Показано с 1 по 1 из 1.

Trojan.Win32.StartPage.amd

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Trojan.Win32.StartPage.amd

    Классический Trojan.Win32.Startpage, дополненный руткитом для блокировки восстановления настроек браузера в реестре. Исполняемый файл имеет размер 14336 байта, не сжат и не зашифрован. В случае запуска скрытно выполняет следующие действия:
    1. Производит подмену стартовой страницы путем правки соответствующего ключа в реестре (устанавливает ссылку на некую страницу на китйском языке).
    2. Создает на диске файл WINDOWS\system32\drivers\paraudio.sys и регистрирует его в реестре (ключ paraudio, симв. имя драйвера - \\.\RegGuard)
    3. Загружает драйвер paraudio.sys

    Драйвер paraudio.sys является руткит-компонентой (размер 7740 байта, драйвер хранится в теле трояна), его задача - блокировать восстановление ключа реестра с настройками браузера. Для решения этой задачи драйвер перехватывает функцию ZwSetValueKey

    Детектирование вручную:
    1. Подмена стартовой страницы и невозможность ее изменения
    2. Появление постороннего перехвата, запись в протоколе AVZ имеет вид:
    Функция ZwSetValueKey (F7) перехвачена (80575527->FCA4508A), перехватчик C:\WINDOWS\system32\drivers\paraudio.sys
    3. В исследовании системы обнаруживается посторонний драйвер (в разделе "модули пространства ядра")

    Удаление вручную:
    1. Удалить драйвер drivers\paraudio.sys
    2. Перезагрузиться и убедиться в том, что перехват фунции пропал

    PS: есть подозрение, что это "первые ласточки" в семействе Startpage.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Как вылечить shell.exe от Trojan.Win32.StartPage.auv?
    От Dude в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 22.02.2009, 04:20
  2. Trojan.win32.startpage.air
    От smersh в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.02.2009, 01:42
  3. Trojan.Win32.StartPage.cyk
    От drserg в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 09.11.2008, 03:29
  4. Trojan.StartPage.20520
    От AleXPander в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 23.06.2008, 20:10
  5. Trojan.Startpage.Q
    От SDA в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 02.10.2005, 22:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00344 seconds with 19 queries