Virușii și lupta împotriva lor

Descriere:
Trojan, conceput pentru a controla un computer la distanță printr-o rețea sau pe Internet. Utilizează tehnologii rootkit. Pentru a se asigura că autoloading ulterior infectează driverul de sistem care servește discul fizic pe care este instalat sistemul de operare. Modulul rootkit ascunde toate modificările din sistem și implementează componentele modului de utilizator în procese în conformitate cu fișierul de configurare.

instalare:
La instalare, acesta își injectează codul în procesul sistemului, din care creează și execută un serviciu temporar numit tdlserv:

Acest driver afectează driverul de sistem care servește discul fizic în care se află sistemul de operare (de exemplu, atapi.sys) pentru a asigura autoloading ulterior.
Originalul octeților de la driverul infectat și codul principal de rootkit în sine sunt stocați în ultimele sectoare ale discului. De asemenea, se organizează un disc virtual criptat ascuns. Fișierele de configurare ale componentelor de utilizator tdlcmd.dll, tdlwsp.dll și config.ini sunt scrise pe acest disc.
Modulul rootkit ascunde toate modificările din sistem și implementează componentele modului de utilizator în procese în conformitate cu fișierul de configurare.

Modulul TDLCMD.DLL:
Modulul responsabil pentru actualizarea programului rău intenționat și a componentei sale de pe serverul de management.
Din numele propriu, extrage calea spre discul virtual creat de driverul rootkit și citește datele din fișierul config.ini despre serverele de management, ID-ul botului etc.
Obține în mod implicit informații despre versiunea sistemului, limba sistemului și browserul. Aceste date sunt reprezentate ca șir:

4513c055-11f2-8278-7863-3d82b9b804c8 | 10002 | 0 | 3.0 | 3.1 | 5.1 | 2600 SP1.0 | en-us | iexplore
(botid | affid | Subid | boot_version | loader_version | system_version | locale | browser)

Șirul este mai întâi criptat de către RC4 cu o cheie sub forma unui nume de server (de exemplu: h3456345.cn), apoi codificată în baza64. Cererea primită este trimisă serverului.
Ca răspuns, primește un set de instrucțiuni criptate și le execută. Instrucțiunile sunt numele funcțiilor din modulele malware încărcate și parametrii lor.

Modulul TDLWSP.DLL este implementat în conformitate cu fișierul de configurare în toate procesele, dar funcționează numai în acele denumiri care conțin substringuri:

Creează funcția mswsock.dll! WSPStartup.
În modulul handler al funcției WSPStartup interceptată. înlocuiește procedurile WSPSend, WSPRecv și WSPCloseSocket cu propriile lor în tabelul SPI (interfața cu furnizorul de servicii). astfel lucrand ca un LSP clasic (Layered Service Provider)

Acum, programul rău intenționat monitorizează complet solicitările utilizatorului și poate înlocui rezultatele motoarelor de căutare și redirecționează utilizatorul către site-uri rău intenționate. Informațiile despre redirecționarea și reacția la cuvintele cheie provin de la serverul de comandă.

Metode de luptă:
Cea mai simplă și cea mai fiabilă modalitate este de a folosi Dr. Web Live CD. A doua opțiune este de a scana sistemul într-un mod sigur (preferabil Dr.Web CureIt). Și a treia opțiune. Mergem la registru și verificăm manual toate cheile / valorile, restabilim setările de bază, ștergem valorile setate de troian. Reporniți computerul.
A treia metodă este cea mai consumatoare de timp și necesită cunoștințe, suficientă pentru a înțelege valorile registrului.

Articole similare