-
Trojan-Clicker.Win32.Costrat.n
Rootkit: Да
Видимые проявления:
1. AVZ обнаруживает перехват SYSENTER
2. AVZ выдает подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
Синонимы: Backdoor.Rustock.B (Symantec)
Установка данной троянской программы производится дроппером размером 71 кб. В случае его запуска скрытно выполняются следующие операции:
1. Создается файл C:\WINDOWS\system32:lzx32.sys. Обратите внимание – этот файл хранится в NTFS потоке каталога System32, что сделано для затруднения поиска и удаления драйвера
2. Драйвер регистрируется в реестре, имя ключа - pe386
3. В системном процессе explorer.exe создается блок памяти размером 2 кб, в который копируется троянский код. Этот код запускается на выполнение при помощи механизма удаленных потоков (CreateRemoteThread). Троянский код может обмениваться с сайтом 208.66.194.55/index.php?page=main и осуществлять загрузку драйвера
Драйвер lzx32.sys является фильтром файловой системы и предназначен для защиты и маскировки файлов на диске. Кроме того, он маскирует свой ключ в реестре, перехватывая системные функции при помощи перехвата SysEnter
Обнаружение вручную
AVZ детектирует данную вредоносную программу модулем антируткита, проткоол имеет вид:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
Нейтрализация и удаление вручную
1. Закрыть все приложения. Запустить AVZ. Произвести сканирование системного диска с включенным антируткитом
2. Активировать AVZ Guard
3. Произвести отложенное удаление файла system32:lzx32.sys (это проще всего сделать, нажав кнопку просмотра заподозренных объектов справа от протокола, этот файл будет в списке объектов – его нужно отметить и нажать кнопку «Удалить» )
4. Произвести поиск в реестре через службу «Поиск данных в реестре». Образец поиска – «system32:lzx32.sys». Результат будет иметь примерно следующий вид:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\p e386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
Эти ключи следует удалить (для этого нужно отметить их на закладке «Найденные ключи» и нажать кнопку «Удалить отмеченные ключи»
5. Перезагрузиться, не отключая AVZ Guard
6. Повторить сканирование системного диска. В случае успешного удаления данной вредоносной программы перехват SYSENTER в протоколе перестанет детектироваться. Если драйвер о каким-либо причинам не удалится на шаге 3, то в протоколе будет сообщение файлового сканера о исполняемом файле в потоке каталога System32. В этом случае следует повторить шаг 3
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Буквально только что удаленно лечил знакомого от этой дряни. Помогла следующая рекомендация:
перезагрузиться в безопасном режиме, зайти в командную строку, перейти в директорию C:\Windows (например), далее набрать
echo "MZ" >system32:lzx32.sys
Далее перезагрузка и обычное сканирование системы при нейтрализованном драйвере.
-
-
-
Сообщение от
Xen
echo "MZ" >system32:lzx32.sys
Хм... Ну, если уж очень хотелось немного "повыпендриваться" и сделать из стрима system32:lzx32.sys подобие загружаемого/исполнимого, то корректно было бы написать так:
echo MZ > system32:lzx32.sys
т.е. без кавычек вокруг MZ, а иначе эти кавычки успешно будут записаны в стрим вместе с буквами MZ.
-
-
aintrust, верно подметил, кавычки для прописки мэджика использовать не следовало =)
Ответить с цитированием
