-
Backdoor.Win32.Agent.cns
Попробую себя в этом амплуа 
Backdoor, как правило, загружается через вредоносный скрипт, встроенный в код сайта. При выполнении скрипта на компьютер загружается файл actxprxyn.exe размером 10752 байт, сохраняется в %System32%. Прописывается как служба
Код:
"Рабочая станция lanmanworkshipRpcSs - Unknown owner"
в реестре создаются ключи
Код:
HKLM\System\CurrentControlSet\Services\lanmanworkshipRpcSs
HKLM\System\ControlSet00?\Services\lanmanworkshipRpcSs
Затем программа загружает kcp.sys размером 4224 байта и lehx.exe размером 71915 байта. После этого lehx.exe устанавливает соединение с узлами
Код:
195.5.117.232
194.67.23.20
72.14.215.27
64.233.183.27
66.111.474
и прочими по 25 порту, осуществляя почтовые спам-рассылки.
Kcp.sys прописывается в %System32%\drivers, создает ключи в реестре
Код:
HKLM\System\CurrentControlSet\Services\kcp
HKLM\System\ControlSet00?\Services\kcp
и с помощью руткит-технологий скрывает lehx.exe, находящийся в %UserProfile%\Local Settings\Temp, вследствие чего AVZ не может собрать информацию об этом файле.
Но сам kcp.sys вполне виден в "Модулях пространства ядра".
Последний раз редактировалось rubin; 25.04.2008 в 13:55.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ответить с цитированием
