PDA

Просмотр полной версии : BackDoor.Monsh (Drweb)



stopka2top
21.09.2007, 13:11
BackDoor.Monsh (Drweb) или W32.Xema.A (Symantec) ,
для KAV (officexp.exe, ~WR00001.doc, c_10810.nls, c_20462.nls, w1234.exe, windfire.exe - Trojan-Spy.Win32.Agent.qj,
deskinf.pif - Backdoor.Win32.Agobot.h)
ОС windows xp sp2 pro
Файлы ( ~WR00001.doc, c_10810.nls, c_20462.nls,c_19460.nls,
w1234.exe,windfire.exe ) имеют одинаковый размер 118,1 килобайт и
упакованы UPX
(хотя может и остальные тоже)
Полный список заражаемых файлов(выявленный drweb)
Первый способ заражения: автозапуск со сменных носителей (вероятно
нужны права администратора )
"X:\autorun.inf" (иногда X:\autorun.inf_{сочетание букв и цифр}) Файл
ссылается
Извиняюсь что в авторские залез .... слабовато для них !
на X:\Recycled\deskinf.pif
"X:\Recycled\deskinf.pif" Файл ссылается на X:\Recycled\~WR00001.doc

"X:\Recycled\~WR00001.doc"
Где X- любой сменный диск
Второй способ - автозагрузка
"С:\Documents and Settings\user\Рабочий стол\Автозагрузка\officexp.exe"
( короче папка автозагрузки
на "Рабочем столе" у заражённого пользователя)
Остальные файлы вируса
"C:\Windows\system32\c_10810.nls"
"C:\Windows\system32\c_20462.nls"
"C:\Windows\system32\c_19460.nls"
"C:\Windows\system32\w1234.exe"
"C:\Windows\system32\windfire.exe"
"C:\Windows\system32\inter32.dll"
"C:\Windows\system32\shell64.dll"
"C:\Windows\system32\shlmon.exe"
Пролечился с CureIt (обязательно перезагрузитесь после первой проверки дисков и повторите её снова на системном диске)
Восстановление системы перед операцией нужно отлючить.
AVZ 4.27 на него уже реагирует.

Более официальное описание http://safe.cnews.ru/bugtrack/entry/index.shtml?malicious/2007/06/11/101200 ,но уменя была другая модификация.
+ "W32.Xema.A" на странице http://83.149.99.14/forums/index.php...0&#entry286986
Зря в авторские залез .... слабовато!

anton_dr
21.09.2007, 13:32
Зря в авторские залез .... слабовато!
Надо же с чего-то начинать. :) Следующие будут лучше.