На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Net-Worm

Net-Worm.Win32.Padobot.z


Rootkit:  Да

Вирус Net-Worm.Win32.Padobot.z обладает встроенным руткитом. Именно руткитом он и интересен, т.к. качественно маскирует  процессы и файлы и его защитный механизм в принципе работоспособен в 9x и NT.

Фрагмент протокола AVZ:

1. Поиск RootKit и программ, перехватывающих функции API
 >> Опасно ! Обнаружена маскировка процессов
 >>>> Обнаружена маскировка процесса 1184 BCFFFJJ0.exe
 >>>> Обнаружена маскировка процесса 1636 Ojcdjp32.exe
 >>>> Обнаружена маскировка процесса 652 JEBHCCDC.exe
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
После противодействия руткиту произошло обнаружение процессов:
>>>> Подозрение на маскировку процесса 1184 c:\test\bcfffjj0.exe
 >>>> Подозрение на маскировку процесса 1636 c:\windows\system32\ojcdjp32.exe
 >>>> Подозрение на маскировку процесса 652 c:\windows\system32\jebhccdc.exe
Сам вирус копирует себя в папку System32, имена файлов судя по всему случайные. Файлы ничем не сжаты и не зашифрованы
BCFFFJJ0.exe - размер 13857 байта, содержит открытым текстом заголовки окон популярных антивирусов и Firewall, в частности OfficeScanNT, ZoneAlarm, Panda, Antivirus Norton Antivirus ... и заготовку HTTP апроса
Gdiooi32.exe - размер 46592 байта, не сжат и не зашифрован
После запуска вируса на тестовом ПК обнаружились еще две троянские библиотеки:
c:\windows\system32\esvfo32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s 
c:\windows\system32\ztelhj32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s
как оказалось, они прописаны в ShellServiceObjectDelayLoad.

Лечение
1. Провести сканирование при помощи AVZ с включенным антируткитом
2. Завершить процессы вируса
3. при помощи встроенного поиска файлов найти файлы вируса и удалить их

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.