Sirefef.B / Rootkit.Win32.ZAccess / MAX + + es un malware sofisticado que se puede desactivar cualquier antivirus.
Se utiliza sobre todo con el rogue Antivirus 2010
Kaspersky ha anunciado la aprobación de malware en plataformas de 64 bits utilizando una versión del rootkit espacio de usuario (como el tiempo de Antivirus 2010): http://www.securelist.com/en/blog?print_mode=1&weblogid=493
El malware obras Ahora la plataforma en modo kernel rootkits
El malware obras Ahora la plataforma en modo kernel rootkits
Los síntomas aparentes
Nos encontramos con los mismos síntomas que en la versión anterior .
Las aplicaciones de malware matar a la seguridad y entonces se convierte en imposible poner en marcha, se corrompe el ligamento cruzado anterior, obtenemos el siguiente mensaje: Windows no puede acceder al dispositivo, la ruta o el archivo de especificación.
Las aplicaciones de malware matar a la seguridad y entonces se convierte en imposible poner en marcha, se corrompe el ligamento cruzado anterior, obtenemos el siguiente mensaje: Windows no puede acceder al dispositivo, la ruta o el archivo de especificación.
La novedad es que causa vuelve a dirigir en la búsqueda Google - este sitio 01net totalmente desfigurado a través de una página pornográfica:
La reorientación se basa en las siguientes direcciones:
http://30ksearches.com/redirect.php?u=3669741&b=MC4wMDE1Mg==&p=aW50ZWNwcGM =http://184.171.168.194/click.php?c=xxxx
http://www.apmebf.com/qh105dlutB/lsx/A9I9IED9/
http://www.anrdoezrs.net/click-3984571-10909540
La caída de la infección
Que obtuvo el control de la exploración. Exe que lanza una DLL en wevtapi.dll% USERNAME%
taskmgr.exe se copia en% USERNAME% y se inicia con una solicitud de elevación de privilegios .Si el usuario acepta, el drama, se hace la transición de programas de usuario en el núcleo, el malware puede modificar el sistema y colocar la parte Rootkit.
Tenga en cuenta que si uno dice que no, solicite el acceso a taskmgr más ilimitada, es probable que para detener la aplicación, el usuario dice que sí en algún momento, porque tiene más manos en el sistema.
 | Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1026x775px. |
Las siguientes conexiones se hacen entonces con el envío de información (registro):
1309885468.164 95 192.168.1.111 TCP_MISS/200 449 GET http://www.msftncsi.com/ncsi.txt - DIRECT/213.199.181.90 text / plain1,309,885,527.305 139 192.168.1.111 TCP_MISS/200 1013 http://80.237.152.26/ DESPUÉS CRQ / crq.php - DIRECT/80.237.152.26 text / xml
1309885563.080 169 192.168.1.111 TCP_MISS/200 1133 http://80.237.152.26/crs/crs.php POST - DIRECT/80.237.152.26 text / xml
1,309,885,589.551 116 192 168. 1111 TCP_MISS/504 1745 GET http://erahacty.cn/stat2.php?w=15&i=d011134e9508134e18a238159d0a8f41&a=2 - texto DIRECTO / erahacty.cn / html
La operación de la infección
Anteriormente, la infección se hizo:
- un conductor, que era la parte que mata KillAV software de seguridad
- una DLL que llama a la KillAV conductor si se elimina
Veremos que la infección tiene un poco más complejo:
El conductor HKLMSYSTEMCurrentControlSetservices1309872592 / C: Windowssystem32drivers1309872592.sysKillAV es la parte, que podemos lograr tocar el violín para que sea inactivo, lo que permite ver los módulos de búsqueda GMER - La Todos los módulos comienzan con @ 8000 - @ 800000cb / etc @ 800000cc.
El conductor HKLMSYSTEMCurrentControlSetservices1309872592 / C: Windowssystem32drivers1309872592.sysKillAV es la parte, que podemos lograr tocar el violín para que sea inactivo, lo que permite ver los módulos de búsqueda GMER - La Todos los módulos comienzan con @ 8000 - @ 800000cb / etc @ 800000cc.
La exploración GMER es posible, entonces, lo que da:
Vemos KillAV servicio piloto muy bueno, el módulo @ 800000cb y sus archivos.
Pero también:
Pero también:
? C: Windowssystem32driversafd.sys sospechoso modificación PE
Esta es la novedad de esta realización, un parche ZAccess controladores ahora se permite volver a instalar al azar de la infección.
Desinfección
Windows Seven, la desinfección puede ser complejo.
TDSSKiller , que está al día con la versión actual de la parte de detección de difusión, de la infecton.
En Windows XP, TDSSKiller infección perfectamente limpia (que para eliminar el KillAV conductor - letras al azar):
En Windows XP, TDSSKiller infección perfectamente limpia (que para eliminar el KillAV conductor - letras al azar):
Windows Seven / Vista de 64 bits, dependiendo del controlador que caen (algunas están cerradas con un candado),TDSSKiller no podrá restaurar el controlador parcheado - la infección se puede cambiar de residencia:
Le sugerimos que se restaure el archivo manualmente recordar para eliminar KillAV del conductor a través de un Live CDOTLPEPara recuperar los permisos de archivo, puede hacer clic derecho / propiedades y la ficha de seguridad.
Quitar los permisos de rechazar, aceptar y autorizado a bordo.
Quitar los permisos de rechazar, aceptar y autorizado a bordo.
También puede usar la calculadora, como en el ejemplo siguiente:
cacls procexp.exe / P "Todo el mundo: F"Are you sure (Y / N) o?
archivo procesado: C: Documents and SettingsMakBureauprocexp.exe
Restaurar sistema de Windows Vista y Siete
Una restauración del sistema desde el arranque las opciones parecen posibles para eliminar la infección,
by malekal.com
No hay comentarios:
Publicar un comentario