Показано с 1 по 2 из 2.

mkscan.exe - Backdoor.Agobot.Rootkit

  1. #1
    Geser
    Guest

    mkscan.exe - Backdoor.Agobot.Rootkit

    1. mkscan.exe - это и есть руткит. Его можно убить из диспетчера процессов AVZ,
    но перехватчик функций останется в памяти до перезагрузки (это нормально, аналогичное
    явление присуще большинству руткитов). Удалить файл в с диска в результате затружнительно, но возможно.
    2. Эвристик AVZ его не видит, т.к. это очень плохо написанный RootKit - он пытается перехватить
    функции (успешно причем пытается, что интересно), но фильтрация результатов захваченных
    функций у него не срабатывает - в результате файл на диске и процесс в памяти остается видимым. Именно поэтому эвристик в антирутките AVZ не сработал - он не понял шутки юмора Бороться с таким "руткитом" нужно немедленно, т.к. кривонаписанные перехватчики API могут
    натворить дел - как минимум возможны перезагрузки и повисания ПК. Изучение этого "горе-руткита" показало, что он успешно маскирует файлы, содержащие в
    имени слово "sound" (а так как файл имеет имя mkscan.exe, то он естетсвенно остается видим в памяти и на диске). После экспериментального переименования "зверя" в sound.exe
    его руткит-система наконец заработала - процесс стал невидим, файлы тоже - и AVZ радостно завопил, что наконец в системе есть руткит и поймал его Почему автор "наметво" прошил имя программы в рутките - загадка ...;
    3. mkscan.exe - это еще и backdoor, он открывает на прослушивание два порта - 15506 TCP и 19727 TCP. Эти данные я советую предать админу сети, сканируя эти порты легко найти все пораженные ПК и почистить их. Открытые порты видны в диспетчере портов TCP/UDP AVZ;
    4. mkscan.exe не имеет защиты от повторного запуска - можно запустить несколько его копий, что тоже некорретно
    5. "Зверь" создает в реестре ряд ключей, в частности он записывает себя в список привелегированных процессов для встроенного Firewall XP (ключи он эти никак не защищает от просмотра и удаления, найти их можно искателем по реестру из AVZ ...):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\
    AuthorizedApplications\List\C:\WINDOWS\system32\mk scan.exe =
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\
    AuthorizedApplications\List\C:\WINDOWS\system32\mk scan.exe = C:\WINDOWS\system32\mkscan.exe:Enabled:mkscan

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740

    Re:mkscan.exe - Backdoor.Agobot.Rootkit

    Возможно, автор модифицировал оригинальный руткит, но тонкостей насчет имени файла попросту не знал.

Похожие темы

  1. никак не избавиться от rootkit'ов и backdoor'ов
    От Fleksik в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 08.09.2009, 12:43
  2. Не получается вылечить RootKit, Fakealert, BackDoor
    От nimdasys в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 21.08.2009, 14:26
  3. Trojan.Win32.Agent amoi, Backdoor.Win32.Agobot.puw
    От Andrey Golubev в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 11.11.2008, 18:48
  4. Rootkit kernel mode+backdoor
    От Ihateviruses!!! в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 02.08.2007, 18:55
  5. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 4
    Последнее сообщение: 26.07.2005, 01:00

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01328 seconds with 16 queries