Показано с 1 по 1 из 1.

Описание вируса Trojan-PSW.Win32.LdPinch.sf - тот самый "ICQ вирус"

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Описание вируса Trojan-PSW.Win32.LdPinch.sf - тот самый "ICQ вирус"

    Сегодня во многих Интернет-источниках прошла информация о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
    Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками VBA). Файл имеет признаки защиты от сигнатурного анализа - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
    Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:
    a=andrey.kremnikov@gmail.com&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....
    на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование
    Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys

    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    SDT = 80559B80
    KiST = 804E2D20 (284)
    Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys




    За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно.

    Лечение
    Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше. Удаление предполагает следующие шаги:
    1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам
    2. Удалить файл system32\drivers\SYSpnch.sys 3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения
    Последний раз редактировалось Зайцев Олег; 04.08.2005 в 15:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 28.06.2011, 22:16
  2. "В системе обнаружен вирус: Trojan.Win32.Ddox.ci "
    От johnnyhey в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 23.06.2011, 21:02
  3. Ответов: 12
    Последнее сообщение: 23.06.2011, 02:32
  4. Ищу описание трояна "Trojan-GameThief.Win32.Tibia.fdp
    От Shredder999 в разделе Описания вредоносных программ
    Ответов: 2
    Последнее сообщение: 25.05.2010, 15:54
  5. Помогите победить вирус "Trojan-Ransom.Win32.Agent.g"
    От sergiosa в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 13.12.2009, 00:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01604 seconds with 16 queries