Printable View
[url]http://securityresponse.symantec.com/avcenter/venc/data/[email protected][/url]
Такого извращенного способа скрывать себя я еще ни разу не видел. Абсолютно никакого перехвата, а понервничать, зараза, заставил.
Если б не описание симантека, я бы еще долго тормозил и не знал, что делать...
[quote=RobinFood][URL="http://securityresponse.symantec.com/avcenter/venc/data/[email protected]"]http://securityresponse.symantec.com/avcenter/venc/data/[email protected][/URL]
Такого извращенного способа скрывать себя я еще ни разу не видел. Абсолютно никакого перехвата, а понервничать, зараза, заставил.
Если б не описание симантека, я бы еще долго тормозил и не знал, что делать...[/quote]
Это не руткит ... просто последнее время модно вместо создания процесса инжектировать в системный процесс свой код, например в виде потока. К слову говоря, аналогично поступает знаменитый nail.exe - он просто создает пару потоков в explorer.exe ...
Тут и руткитом то не пахнет, SafeMode и "бабу с воза" :P
[QUOTE=RiC]Тут и руткитом то не пахнет, SafeMode и "бабу с воза" :P[/QUOTE]
Про Safe Mode понятно, но я чистил машину удаленно...
Есть еще как минимум две вещи, коотрые в описании симантека отсутствуют:
1) Иконка у файла такая же, как у обычных папок. А опцию "отображать расширение" он отключает. И выглядит он в результате как самая настоящая папка...
2) Похоже, он мониторит заголовки всех окон, а не только эксплорера - по крайней мере удалить из фара его было тоже непросто.
Кстати, в названии темы я сдуру написал приставку "анти" (к счастью, похоже, все меня поняли правильно) - подправьте, пожалуйста, кто может.
[QUOTE=Зайцев Олег]Это не руткит ... просто последнее время модно вместо создания процесса инжектировать в системный процесс свой код, например в виде потока. [/QUOTE]
Продолжение перенесено [url]http://virusinfo.info/showthread.php?t=3374&page=12#233[/url]