Зайцев Олег
17.11.2006, 08:52
Rootkit: Да
Видимые проявления:
1. AVZ обнаруживает перехват SYSENTER
2. AVZ выдает подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
Синонимы: Backdoor.Rustock.B (Symantec)
Установка данной троянской программы производится дроппером размером 71 кб. В случае его запуска скрытно выполняются следующие операции:
1. Создается файл C:\WINDOWS\system32:lzx32.sys. Обратите внимание – этот файл хранится в NTFS потоке каталога System32, что сделано для затруднения поиска и удаления драйвера
2. Драйвер регистрируется в реестре, имя ключа - pe386
3. В системном процессе explorer.exe создается блок памяти размером 2 кб, в который копируется троянский код. Этот код запускается на выполнение при помощи механизма удаленных потоков (CreateRemoteThread). Троянский код может обмениваться с сайтом 208.66.194.55/index.php?page=main и осуществлять загрузку драйвера
Драйвер lzx32.sys является фильтром файловой системы и предназначен для защиты и маскировки файлов на диске. Кроме того, он маскирует свой ключ в реестре, перехватывая системные функции при помощи перехвата SysEnter
Обнаружение вручную
AVZ детектирует данную вредоносную программу модулем антируткита, проткоол имеет вид:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
Нейтрализация и удаление вручную
1. Закрыть все приложения. Запустить AVZ. Произвести сканирование системного диска с включенным антируткитом
2. Активировать AVZ Guard
3. Произвести отложенное удаление файла system32:lzx32.sys (это проще всего сделать, нажав кнопку просмотра заподозренных объектов справа от протокола, этот файл будет в списке объектов – его нужно отметить и нажать кнопку «Удалить» )
4. Произвести поиск в реестре через службу «Поиск данных в реестре». Образец поиска – «system32:lzx32.sys». Результат будет иметь примерно следующий вид:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\p e386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
Эти ключи следует удалить (для этого нужно отметить их на закладке «Найденные ключи» и нажать кнопку «Удалить отмеченные ключи»
5. Перезагрузиться, не отключая AVZ Guard
6. Повторить сканирование системного диска. В случае успешного удаления данной вредоносной программы перехват SYSENTER в протоколе перестанет детектироваться. Если драйвер о каким-либо причинам не удалится на шаге 3, то в протоколе будет сообщение файлового сканера о исполняемом файле в потоке каталога System32. В этом случае следует повторить шаг 3
Видимые проявления:
1. AVZ обнаруживает перехват SYSENTER
2. AVZ выдает подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
Синонимы: Backdoor.Rustock.B (Symantec)
Установка данной троянской программы производится дроппером размером 71 кб. В случае его запуска скрытно выполняются следующие операции:
1. Создается файл C:\WINDOWS\system32:lzx32.sys. Обратите внимание – этот файл хранится в NTFS потоке каталога System32, что сделано для затруднения поиска и удаления драйвера
2. Драйвер регистрируется в реестре, имя ключа - pe386
3. В системном процессе explorer.exe создается блок памяти размером 2 кб, в который копируется троянский код. Этот код запускается на выполнение при помощи механизма удаленных потоков (CreateRemoteThread). Троянский код может обмениваться с сайтом 208.66.194.55/index.php?page=main и осуществлять загрузку драйвера
Драйвер lzx32.sys является фильтром файловой системы и предназначен для защиты и маскировки файлов на диске. Кроме того, он маскирует свой ключ в реестре, перехватывая системные функции при помощи перехвата SysEnter
Обнаружение вручную
AVZ детектирует данную вредоносную программу модулем антируткита, проткоол имеет вид:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
Нейтрализация и удаление вручную
1. Закрыть все приложения. Запустить AVZ. Произвести сканирование системного диска с включенным антируткитом
2. Активировать AVZ Guard
3. Произвести отложенное удаление файла system32:lzx32.sys (это проще всего сделать, нажав кнопку просмотра заподозренных объектов справа от протокола, этот файл будет в списке объектов – его нужно отметить и нажать кнопку «Удалить» )
4. Произвести поиск в реестре через службу «Поиск данных в реестре». Образец поиска – «system32:lzx32.sys». Результат будет иметь примерно следующий вид:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\p e386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
Эти ключи следует удалить (для этого нужно отметить их на закладке «Найденные ключи» и нажать кнопку «Удалить отмеченные ключи»
5. Перезагрузиться, не отключая AVZ Guard
6. Повторить сканирование системного диска. В случае успешного удаления данной вредоносной программы перехват SYSENTER в протоколе перестанет детектироваться. Если драйвер о каким-либо причинам не удалится на шаге 3, то в протоколе будет сообщение файлового сканера о исполняемом файле в потоке каталога System32. В этом случае следует повторить шаг 3