# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Описание вирусов: Net-Worm.Win32.Padobot.z с встроенным руткитом

## Зайцев Олег

Сегодня на исследование попал вирус Net-Worm.Win32.Padobot.z, обладающий встроенным руткитом. Именно руткитом он и интересен, т.к. качественно маскирует процессы и файлы и его защитный механизм в принципе работоспособен в 9x и NT.
Фот фрагмент протокола:



> 1. Поиск RootKit и программ, перехватывающих функции API
> >> Опасно ! Обнаружена маскировка процессов
> >>>> Обнаружена маскировка процесса 1184 BCFFFJJ0.exe
> >>>> Обнаружена маскировка процесса 1636 Ojcdjp32.exe
> >>>> Обнаружена маскировка процесса 652 JEBHCCDC.exe
> 1.1 Поиск перехватчиков API, работающих в UserMode
> Анализ kernel32.dll, таблица экспорта найдена в секции .text
> Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
> Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
> ...


После противодействия руткиту произошло обнаружение процессов:




> >>>> Подозрение на маскировку процесса 1184 c:\test\bcfffjj0.exe
> >>>> Подозрение на маскировку процесса 1636 c:\windows\system32\ojcdjp32.exe
> >>>> Подозрение на маскировку процесса 652 c:\windows\system32
> \jebhccdc.exe


Сам вирус копирует себя в папку System32, имена файлов судя по всему случайные. Файлы ничем не сжаты и не зашифрованы
BCFFFJJ0.exe - размер 13857 байта, содержит открытым текстом заголовки окон популярных антивирусов и Firewall, в частности OfficeScanNT, ZoneAlarm, Panda, Antivirus Norton Antivirus ... и заготовку HTTP апроса

Gdiooi32.exe - размер 46592 байта, не сжат и не зашифрован 

После запуска вируса на тестовом ПК обнаружились еще две троянские библиотеки:
c:\windows\system32\esvfo32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s 
c:\windows\system32\ztelhj32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s
как оказалось, они прописаны в ShellServiceObjectDelayLoad.

*Лечение*
1. Провести сканирование при помощи AVZ с включенным антируткитом
2. Завершить процессы вируса
3. при помощи встроенного поиска файлов найти файлы вируса и удалить их

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

