Backdoor.win32.small.os с чем его едят ?

Господа профессионалы !
Большая просьба, не поленитесь и в свободную минуту и дайте краткое описание механизма действия вируса [B]Backdoor.win32.small.os[/B]

Очень хорошо и без шуток огромное Вам спасибо, что даете конкретные рекомендации по ликвидации вредоносных программ и последствий их деятельности. Однако иногда более продвинутым пользователям хочется подробнее узнать механизм работы того или иного вируса хотя бы для того, чтобы не наступать дважды на одни ите же грабли.:?

"Весь" Inet уже пару недель спрашивает друг у друга - как действует вышеуказанный вирус (привыкли понимаешь что нашел и остановил процесс или в крайнем случае службу, вычичтил реестр и сиди дальше спокойно). А тут ни процесса ни службы чужой, а злокозненная программа с достойным иного применения постоянством записывает часть себя ([I]perfc000.dat) в system32[/I] и ссылку в реестр и т.д.

Я вот только запустил вашу знаменитую AVZ (предварительно обманув вирус путем подсовывания своего файла [I]perfc000.dat c [/I]readonly вместо вирусного) как вредоносная программа (после первого же запуска AVZ не принесшего сообщений о вирусах) прекратила свою активность и не знаешь где она окопалась и есть ли вообще на компьютере :)

Смотрите эту тему -> [url]http://www.virusinfo.info/showthread.php?t=9725[/url]

Если есть сомнения по поводу вирусов, зделайте логи по правилам, мы посмотрим, может чего подскажем...

[QUOTE]дайте краткое описание механизма действия вируса[/QUOTE]
Солдаты анатомию не знают ;)
Это к патологоанатомам - т.е. аналитикам вирлаба.

Так если б он проявлял себя, этот вирус !
А так нерегламентная деятельность прекратилась и поэтому боюсь, что Вам нелегко будет определить, что осталось ли чего от вируса на компьютере, да и люди у которых вредоносные программы работают сейчас - требуют Вашего внимания куда больше

[QUOTE=Bratez;109922]Солдаты анатомию не знают ;)[/QUOTE]
ROFL :D
@Celamoi
Бэкдор он и есть бэкдор - как его ни назови. Механизмы действия их описаны вдоль и поперек. А средство защиты очень простое: думать [B]до того[/B], как надавить на setup или download.:)

[quote=Rene-gad;109928]ROFL :D
думать [B]до того[/B], как надавить на setup или download.:)[/quote]
Волков бояться - в лес не ходить ! :)

Этот отличается от всех backdoor'ов с которыми мне приходилось иметь дело в том числе и от родственных по класификации Касперского - backdoor.win32.small...
Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.

Хоть подскажите, если можно, как запускается и где обычно хранит остальной (кроме perfc000.dat) кусок себя, а

[QUOTE]Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.[/QUOTE]

Как это нету?
perfc000.dat - это библиотека(DLL) которая подгружается через AppInit_DLLs.



[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs[/CODE]

[quote=Muffler;109933]Как это нету?
perfc000.dat - это библиотека(DLL) которая подгружается через AppInit_DLLs.[/quote]

Это понятно, а вот какая программа/процесс постоянно прописывает указанную Вами строчку в реестр, а в system32 записывает perfc000.dat (если их удаляешь) ?

[quote]Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.[/quote]Попадалась недавно такая "прелесть" [url]http://forum.kaspersky.com/index.php?showtopic=37997[/url]
Олег в теме рассказал как она работает.

[quote=MaXim;110062]Попадалась недавно такая "прелесть" [URL]http://forum.kaspersky.com/index.php?showtopic=37997[/URL]
Олег в теме рассказал как она работает.[/quote]

Увы, господин Зайцев там рассказал (а точнее подсказал хелперу) как боротся с другим вирусом - [B]Backdoor.Win32.Bifrose.acs [/B](по Касперскому) :'-( и файл sysinfo.exe у меня совсем не "троян" и ведет себя не так как описано в теме.
Может это не та тема ? :)

@Celamoi
Т.к. количество троянов и их модификаций огромно, описать каждый из них практически не представляется возможным. Понаблюдайте этот топик: [url]http://forum.kaspersky.com/lofiversion/index.php/t38169.html[/url] М.б. через пару-тройку дней появится и описание, т.к. заражение им приобретает массовый характер. См. также портал [url]http://www.virusbtn.com/[/url] . Чтобы получить доступ к разделу [B]VGrep[/B] Вам нужно там зарегистрироваться.

