-
Junior Member
- Вес репутации
- 62
Backdoor.win32.small.os с чем его едят ?
Господа профессионалы !
Большая просьба, не поленитесь и в свободную минуту и дайте краткое описание механизма действия вируса Backdoor.win32.small.os
Очень хорошо и без шуток огромное Вам спасибо, что даете конкретные рекомендации по ликвидации вредоносных программ и последствий их деятельности. Однако иногда более продвинутым пользователям хочется подробнее узнать механизм работы того или иного вируса хотя бы для того, чтобы не наступать дважды на одни ите же грабли.
"Весь" Inet уже пару недель спрашивает друг у друга - как действует вышеуказанный вирус (привыкли понимаешь что нашел и остановил процесс или в крайнем случае службу, вычичтил реестр и сиди дальше спокойно). А тут ни процесса ни службы чужой, а злокозненная программа с достойным иного применения постоянством записывает часть себя (perfc000.dat) в system32 и ссылку в реестр и т.д.
Я вот только запустил вашу знаменитую AVZ (предварительно обманув вирус путем подсовывания своего файла perfc000.dat c readonly вместо вирусного) как вредоносная программа (после первого же запуска AVZ не принесшего сообщений о вирусах) прекратила свою активность и не знаешь где она окопалась и есть ли вообще на компьютере
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Смотрите эту тему -> http://www.virusinfo.info/showthread.php?t=9725
Если есть сомнения по поводу вирусов, зделайте логи по правилам, мы посмотрим, может чего подскажем...
-
-
дайте краткое описание механизма действия вируса
Солдаты анатомию не знают
Это к патологоанатомам - т.е. аналитикам вирлаба.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Так если б он проявлял себя, этот вирус !
А так нерегламентная деятельность прекратилась и поэтому боюсь, что Вам нелегко будет определить, что осталось ли чего от вируса на компьютере, да и люди у которых вредоносные программы работают сейчас - требуют Вашего внимания куда больше
-
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Rene-gad
ROFL
думать
до того, как надавить на setup или download.
Волков бояться - в лес не ходить !
Этот отличается от всех backdoor'ов с которыми мне приходилось иметь дело в том числе и от родственных по класификации Касперского - backdoor.win32.small...
Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.
Хоть подскажите, если можно, как запускается и где обычно хранит остальной (кроме perfc000.dat) кусок себя, а
-
Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.
Как это нету?
perfc000.dat - это библиотека(DLL) которая подгружается через AppInit_DLLs.
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Muffler
Как это нету?
perfc000.dat - это библиотека(DLL) которая подгружается через AppInit_DLLs.
Это понятно, а вот какая программа/процесс постоянно прописывает указанную Вами строчку в реестр, а в system32 записывает perfc000.dat (если их удаляешь) ?
-
Нет у вируса очевидного процесса или службы и места скажем в реестре, в котором инициируется его запуск.
Попадалась недавно такая "прелесть" http://forum.kaspersky.com/index.php?showtopic=37997
Олег в теме рассказал как она работает.
-
-
Junior Member
- Вес репутации
- 62
-
@Celamoi
Т.к. количество троянов и их модификаций огромно, описать каждый из них практически не представляется возможным. Понаблюдайте этот топик: http://forum.kaspersky.com/lofiversi...hp/t38169.html М.б. через пару-тройку дней появится и описание, т.к. заражение им приобретает массовый характер. См. также портал http://www.virusbtn.com/ . Чтобы получить доступ к разделу VGrep Вам нужно там зарегистрироваться.
-
-
Сообщение от
Celamoi
Увы, господин Зайцев там рассказал (а точнее подсказал хелперу) как боротся с другим вирусом -
Backdoor.Win32.Bifrose.acs (по Касперскому)
и файл sysinfo.exe у меня совсем не "троян" и ведет себя не так как описано в теме.
Может это не та тема ?
Ключевая фраза Олега: "Он создает потоки в процессе explorer.exe, ...". Так и эта. Как мне кажется, Backdoor.win32.small.os (он же Trojan.Proxy.1798 или Trojan.Proxy.1800) создает потоки в svchost'е.
-
Junior Member
- Вес репутации
- 62
Сообщение от
borka
создает потоки в svchost'е.
У меня тоже сложилось такое впечатление ! Узнать бы еще какой из запущених процессов svchost запускает левый сервис, поддерживающий функционирование вируса.
А начнешь их "глушить" - так "падает" или перегружается операционка
А еще интересно было бы знать - какой объект инициирует запуска этого левого сервиса через svchost.
Моей квалификации, увы, для ответов на эти вопросы не хватает - так что может и слава богу, что AVZ "спугнул" вирус
-
Сообщение от
Celamoi
У меня тоже сложилось такое впечатление ! Узнать бы еще какой из запущених процессов svchost запускает левый сервис, поддерживающий функционирование вируса.
А начнешь их "глушить" - так "падает" или перегружается операционка
А еще интересно было бы знать - какой объект инициирует запуска этого левого сервиса через svchost.
Моей квалификации, увы, для ответов на эти вопросы не хватает - так что может и слава богу, что AVZ "спугнул" вирус
Стартует он отсюда:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="..."
Ну а дальше "вопрос техники" - как и куда инжектироваться и что контролировать.
-
Junior Member
- Вес репутации
- 62
Сообщение от
borka
Стартует он отсюда:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="..."
А я в безопасном режиме удалял эту запись из реестра, а вирус продолжал работать после перезагрузки !
Возможно перед перезагрузкой зловредный процесс восстанавливал эту запись а заодно файл perfc000.dat ?
Правда тогда как svchost в безопасном режиме стартует левый "вирусный" сервис, если такое возможно - зачем нам такой "безопасный режим" ?
-
Левый сервис и поток -две большие разницы.
-
-
Junior Member
- Вес репутации
- 62
@Alex_Goodwin
Подскажете, где прочитать по русски про то что такое потоки в процессе и как их создают (а главное определяют кто создал - буду очень обязан
-
Сообщение от
Celamoi
А я в безопасном режиме удалял эту запись из реестра, а вирус продолжал работать после перезагрузки !
Возможно перед перезагрузкой зловредный процесс восстанавливал эту запись а заодно файл perfc000.dat ?
Именно так. Огромное число зловредов отслеживают шатдаун системы и восстанавливаются - как в файловом виде, так и в реестровом.
Сообщение от
Celamoi
Правда тогда как svchost в безопасном режиме стартует левый "вирусный" сервис, если такое возможно - зачем нам такой "безопасный режим" ?
http://support.microsoft.com/kb/197571
Сообщение от
Celamoi
@Alex_Goodwin
Подскажете, где прочитать по русски про то что такое потоки в процессе и как их создают (а главное определяют кто создал
- буду очень обязан
MSDN рулит. Например, вот:
http://msdn.microsoft.com/library/ru...sthreading.asp
-
Junior Member
- Вес репутации
- 62
@borka
Вот спасибо, это как раз те ответы, которые я хотел бы услышать !
Можно было бы считать эту тему и закрытой, но если кто-то конкретно "разгребет" как точно работает именно этот вирус - то может напишет прямо суда, а другие тогда легко найдут