На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.StartPage.amd


Rootkit:  Да
Видимые проявления:  Подмена стартовой страницы
Невозможность восстановления стартовой страницы IE
AVZ детектирует перехват функции ZwSetValueKey драйвером paraudio.sys

Классический Trojan.Win32.Startpage, дополненный руткитом для блокировки восстановления настроек браузера в реестре. Исполняемый файл имеет размер 14336 байта, не сжат и не зашифрован. В случае запуска скрытно выполняет следующие действия:
1. Производит подмену стартовой страницы путем правки соответствующего ключа в реестре (устанавливает ссылку на некую страницу на китйском языке).
2. Создает на диске файл WINDOWS\system32\drivers\paraudio.sys и регистрирует его в реестре (ключ paraudio, симв. имя драйвера - \\.\RegGuard)
3. Загружает драйвер paraudio.sys

Драйвер paraudio.sys является руткит-компонентой (размер 7744 байта, драйвер хранится в теле трояна), его задача - блокировать восстановление ключа реестра с настройками браузера. Для решения этой задачи драйвер перехватывает функцию ZwSetValueKey

Детектирование вручную:
1. Подмена стартовой страницы и невозможность ее изменения
2. Появление постороннего перехвата, запись в протоколе AVZ имеет вид:
Функция ZwSetValueKey (F7) перехвачена (80575527->FCA4508A), перехватчик C:\WINDOWS\system32\drivers\paraudio.sys
3. В исследовании системы обнаруживается посторонний драйвер (в разделе "модули пространства ядра")

Удаление вручную:
1. Удалить драйвер drivers\paraudio.sys
2. Перезагрузиться и убедиться в том, что перехват фунции пропал

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.