Показано с 1 по 5 из 5.

Trojan-Clicker.Win32.Costrat.n

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Trojan-Clicker.Win32.Costrat.n

    Rootkit: Да
    Видимые проявления:
    1. AVZ обнаруживает перехват SYSENTER
    2. AVZ выдает подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

    Синонимы: Backdoor.Rustock.B (Symantec)

    Установка данной троянской программы производится дроппером размером 71 кб. В случае его запуска скрытно выполняются следующие операции:
    1. Создается файл C:\WINDOWS\system32:lzx32.sys. Обратите внимание – этот файл хранится в NTFS потоке каталога System32, что сделано для затруднения поиска и удаления драйвера
    2. Драйвер регистрируется в реестре, имя ключа - pe386
    3. В системном процессе explorer.exe создается блок памяти размером 2 кб, в который копируется троянский код. Этот код запускается на выполнение при помощи механизма удаленных потоков (CreateRemoteThread). Троянский код может обмениваться с сайтом 208.66.194.55/index.php?page=main и осуществлять загрузку драйвера

    Драйвер lzx32.sys является фильтром файловой системы и предназначен для защиты и маскировки файлов на диске. Кроме того, он маскирует свой ключ в реестре, перехватывая системные функции при помощи перехвата SysEnter

    Обнаружение вручную
    AVZ детектирует данную вредоносную программу модулем антируткита, проткоол имеет вид:
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    >>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
    ЦП[1].SYSENTER успешно восстановлен
    Проверка IDT и SYSENTER завершена
    >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys


    Нейтрализация и удаление вручную
    1. Закрыть все приложения. Запустить AVZ. Произвести сканирование системного диска с включенным антируткитом
    2. Активировать AVZ Guard
    3. Произвести отложенное удаление файла system32:lzx32.sys (это проще всего сделать, нажав кнопку просмотра заподозренных объектов справа от протокола, этот файл будет в списке объектов – его нужно отметить и нажать кнопку «Удалить» )
    4. Произвести поиск в реестре через службу «Поиск данных в реестре». Образец поиска – «system32:lzx32.sys». Результат будет иметь примерно следующий вид:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\p e386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
    Эти ключи следует удалить (для этого нужно отметить их на закладке «Найденные ключи» и нажать кнопку «Удалить отмеченные ключи»
    5. Перезагрузиться, не отключая AVZ Guard
    6. Повторить сканирование системного диска. В случае успешного удаления данной вредоносной программы перехват SYSENTER в протоколе перестанет детектироваться. Если драйвер о каким-либо причинам не удалится на шаге 3, то в протоколе будет сообщение файлового сканера о исполняемом файле в потоке каталога System32. В этом случае следует повторить шаг 3

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    59
    Буквально только что удаленно лечил знакомого от этой дряни. Помогла следующая рекомендация:

    перезагрузиться в безопасном режиме, зайти в командную строку, перейти в директорию C:\Windows (например), далее набрать

    echo "MZ" >system32:lzx32.sys

    Далее перезагрузка и обычное сканирование системы при нейтрализованном драйвере.

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2154
    Логично.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    297
    Цитата Сообщение от Xen Посмотреть сообщение
    echo "MZ" >system32:lzx32.sys
    Хм... Ну, если уж очень хотелось немного "повыпендриваться" и сделать из стрима system32:lzx32.sys подобие загружаемого/исполнимого, то корректно было бы написать так:

    echo MZ > system32:lzx32.sys

    т.е. без кавычек вокруг MZ, а иначе эти кавычки успешно будут записаны в стрим вместе с буквами MZ.

  6. #5
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    59
    aintrust, верно подметил, кавычки для прописки мэджика использовать не следовало =)

Похожие темы

  1. Trojan-Clicker.Win32.Costrat.gb
    От IrinaV в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 13.08.2009, 11:31
  2. Trojan-Clicker.Win32.Costrat.gb
    От NEVOPROS в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 02.08.2009, 23:37
  3. Срочно!Trojan-Clicker.Win32.Costrat.gb
    От BabyPanda в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 18.07.2009, 08:00
  4. Срочно!Trojan-Clicker.Win32.Costrat.gb
    От BabyPanda в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 18.07.2009, 00:34
  5. Trojan-Clicker.Win32.Costrat.gb или уже его нет?
    От Atty в разделе Помогите!
    Ответов: 23
    Последнее сообщение: 14.07.2009, 14:50

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01250 seconds with 16 queries