Четверг
28.03.2024, 16:35
Приветствую Вас Гость | RSS
 Радио НН  Главная Регистрация  Каспер  ESET  AVAST  Скорость  Вход  RSS
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Форум » >>> » Компьютерные вирусы. » Backdoor.Win32.Trup.a (ali.exe) (Инфо и способ лечения)
Backdoor.Win32.Trup.a (ali.exe)
compservДата: Пятница, 25.06.2010, 21:06 | Сообщение # 1
Генералиссимус
Группа: Администраторы
Сообщений: 35
Репутация: 3
Статус: Offline
Backdoor.Win32.Trup.a

Время детектирования---- 20 май 2010 15:17 MSK

Время выпуска обновления----- 21 май 2010 00:37 MSK

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на С++.
Инсталляция

После активации бэкдор инфицирует Mbr (Master Boot Record). Таким образом при загрузке mbr из первых 37 секторов считывает и расшифровывает основной код вредоноса, после чего из 38 сектора считывает и расшифровывает копию оригинального Mbr (шифр меняет местами тетрады в байте) и продолжается загрузка ОС.

Далее создается поток, который создает файл на винчестере:

%WinDir%\ali.exe

Данный файл имеет размер 17408 байт. Детектируется Антивирусом Касперского, как оригинальное тело бэкдора Backdoor.Win32.Trup.a.

и создается ключ автозагрузки:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"qQ" = "%WinDir%\ali.exe"

После запуска файла "%WinDir%\ali.exe", удаляется ключ автозагрузки и при помощи функции "rename" файл "ali.exe" перемещается во временный каталог текущего пользователя Windows под именем "110.txt":
%Temp%\110.txt

Также во временном каталоге текущего пользователя Windows создается копия тела бэкдора под именем "124.txt":

%Temp%\124.txt

Всем созданным файлам присваивается атрибут "скрытый".

Деструктивная активность

Для контроля уникальности своего процесса в системе бэкдор создает уникальный идентификатор с именем:
LockIE.
Бэкдор создает поток, который периодически загружает зашифрованный файл конфигурации в кеш IE со следующего URL:
http://li***77q.com/sms/xxx.ini
Далее файл расшифровывается и сохраняется в корневой каталог Windows под именем "Win.ini":
%WinDir%\Win.ini
Бэкдор из файла конфигурации получает ссылку для загрузки файла. Загруженный файл сохраняется в кеш IE, после чего запускается на выполнение. На момент создания описания ссылки для загрузки файла не было.

Также считывает из указанного выше файла URL. Если пользователь работает с браузером Internet Explorer, TheWorld Browser, SOGOUEXPLORER или QQ, то будет он будет перенаправлен по ссылке, считанной из файла. На момент составления описания браузер переправлялся по ссылке
http://66.***.187:55325/tuling.html
Отправляет следующий HTTP запрос на сервер злоумышленнику:
http://li***77q.com/sms/do.phpuserid=<rnd1>&time
=<rnd2>&msg=<rnd3>&pauid=1

Где <rnd1> - физический адрес сетевой карты, <rnd2> - текущая дата и время, <rnd3> - последовательность цифр, например "01704800628118".

 
compservДата: Пятница, 25.06.2010, 21:27 | Сообщение # 2
Генералиссимус
Группа: Администраторы
Сообщений: 35
Репутация: 3
Статус: Offline
Лечение

В AVZ (антивирус Зайцева) выполните скрипт:

Quote
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\ali.exe','');
QuarantineFile('C:\WINDOWS\system32\dlllhost.exe','');
QuarantineFile('C:\Program Files\Coopen\Coopen.scr','');
QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ADVANCED SYSTEMCARE.tmqrwusv','');
DeleteFile('C:\WINDOWS\system32\dlllhost.exe');
DeleteFile('C:\WINDOWS\ali.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.

Далее:

Нужно загрузиться с консоли восстановления и выполнить команду fixmbr .

Если не помогло, пробуем этот скрипт( тоже вставляем в AVZ)

Quote
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ADVANCED SYSTEMCARE.tmqrwusv','');
QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\AIMP2.tmqrwusv','');
QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\INTERNET EXPLORER.tmqrwusv','');
QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\WINDOWS MEDIA PLAYER.tmqrwusv','');
QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\БИЛАЙН ИНТЕРНЕТ ДОМА.tmqrwusv','');
QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ЖФ¶Ї INTERNET EXPLORER ДЇААЖЧ.tmqrwusv','');
QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСТИТЬ ОБОЗРЕВАТЕЛЬ INTERNET EXPLORER.tmqrwusv','');
QuarantineFile('C:\WINDOWS\ali.exe','');
QuarantineFile('C:\WINDOWS\system32\s2am.ime','');
DeleteFile('C:\WINDOWS\system32\s2am.ime');
DeleteFile('C:\WINDOWS\ali.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Еще вариант:

Quote
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ali.exe');
QuarantineFile('c:\windows\ali.exe','');
DeleteFile('c:\windows\ali.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 
compservДата: Пятница, 25.06.2010, 21:36 | Сообщение # 3
Генералиссимус
Группа: Администраторы
Сообщений: 35
Репутация: 3
Статус: Offline
Скачайте OTM by OldTimer и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

Quote
:Processes
explorer.exe

:Services

:Files
c:\windows\alevir.exe
c:\windows\brasil.exe
c:\windows\scrsvr.exe
c:\windows\srv32.exe
c :\windows\system32\bride.exe
c:\windows\system32\aavar.pif
c:\windows\marco!.scr
c:\windows\instit.bat
c:\windows\brasil.pif
c:\windows \ali.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

 
Форум » >>> » Компьютерные вирусы. » Backdoor.Win32.Trup.a (ali.exe) (Инфо и способ лечения)
  • Страница 1 из 1
  • 1
Поиск:


"Компьютер-сервис" © 2024
Конструктор сайтов - uCoz