопасный режим" ?
    http://support.microsoft.com/kb/197571

    Цитата Сообщение от Celamoi Посмотреть сообщение
    @Alex_Goodwin
    Подскажете, где прочитать по русски про то что такое потоки в процессе и как их создают (а главное определяют кто создал - буду очень обязан
    MSDN рулит. Например, вот:
    http://msdn.microsoft.com/library/ru...sthreading.asp
    ---
    С уважением,
    Borka.

  20. #19
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Киев, Украина
    Сообщений
    11
    Вес репутации
    35
    @borka
    Вот спасибо, это как раз те ответы, которые я хотел бы услышать !

    Можно было бы считать эту тему и закрытой, но если кто-то конкретно "разгребет" как точно работает именно этот вирус - то может напишет прямо суда, а другие тогда легко найдут

Похожие темы

  1. backdoor.win32.small.cyb
    От Antonn в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 22.02.2009, 06:05
  2. Backdoor.Win32.Small.czo
    От Алексей Романов в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 19.08.2008, 11:23
  3. Поймал Backdoor Win32 Small
    От Михалыч в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 23.07.2008, 23:17
  4. Worm.Win32.Perlovga.c Trojan-Dropper.Win32.Small.apl Backdoor.Win32.Small.lo
    От Катерина в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 01.04.2008, 16:50
  5. BackDoor.Scard (Backdoor.Win32.Small.bq)
    От Geser в разделе Описания вредоносных программ
    Ответов: 4
    Последнее сообщение: 11.11.2004, 22:05

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00252 seconds with 24 queries