На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan

Trojan.Win32.DNSChanger.ih


28.02.2007

Trojan.Win32.DNSChanger.ih

Троянская программа, исполняемый файл имеет размер 63455 байта, машинный код зашифрован. В случае запуска скрытно выполняет следующие операции:
1. Проверяет ключ реестра Control Panel\International\Geo, анализируя параметр Nation. Проверка применяется для определения локализации операционной системы, на русскоязычной XP данная вредоносная программа не работает.
2. Создает на диске файл WINDOWS\system32\kdeiy.exe
3. Создает в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр System = kdeiy.exe
4. Осуществляет построение списка процессов. В памяти системного процесса csrss.exe создает троянский поток
5. Запускает системный процесс WINDOWS\explorer.exe, внедряет в его память троянский код и запускает его методом подмены контекста
6. Завершает работу. Внедренный ранее в системные процессы троянский код уничтожает исполняемый файл трояна на исходном месте
Исполняемый файл system32\kdeiy.exe маскируется на диске по руткит-технологии, за счет перехвата ряда функций в UserMode. Пример протокола AVZ:
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[01884D50]
Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод APICodeHijack.JmpTo[01884F68]
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[01885085]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[01884E6A]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[01884D50]
Функция ntdll.dll:ZwDeleteValueKey (962) перехвачена, метод APICodeHijack.JmpTo[01884F68]
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.JmpTo[01885085]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[01884E6A]

Ключ автозапуска Winlogon\System в реестре агрессивно защищается, попытка удаления ключа приводит к его немедленному пересозданию. Троянские функции данной программы сводятся к перенаправлению пользователя на посторонние WEB сайты. AVZ успешно нейтрализует перехваты, что позволяет обнаружить маскирующийся файл и удалить его отложенным удалением. Кроме того, для уничтожения данной вредоносной программы можно применить скрипт:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 // Удаление файла
 DeleteFile('%system32%\kdeiy.exe');
 // Импорт списка удаленных файлов в настройки Boot Cleaner 
 BC_ImportDeletedList; 
 // Чистка ссылок на удаленные файлы 
 ExecuteSysClean; 
 // Активация драйвера Boot Cleaner 
 BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
 BC_Activate;
 // Перезагрузка 

RebootWindows(true); end.




Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.