|
#1
15.11.2006, 21:34
Последний раз редактировалось ALX; 17.11.2006 в 00:33..
|
||
|
Мэтр
 
Дата рег-ции: 02.01.2006
Откуда: St.Petersbourg - Grenoble
Сообщения: 74.001
|
Троян по аське
кто знает как бототься с новым трояном?
сегодня получила его как сообщение по аске от друга, он использовал его аккаунт для сообщения типа Привет!ты в сети? вот сделал новый фотоальбом скачай сдесь - и файл типа xxxxxx/anime/mini-movie.exe на русских форумах уже видела что народ борется, но такого русского языка я понять не в силах! Кто может помочь на нормальном русском или франзуском или хотя бы перевести на русский это: mail.trojan . после запуска вешает IEXPLORER.exe (20kb) в папку Автозагрузка. в папку WINDOWS\ кидает файл csrss.exe (20 kb) начинает жевает винтом в папки Windows,Program Files, ICQ-clons и наиболее распространенных программ ( а так же со случайно выборкой) кидает мелкие файлы (20-25 кб) с расширениями .*.scr, .*.exe, .*.pif в которых сидит троян, csrss вешает дополнительный поток к Svchost.exe, который собственно жует винт, и следит за ним. Iexplorer.exe следщит за наличием csrss.exe на случай его удаления из папки. если аккуратно убить оба файла, то винда не будет грузится т.к. csrss.exe стоит дебаггером для Explorer.exe, после поиска и убивания данного ключа в реестре винда жива. потом найти все левое файло и убить. вроде пока тихо. з.ы. возможно для полноценного запуска вирусу нужен доступ в инет. исследования проводились с помощью ProccesExplorer, RegMon,FileMon, в последствии NOD32. причина: с дуру запустил левое файл. з.ы.2. установка НОД32 при наличии (Iexplorer, csrss) вируса привела к тому что винда перестала грузится пока сервис нода не был убран из автозагрузки. Подключение к сети не обязательно. Перед запуском файла (уж больно размер подозрительным показался), я заблочил файрволом любую активность, а позже еще и кабель выдернул. На автозагрузку у меня никакие файлы не прописывались. Реестр был без изменений. Попытки удаления самого файла iexplore.exe ни к чему не приводили - он появлялся заново. Поэтому просто зашел из другой Винды и прибил папку IE целиком и все, к IE относящееся, из других мест (давно собирался это сделать - а тут такой повод клевый ...). Файл mini-movie.exe поместил в постепенно растущую коллекцию подобной гадости. После всего этого никакой подозрительной активности больше не было. Попросил послушать траффик Магушников - они тоже подтвердили, что все нормально. Левых файлов нигде нет. _________________ |
|
|
|
|
| Закладки |
| Здесь присутствуют: 1 (пользователей - 0 , гостей - 1) | |
| Опции темы | |
| Опции просмотра | |
|
|
Древовидный вид