Ну-ка ну-ка подробнее, что за трой такой умный? Прям так всё и заблокировал? Отпадно))))) Как называется?
Не, извини, тебя конечно жалко что ты так помотыжился, правда! Но у меня уже образ мышления такой)
Email-Worm.Win32.Bagle.fy (trojan.gigagen)
Rootkit: Да
Видимые проявления: Появление перехватов в KernelMode, перехватчик m_hook.sys
Маскирующийся процесс hidn1.exe
Распространяется в виде писем электронной почты, содержащих запароленный ZIP архив. Примерный текст письма:
I love you
Password -- <картинка>
Текст письма может немного видоизменяться - в теле червя есть несколько вариантов текстовки и набор имен, которые подставляются в заголовок.
Пароль к архиву приложен к письму в виде GIF картинки, паролем является пятизначное число. Архив содержит исполняемый файл (имя типа yqvabhccef.exe) размером 69 кб и папку, содержащую файл с расширением DLL.
В случае запуска (а для его запуска необходимо вручную извлечь исполняемый файл из архива, указав при этом пароль) создает файл Documents and Settings\<имя профиля>\Application Data\hidn\hidn.exe и запускает его, после чего запущенный завершает работу.
Файл hidn.exe в свою очередь выполняет следующие действия:
1. Создает и загружает драйвер Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys и проводит обмен с ним. Драйвер регистрируется под именем m_hook, имя устройства - \\.\m_hook. Сам драйвер хранится внутри hidn.exe и сохраняется на диске перед установкой.
2. создает в корне диска файл error.gif и отображает его пользователю при помощи "rundll32.exe WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\error.gif". Изображение в файле error.gif содержит текст "Error".
3. Создает в реестре ключ с HKCU\Software\FirstRuxzx и параметр FirstRun = 1 в нем. Удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
4. Пытается удалить файл WINDOWS\system32\re_file.exe
5. Загружает из Интернет файл и сохраняет его под именем WINDOWS\system32\re_file.exe. Шаги 4 и 5 повторяются многократно, меняется только сайт, ск оторого делается попытка закачки файла
6. Пересоздает в корне диска файл temp.zip. Этот архив собственно и рассылается червем по почте
В процессе работы червь сканирует диск и анализирует содержимое файлов (в частности, txt, cfg, msg, htm). Программа hidn.exe регистрируется в автозапуске стандартным образом
Драйвер m_hook.sys является руткитом и применяется для маскировки. При помощи драйвера производится маскировка процесса hidn.exe (процесс обнаруживается диспетчером процессов AVZ с отметкой о маскировке на уровне ядра. Перехваты руткита детектируются следующим образом:
Функция ZwCreateFile (25) перехвачена (8057164C->F8BA617E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwEnumerateKey (47) перехвачена (8056F76A->F8BA64C2), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwEnumerateValueKey (49) перехвачена (805801FE->F8BA620E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQueryDirectoryFile (91) перехвачена (80574DAD->F8BA6762), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQueryKey (A0) перехвачена (8056F473->F8BA6B30), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->F8BA6908), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Как видно из набора перехваченных функций, данный руткит реализует все базовые виды маскировки - реестр, файлы на диске и процессы в памяти. Кроме того, драйвер может бороться с антивирусами и утилитами мониторинга - в его теле есть база данных с именами:
filtnt.sys guardnt.sys zonealarm.exe zlclient.exe zatutor.exe VsStat.exe Vshwin32.exe Vba32PP3.exe
vba32ldr.exe Vba32ifs.exe Vba32ECM.exe upgrepl.exe Up2Date.exe tmproxy.exe TmPfw.exe
Tmntsrv.exe symlcsvc.exe spiderml.exe SPBBCSvc.exe SNDSrvc.exe RuLaunch.exe
regedt32.exe regedit.exe Realmon.exe QHPF.EXE PcCtlCom.exe pccguide.exe
outpost.exe Nvcut.exe Nvcte.exe Nvcod.exe npfmsg.exe NPFMNTOR.EXE nod32kui.exe
nod32.exe NAVAPSVC.EXE Mcshield.exe Luupdate.exe LUALL.EXE KAVPF.exe kavmm.exe
KAV.exe isafe.exe InoUpTNG.exe InocIT.exe INETUPD.EXE GuardNT.exe GUARDGUI.EXE
freshclam.exe drwebupw.exe drwebscd.exe drweb32w.exe drwadins.exe CMGrdian.exe ClamWin.exe
ClamTray.exe CCSETMGR.EXE CCEVTMGR.EXE ccApp.exe cafix.exe bdswitch.exe bdsubmit.exe bdnews.exe bdmcon.exe AVWUPD32.EXE Avsynmgr.exe AVSCHED32.EXE AVGNT.EXE avgemc.exe avgcc.exe Avconsol.exe AUPDATE.EXE ashWebSv.exe ashSkPck.exe ashSimpl.exe ashPopWz.exe ashEnhcd.exe ashDisp.exe ashAvast.exe
Как легко заметить, помимо антивирусов блокируется работа редактора реестра.
