Показать сообщение отдельно

Re: Вирусы,их описания и способы борьбы с ними.
Старый 03.09.2011, 14:39   #8
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

Вирусы, их описания и способы борьбы с ними.


Trojan-Spy.Win32.Carberp.acb

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байта. Написана на Delphi.
Инсталляция

После запуска вредонос копирует свое тело в каталог Автозагрузка текущего пользователя, обеспечивая себе возможность автоматически запускаться при каждом следующем старте системы. Копия создается со случайным именем:

%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe

где <rnd> – случайная последовательность цифр и латинских букв, к примеру: "ac5dt69pyzi".

Затем вредонос запускает экземпляр системного процесса "EXPLORER.EXE" и внедряет в его адресное пространство исполняемый код, реализующий весь деструктивный функционал.

Деструктивная активность

Подгруженный в процесс "EXPLORER.EXE" код в свою очередь запускает несколько экземпляров системного процесса "SVCHOST.EXE" и внедряет в их адресное пространство код, реализующий функционал бэкдора, и выполняющий следующие действия:

удаляет оригинальный файл вредоноса;
скрывает ранее созданную копию в каталоге Автозагрузка;
устанавливает соединение с серверами злоумышленника для получения команд.

В зависимости от полученных команд, бэкдор может выполнять следующие действия:

обновлять свой оригинальный файл, загружая обновление с сервера злоумышленника;
загружать на зараженный компьютер другие файлы;
отслеживать сетевой трафик системы с целью похищения конфиденциальных данных пользователя;
собирать информацию о зараженной системе;
отслеживать клавиатурный ввод пользователя;
отсылать собранную информацию на сервер злоумышленника.

В ходе своей работы бэкдор подключается к следующим серверам:

Ge***san.org e6***uf.in me***i38.com 123***ors.org

На момент создания описания вредонос загружал обновление своего исполняемого файла. Был загружен файл размером 106560 байт;

MD5: 9F550CF8173CED2F375B15452886AE32,
SHA1: CD32190F5F09D7E7A514D5FED896C77AFDAC3866
;
детектируется Антивирусом Касперского как "Trojan.Win32.Agent.nijw".
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
2.Удалить файл:

%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
__________________
http://avfor.ru/images/help.gif
  Ответить с цитированием
 
Яндекс.Метрика