На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-Clicker

Trojan-Clicker.Win32.Costrat.n

16.11.2006

Trojan-Clicker.Win32.Costrat.n

Установка данной троянской программы производится дроппером размером 71 кб. В случае его запуска скрытно выполняются следующие операции:
1. Создается файл C:\WINDOWS\system32:lzx32.sys. Обратите внимание – этот файл хранится в NTFS потоке каталога System32, что сделано для затруднения поиска и удаления драйвера
2. Драйвер регистрируется в реестре, имя ключа - pe386
3. В системном процессе explorer.exe создается блок памяти размером 2 кб, в который копируется троянский код. Этот код запускается на выполнение при помощи механизма удаленных потоков (CreateRemoteThread). Троянский код может обмениваться  с сайтом 208.66.194.55/index.php?page=main и осуществлять загрузку драйвера

Драйвер lzx32.sys является фильтром файловой системы и предназначен для защиты и маскировки файлов на диске. Кроме того, он маскирует свой ключ в реестре, перехватывая системные функции при помощи перехвата SysEnter

Обнаружение вручную
AVZ детектирует данную вредоносную программу модулем антируткита, проткоол имеет вид:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys


Нейтрализация и удаление вручную
1. Закрыть все приложения. Запустить AVZ. Произвести сканирование системного диска с включенным антируткитом
2. Активировать AVZ Guard
3. Произвести отложенное удаление файла system32:lzx32.sys (это проще всего сделать, нажав кнопку просмотра заподозренных объектов справа от протокола, этот файл будет в списке объектов – его нужно отметить и нажать кнопку «Удалить» )
4. Произвести поиск в реестре через службу «Поиск данных в реестре». Образец поиска – «system32:lzx32.sys». Результат будет иметь примерно следующий вид:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys
Эти ключи следует удалить (для этого нужно отметить их на закладке «Найденные ключи» и нажать кнопку «Удалить отмеченные ключи»
5. Перезагрузиться, не отключая AVZ Guard
6. Повторить сканирование системного диска. В случае успешного удаления данной вредоносной программы перехват SYSENTER в протоколе перестанет детектироваться. Если драйвер о каким-либо причинам не удалится на шаге 3, то в протоколе будет сообщение файлового сканера о исполняемом файле в потоке каталога System32. В этом случае следует повторить шаг 3




Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.