Перейти к содержимому


* * * * * 1 Голосов

Массовая рассылка нового червя с мощным руткитом


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 45

#41 ennerx

ennerx

    Новичок

  • Members
  • Pip
  • 3 сообщений

Отправлено 19 Сентябрь 2008 - 13:16

Цитата

Попадая в систему, Zhelatin патчит системный драйвер tcpip.sys и через него запускает два своих компонента:

%WinDir%\spooldr.exe;
%WinDir%\SYSTEM32\spooldr.sys


тем самым избегая ссылок в реестре на автозапуск своих модулей при каждой последующей загрузке компьютера. В результате в систему устанавливается весьма опасный и агрессивный по отношению к антивирусам Rootkit, удалить который весьма и весьма непросто. Более того, удалив червя из системы, придется еще восстанавливать системный файл tcpip.sys c диска с дистрибутивом Windows XP.



Скажите пожалуйста, удалив файлы spooldr.exe и spooldr.sys, обязательно ли удалять пропатченный данным вирусом файл tcpip.sys? И что произойдёт если его не удалить?
Заранее благодарен!

#42 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Сентябрь 2008 - 13:23

В нем содержится код, активирующий запуск компонетов червя с жесткого диска. Можно не удалять, конечно, но смысл?

Вставляете диск с Windows в привод, запускаете через пуск - выполнить - sfc /scannow и все сдеалется само.

#43 ennerx

ennerx

    Новичок

  • Members
  • Pip
  • 3 сообщений

Отправлено 19 Сентябрь 2008 - 13:42

Большое спасибо за ответ!
А "пуск - выполнить - sfc /scannow" - делал, но почему-то не помогло. Правда я перед этим просто в наглую удалил tcpip.sys, а потом переписал на его место оригинальный с цифровой подписью. После этого сеть пропала. Также пробовал востановить с помощью утилиты WinsockXP, но тоже тщетно.
Я вот на будущее себе думаю, что если просто пропатченый вирусом tcpip.sys так и оставлять не тронутым, дабы не подвергать себя ещё раз риску чреватым переустановкой системы?
Я боюсь, чтобы этот tcpip.sys (в случае если его оставить) снова сам не закачал вирусы. Это возможно?

#44 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Сентябрь 2008 - 13:54

Я сам в коде не копался, но вроде там только автозапуск прописан и никакой другой функционал. Странно, что до удаления дело дошло только сейчас. Червь уже около полугода не рассылается вовсе, а вы только бороться с ним начали.

Просмотр сообщенияennerx (19.09.2008, 14:42) писал:

Большое спасибо за ответ!
А "пуск - выполнить - sfc /scannow" - делал, но почему-то не помогло. Правда я перед этим просто в наглую удалил tcpip.sys, а потом переписал на его место оригинальный с цифровой подписью. После этого сеть пропала.
Если подсунили файл от Windows не той версии, которая была установлена, то так и будет. Имеются в виду SP1, SP2, SP3 и пр.

#45 ennerx

ennerx

    Новичок

  • Members
  • Pip
  • 3 сообщений

Отправлено 19 Сентябрь 2008 - 14:05

Хм... действительно странно...
1. Либо он давно уже сидит и никак себя не проявлял. Кстати а как он себя проявляет?
2. Либо главные файлы вируса были давно удалены, а остался tcpip.sys.
Просто заметил странную особенность, что на тех машинах где остался не удалённым tcpip.sys по истечении времени появляются вирусы (вроде как сами), может это конечно и совпадение, но решил на всякий случай попытаться это узнать.

#46 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Сентябрь 2008 - 15:56

Просмотр сообщенияennerx (19.09.2008, 15:05) писал:

Хм... действительно странно...
1. Либо он давно уже сидит и никак себя не проявлял. Кстати а как он себя проявляет?

Нейтрализация антивирусов, рассылка спама - паразитный исходящий трафик.

Просмотр сообщенияennerx (19.09.2008, 15:05) писал:

истечении времени появляются вирусы (вроде как сами), может это конечно и совпадение, но решил на всякий случай попытаться это узнать.
маловероятно. через другие дыры лезут. возможно, из-за той же самой прокладки между мышкой и клавиатурой, которая работает за этой машиной. есть "пользователи", которым море по колено, ведь придет админ и все починит...




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных