Показано с 1 по 1 из 1.

FraudTool.Win32.UltimateDefender.cm

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,235
    Вес репутации
    3390

    FraudTool.Win32.UltimateDefender.cm

    Видимые проявления:
    Блокировка работы AVP, AVZ, GMER, CureIT
    Подмена системного драйвера beep.sys

    На момент составления описания известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW образца 4.03.2008. Сама вредоносная программа является дроппером, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\drivers\beep.sys, причем повторяет эту операцию три раза подряд (в том числе создавая копию в \dllcache).
    После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run.
    Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
    Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
    Удаление: так как блокировка идет по именам, то достаточно переименовать исполняемый файл AVZ скажем в 123.com. Симптомом является тот факт, что AVZ не опознает драйвер beep.sys по базе безопасных.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 22.02.2009, 08:46
  2. FraudTool.Win32.
    От Асёк в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.02.2009, 08:32
  3. Не могу убить Backdoor.Win32.UltimateDefender.geq
    От Vistovich в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 24.10.2008, 20:13
  4. FraudTool.Win32.XPSecurityCenter зараза
    От DoubleDamage в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 09.09.2008, 17:27
  5. FraudTool.Win32.Reanimator.a
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 16.03.2008, 22:00

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00123 seconds with 16 queries