На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / FraudTool

FraudTool.Win32.UltimateDefender.cm


Rootkit:  Да
Видимые проявления:  Блокировка работы AVP, AVZ, GMER, CureIT
Подмена beep.sys

На момент составления описания известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW образца 4.03.2008. Сама вредоносная программа является дроппером, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\drivers\beep.sys, причем повторяет эту операцию три раза подряд (в том числе создавая копию в \dllcache).
После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run.
Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).

Удаление: так как блокировка идет по именам, то достаточно переименовать исполняемый файл AVZ скажем в 123.com. Симптомом является тот факт, что AVZ не опознает драйвер beep.sys по базе безопасных.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.