Добавить комментарий

konfikter

Тут столкнулся нос к носу с вирусом, которого по разному называют, но природа его очень проста и поэтому непоколебима, как оказывается:

Есть процесс под windows называется server, который обслуживает 445 порт разделяемых сетевых ресурсов. Он запускается строкой: svchost.exe -k netsvcs.
Под его управлением можно подгружать dll библиотеки. То есть тело вируса просто, как батон за 13 копеек,: rundll32 dllname.dll. То есть копируешь ее через 445 порт на шару или в системную папку вредоносную библиотеку, скрываешь ее, шифруешь, сжимаешь и все вирус готов. В этом случае зараженный файл будет состоять из одной строчки rundll32 dllname.dll. dll можно поставлять по кусочкам нарезанными или полностью. И т.д.

Процесс обнаружения прост. Берешь у Марка Руссиновича procex.exe - process explorer и смотришь деревья в памяти rundll32 под процессом svchost.exe -k netsvcs, а потом их киляешь. Это вручную.

Процесс починки системы мне видится таким. Написать экзешник, который следит за сервисами и бьет ветки rundll32 безпощадно. Или найти все зашифрованные и сжатые dll библиотеки и удалить. Однако это не спасает от дырок по 445 порту. Может есть что другое?