[QUOTE=Celamoi;110100]Увы, господин Зайцев там рассказал (а точнее подсказал хелперу) как боротся с другим вирусом - [B]Backdoor.Win32.Bifrose.acs [/B](по Касперскому) :'-( и файл sysinfo.exe у меня совсем не "троян" и ведет себя не так как описано в теме.
Может это не та тема ? :)[/QUOTE]
Ключевая фраза Олега: "Он создает потоки в процессе explorer.exe, ...". Так и эта. Как мне кажется, Backdoor.win32.small.os (он же Trojan.Proxy.1798 или Trojan.Proxy.1800) создает потоки в svchost'е.

[quote=borka;110137]создает потоки в svchost'е.[/quote]
У меня тоже сложилось такое впечатление ! Узнать бы еще какой из запущених процессов svchost запускает левый сервис, поддерживающий функционирование вируса.

А начнешь их "глушить" - так "падает" или перегружается операционка :)
А еще интересно было бы знать - какой объект инициирует запуска этого левого сервиса через svchost.
Моей квалификации, увы, для ответов на эти вопросы не хватает - так что может и слава богу, что AVZ "спугнул" вирус

[QUOTE=Celamoi;110145]У меня тоже сложилось такое впечатление ! Узнать бы еще какой из запущених процессов svchost запускает левый сервис, поддерживающий функционирование вируса.

А начнешь их "глушить" - так "падает" или перегружается операционка :)
А еще интересно было бы знать - какой объект инициирует запуска этого левого сервиса через svchost.
Моей квалификации, увы, для ответов на эти вопросы не хватает - так что может и слава богу, что AVZ "спугнул" вирус[/QUOTE]

Стартует он отсюда:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="..."
Ну а дальше "вопрос техники" - как и куда инжектироваться и что контролировать.

[quote=borka;110151]Стартует он отсюда:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="..."[/quote]
А я в безопасном режиме удалял эту запись из реестра, а вирус продолжал работать после перезагрузки !
Возможно перед перезагрузкой зловредный процесс восстанавливал эту запись а заодно файл perfc000.dat ?
Правда тогда как svchost в безопасном режиме стартует левый "вирусный" сервис, если такое возможно - зачем нам такой "безопасный режим" ? ;)

Левый сервис и поток -две большие разницы.

@Alex_Goodwin
Подскажете, где прочитать по русски про то что такое потоки в процессе и как их создают (а главное определяют кто создал :) - буду очень обязан

[QUOTE=Celamoi;110158]А я в безопасном режиме удалял эту запись из реестра, а вирус продолжал работать после перезагрузки !
Возможно перед перезагрузкой зловредный процесс восстанавливал эту запись а заодно файл perfc000.dat ?
[/QUOTE]
Именно так. Огромное число зловредов отслеживают шатдаун системы и восстанавливаются - как в файловом виде, так и в реестровом. ;)

[QUOTE=Celamoi;110158]Правда тогда как svchost в безопасном режиме стартует левый "вирусный" сервис, если такое возможно - зачем нам такой "безопасный режим" ? ;)[/QUOTE]
[url]http://support.microsoft.com/kb/197571[/url]

[QUOTE=Celamoi;110176]@Alex_Goodwin
Подскажете, где прочитать по русски про то что такое потоки в процессе и как их создают (а главное определяют кто создал :) - буду очень обязан[/QUOTE]
MSDN рулит. Например, вот:
[url]http://msdn.microsoft.com/library/rus/default.asp?url=/library/RUS/cpguide/html/cpconthreadsthreading.asp[/url]

@borka
Вот спасибо, это как раз те ответы, которые я хотел бы услышать !

Можно было бы считать эту тему и закрытой, но если кто-то конкретно "разгребет" как точно работает именно этот вирус - то может напишет прямо суда, а другие тогда легко найдут ;)