Vírusok és ellenőrzés

Leírás:
Trójai célja, hogy ellenőrizzék a távoli számítógép hálózaton vagy az interneten keresztül. Ez használ rootkit technológiát. Annak érdekében, hogy az ezt követő indítási megfertőzi a rendszer vezető szolgáló fizikai lemez, amelyen az operációs rendszer telepítve van. Rootkit elrejti az egység összes változtatásokat a rendszerben, és végrehajtja a felhasználói mód komponenseket szerinti eljárások a konfigurációs fájlt.

telepítés:
Amikor telepíti injekciózza kódot a rendszer folyamat, ahol létre és futtat ideiglenes nevű szolgáltatás tdlserv:

Ez a meghajtó, hogy biztosítsa az azt követő indítási fertőzi rendszer vezető szolgáló fizikai lemez, ahol az operációs rendszer (például, Atapi.sys).
Az eredeti byte a fertőzött vezető maga a fő rootkit kódot tárolja az utolsó szektorban a lemez. Van is szervez egy rejtett kódolt virtuális lemezt. Ezen a CD írt felhasználói módban alkatrészek tdlcmd.dll, tdlwsp.dll és config.ini konfigurációs fájl.
Modul rootkit elrejti változások a rendszerben, és végrehajtja felhasználói módú komponens szerinti eljárások a konfigurációs fájlt.

TDLCMD.DLL modul:
Modul felelős frissítésével malware és összetevőinek a szerver között.
Az én saját nevében kivonatok útját a virtuális lemez, hozzon létre egy rootkit driver, és adatokat olvas a fájlból config.ini a felügyelt kiszolgáló, akkor a bot azonosítót stb
Információkat kaphat a változat a rendszer, a nyelvi rendszer és az alapértelmezett böngésző. Ezek az adatok kerülnek ábrázolásra karakterlánc:

4513c055-11f2-8278-7863-3d82b9b804c8 | 10002 | 0 | 3.0 | 3.1 | 5.1 2600 SP1.0 | ru-ru | iexplore
(Botid | affid | subid | bot_version | loader_version | system_version | locale | böngésző)

A karakterlánc első titkosítva RC4 kulcsfontosságú, mint a kiszolgáló nevét (például: h3456345.cn), majd a kódolt base64. És a kapott kérést küld a szervernek.
Fogadására válaszul a titkosított utasításkészlet és végrehajtja. Az utasítások a függvény nevét a betöltött modulok rosszindulatú programok és azok paramétereit.

TDLWSP.DLL modul megfelelően végrehajtott konfigurációs fájl az összes folyamatot, de ez csak akkor működik, ezek a nevek, amelyek tartalmazzák azt a rész:

Lehallgatott funkció mswsock.dll! WSPStartup.
A felvezető elfogott WSPStartup funkciót. helyettesek SPI táblázat (szolgáltató interface) WSPSend eljárás WSPRecv és WSPCloseSocket. így dolgozik, mint a klasszikus LSP (Layered Service Provider)

Most a rosszindulatú program teljes ellenőrzése alatt a felhasználó kéri, és képes helyettesíteni az eredményeit a keresőmotorok, és átirányítja a felhasználót a rosszindulatú webhelyek. Információ átirányítása és válasz kulcsszavak származik a parancs szerver.

Módszerek harc:
A legegyszerűbb és legmegbízhatóbb módja - az, hogy Dr. Web LiveCD. Második megvalósítási mód - letapogató rendszert biztonsági módban (előnyösen Dr.Web CureIt). És a harmadik csoportnál. Bemegyünk a jegyzék és kézzel ellenőrizze az összes kulcs / értékek helyreállítása az alapvető beállításokat, törölje a beállított érték a trójai. Indítsa újra a számítógépet.
A harmadik út a leginkább időigényes és ismereteket igényel elegendő ahhoz, hogy kezelni a registry értékeket.

Kapcsolódó cikkek

• Vigyázat, veszélyes vírus a számítógépen szolgáltatást

• Ellenálló merevlemez vírus, javítása számítógépek és laptopok Troieschyna

• Herpesz és annak kezelése, a herpesz vírus a gyermekek, nők és férfiak