# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan-Clicker.Win32.Costrat.n

## Зайцев Олег

Rootkit: Да
Видимые проявления: 
1. AVZ обнаруживает перехват SYSENTER
2. AVZ выдает подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

Синонимы: Backdoor.Rustock.B (Symantec)

Установка данной троянской программы производится дроппером размером 71 кб. В случае его запуска скрытно выполняются следующие операции: 
1. Создается файл C:\WINDOWS\system32:lzx32.sys. Обратите внимание – этот файл хранится в NTFS потоке каталога System32, что сделано для затруднения поиска и удаления драйвера 
2. Драйвер регистрируется в реестре, имя ключа - pe386 
3. В системном процессе explorer.exe создается блок памяти размером 2 кб, в который копируется троянский код. Этот код запускается на выполнение при помощи механизма удаленных потоков (CreateRemoteThread). Троянский код может обмениваться  с сайтом 208.66.194.55/index.php?page=main и осуществлять загрузку драйвера 

Драйвер lzx32.sys является фильтром файловой системы и предназначен для защиты и маскировки файлов на диске. Кроме того, он маскирует свой ключ в реестре, перехватывая системные функции при помощи перехвата SysEnter 

*Обнаружение вручную* 
AVZ детектирует данную вредоносную программу модулем антируткита, проткоол имеет вид: 
1.3 Проверка IDT и SYSENTER 
Анализ для процессора 1 
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный 
ЦП[1].SYSENTER успешно восстановлен 
Проверка IDT и SYSENTER завершена 
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys 


*Нейтрализация и удаление вручную* 
1. Закрыть все приложения. Запустить AVZ. Произвести сканирование системного диска с включенным антируткитом 
2. Активировать AVZ Guard 
3. Произвести отложенное удаление файла system32:lzx32.sys (это проще всего сделать, нажав кнопку просмотра заподозренных объектов справа от протокола, этот файл будет в списке объектов – его нужно отметить и нажать кнопку «Удалить» ) 
4. Произвести поиск в реестре через службу «Поиск данных в реестре». Образец поиска – «system32:lzx32.sys». Результат будет иметь примерно следующий вид: 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\p  e386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys 
Эти ключи следует удалить (для этого нужно отметить их на закладке «Найденные ключи» и нажать кнопку «Удалить отмеченные ключи» 
5. Перезагрузиться, не отключая AVZ Guard 
6. Повторить сканирование системного диска. В случае успешного удаления данной вредоносной программы перехват SYSENTER в протоколе перестанет детектироваться. Если драйвер о каким-либо причинам не удалится на шаге 3, то в протоколе будет сообщение файлового сканера о исполняемом файле в потоке каталога System32. В этом случае следует повторить шаг 3

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Xen

Буквально только что удаленно лечил знакомого от этой дряни. Помогла следующая рекомендация:

перезагрузиться в безопасном режиме, зайти в командную строку, перейти в директорию C:\Windows (например), далее набрать 

*echo "MZ" >system32:lzx32.sys*

Далее перезагрузка и обычное сканирование системы при нейтрализованном драйвере.

----------


## DVi

Логично.

----------


## aintrust

> *echo "MZ" >system32:lzx32.sys*


Хм... Ну, если уж очень хотелось немного "повыпендриваться" и сделать из стрима _system32:lzx32.sys_ подобие загружаемого/исполнимого, то корректно было бы написать так:

*echo MZ > system32:lzx32.sys*

т.е. без кавычек вокруг MZ, а иначе эти кавычки успешно будут записаны в стрим вместе с буквами MZ.

----------


## Xen

*aintrust*, верно подметил, кавычки для прописки мэджика использовать не следовало =)

----------

