ynbIpb
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ходил сегодня на вызов. Вот и мне попался подобный экземпляр.
 (клик для увеличения)
Пациент сидел в гавновконтактах и вдруг оно вылезло. Как оказалось пролез через эксплоит в яве. Антивирус стоял фришный AVG.
При запуске кидает свое тело в: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe и прописывает его в реестре вместо проводника HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell - Это отвлекающий манёвр.
Идём дальше: Удаляет: userinit.exe и taskmgr.exe в папке C:\WINDOWS\system32\, вместо них подсовывает своё тело. Тоже самое в каталоге C:\WINDOWS\system32\dllcache\, чтоб операционная система не восстановила файлы, кстати как-то он обошёл систему слежения за важными файлами, которая должна выводить сообщение про подмене и просить вставить оригинальный диск. Ах да на самом деле он не удаляет userinit.exe, так как во время работы системы это не возможно. он его переименовывает, например в 03014D3F.exe
Лечение: Грузимся с LiveCD, который поддерживает работу с реестром, исправляем отвлекающий манёвр, Далее вставляем оригинальный диск Windows и в Total Commander открываем заархивированный оригинальный файл userinit.ex_ (будучи у пациента я не заметил переименованный оригинал, хотя подозревал) и извлекаем в те места, где он должен быть. Тоже самое и с taskmgr.exe (кстати у пациента он не был удалён)
тело зловреда: _http://zalil.ru/31044628 (NOD32 палит криптор, которым накрыт зловред)
|
