| Trojan-Clicker.Win32.Costrat.n Rootkit: Да Видимые проявления: AVZ обнаруживает перехват SYSENTER подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys Синонимы: Backdoor.Rustock.B (Symantec) Установка данной троянской программы производится дроппером размером 71 кб. В случае его запуска скрытно выполняются следующие операции: 1. Создается файл C:\WINDOWS\system32:lzx32.sys. Обратите внимание – этот файл хранится в NTFS потоке каталога System32, что сделано для затруднения поиска и удаления драйвера 2. Драйвер регистрируется в реестре, имя ключа - pe386 3. В системном процессе explorer.exe создается блок памяти размером 2 кб, в который копируется троянский код. Этот код запускается на выполнение при помощи механизма удаленных потоков (CreateRemoteThread). Троянский код может обмениваться с сайтом 208.66.194.55/index.php?page=main и осуществлять загрузку драйвера Драйвер lzx32.sys является фильтром файловой системы и предназначен для защиты и маскировки файлов на диске. Кроме того, он маскирует свой ключ в реестре, перехватывая системные функции при помощи перехвата SysEnter Обнаружение вручную AVZ детектирует данную вредоносную программу модулем антируткита, проткоол имеет вид: 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 >>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный ЦП[1].SYSENTER успешно восстановлен Проверка IDT и SYSENTER завершена >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys Нейтрализация и удаление вручную 1. Закрыть все приложения. Запустить AVZ. Произвести сканирование системного диска с включенным антируткитом 2. Активировать AVZ Guard 3. Произвести отложенное удаление файла system32:lzx32.sys (это проще всего сделать, нажав кнопку просмотра заподозренных объектов справа от протокола, этот файл будет в списке объектов – его нужно отметить и нажать кнопку «Удалить» ) 4. Произвести поиск в реестре через службу «Поиск данных в реестре». Образец поиска – «system32:lzx32.sys». Результат будет иметь примерно следующий вид: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386\ImagePath = \??\C:\WINDOWS\system32:lzx32.sys Эти ключи следует удалить (для этого нужно отметить их на закладке «Найденные ключи» и нажать кнопку «Удалить отмеченные ключи» 5. Перезагрузиться, не отключая AVZ Guard 6. Повторить сканирование системного диска. В случае успешного удаления данной вредоносной программы перехват SYSENTER в протоколе перестанет детектироваться. Если драйвер о каким-либо причинам не удалится на шаге 3, то в протоколе будет сообщение файлового сканера о исполняемом файле в потоке каталога System32. В этом случае следует повторить шаг 3
|