SDA Posted August 6, 2005 Report Share Posted August 6, 2005 Сегодня во многих Интернет-источниках прошла информация о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе. Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками VBA). Файл имеет признаки защиты от сигнатурного анализа - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского. Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок: Цитата: a=andrey.kremnikov@gmail.com&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= ..... на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559B80 KiST = 804E2D20 (284) Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно. Лечение Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше. Удаление предполагает следующие шаги: 1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам 2. Удалить файл system32\drivers\SYSpnch.sys 3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения Последний раз редактировалось Зайцев Олег Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.