13.11.2006
Trojan.Win32.StartPage.amd
Классический Trojan.Win32.Startpage, дополненный руткитом для блокировки восстановления настроек браузера в реестре. Исполняемый файл имеет размер 14336 байта, не сжат и не зашифрован. В случае запуска скрытно выполняет следующие действия:
1. Производит подмену стартовой страницы путем правки соответствующего ключа в реестре (устанавливает ссылку на некую страницу на китйском языке).
2. Создает на диске файл WINDOWS\system32\drivers\paraudio.sys и регистрирует его в реестре (ключ paraudio, симв. имя драйвера - \\.\RegGuard)
3. Загружает драйвер paraudio.sys
Драйвер paraudio.sys является руткит-компонентой (размер 7744 байта, драйвер хранится в теле трояна), его задача - блокировать восстановление ключа реестра с настройками браузера. Для решения этой задачи драйвер перехватывает функцию ZwSetValueKey
Детектирование вручную:
1. Подмена стартовой страницы и невозможность ее изменения
2. Появление постороннего перехвата, запись в протоколе AVZ имеет вид:
Функция ZwSetValueKey (F7) перехвачена (80575527->FCA4508A), перехватчик C:\WINDOWS\system32\drivers\paraudio.sys
3. В исследовании системы обнаруживается посторонний драйвер (в разделе "модули пространства ядра")
Удаление вручную:
1. Удалить драйвер drivers\paraudio.sys
2. Перезагрузиться и убедиться в том, что перехват фунции пропал