KismetT
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Даже если это не Necurs, то это руткит с подобным функционалом. Архив - здесь, пароль стандартный для этого топика. Прошу прощения за низкое качество видеороликов, но это сделано для уменьшения их веса. VirtualBox 4.3.10, XP SP3 со всеми обновлениями. Запускался с минимальными привилегиями в файловом менеджере с использованием DropMyRights. Административная учётка. №1.webm - Запуск тушки, видим как он начинает работать, забирает под себя большую часть процессора. Затем он отработал, пропал из процессов, но зато появился новый процесс svchost.exe с действующей ЦП, которого там никак не может быть. Запускаем TDSSKller, на этот раз он запускается без проблем, но ничего не обнаруживает, даже по UDS. Запускаем битовский антируткит, он так же ничего не видит. Перезапускаем систему. №2.webm В процессах svchost.exe - это наш зловред, маскирующийся под легальные процессы. Также видны 2 процесса Process Explorer, один из них так же зловред. №3.webm Запускаем TDSSKller, он ничего не обнаруживает. Запускаем битовский антируткит и видим, что зловред его останавливает (надпись Suspended в PE), повторный запуск также не удаётся. Далее запускаем Gmer, он у меня переименован. Обнаруживает скрытый процесс - Gmer_1.png, мы его прибиваем. Далее он обнаруживает ключ запуска зловреда - Gmer_2.png). По пути в ключе реестра находим сам зловред у которого атрибут - системный, т.е. по умолчанию его не видно - etavtiir.png Запускаем HiJackThis и опять видим ключ запуска зловреда - HiJackThis.png. Autoruns его так же видит - Autoruns_1.png, но он также видит и драйвер этого зверя, которого впрочем уже нет (P.S. Поправлю, это драйвер Гмер-а, а не зверька), он удалился - Autoruns_2.png. Дальше удалить эту заразу сможет не только взрослый, но даже карапуз (с). | Всего записей: 3213 | Зарегистр. 08-09-2009 | Отправлено: 17:41 14-07-2014 | Исправлено: KismetT, 23:22 14-07-2014 |
|