Logowanie
Dzia�anie malware na przyk�adzie najnowszego Win32.HLLW.Shadow.based
W sieci pojawi� si� nowy szkodnik o nazwie Win32.HLLW.Shadow.based. Wykorzystuje on luki systemowe pochodz�ce jeszcze z czas�w Windows 2000, a kt�re istniej� nawet w najnowszej Beta wersji systemu Windows 7. Na jego przyk�adzie mo�na zobaczy� jak dzia�a taki szkodnik.
Win32.HLLW.Shadow.based wykorzystuje kilka dr�g rozprzestrzeniania, przez co jest szczeg�lnie trudny do analizy.
Na pocz�tek przenosi si� w ostatnio modny spos�b, a zatem za pomoc� mechanizmu autostartu, czyli w plikach autorun.inf. Przy zara�eniu t� metod�, w folderze Recycler tworzy plik o losowej nazwie w postaci \ Sxx-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Mo�na tutaj zauwa�y�, �e podobn� struktur� plik�w stosuje system dla plik�w w koszu.
Kolejn� drog� zaka�enia jest sie�. Tutaj robak rozprzestrzenia si� dzi�ki mechanizmowi protoko�u SMB. W tym momencie kopiuje si� on do folderu systemowego i uruchamia si� po zadanym okresie czasu.
Stosuje on jeszcze mechanizm, kt�ry zosta� naprawiony przez ostatni biuletyn zabezpiecze�. Tutaj �aduje z�o�liwe pliki poprzez HTTP.

Je�eli robak znajdzie si� ju� w systemie, sprawdza w jakim procesie on si� znajduje. Je�eli jest to proces rundll32.exe, to wstrzykuje on sw�j kod do plik�w svchost.exe oraz exlorer.exe. Nast�pnie otwiera bie��cy folder w Eksploratorze Windows i ko�czy prac�.
Je�eli natomiast stwierdzi, �e nie znajduje si� w procesie rundll32.exe, tworzy on swoj� kopi� w pliku o losowej nazwie i dodaje go do us�ug systemowych. Dodaje go tak�e do autostartu systemu. Ponadto zatrzymuje on us�ug� aktualizacji systemu oraz wdra�a serwer HTTP, dzi�ki czemu rozprzestrzenia si� w sieci.
W momencie, gdy wirus stwierdzi, �e znajduje si� w procesie svchost.exe, zaczyna dzia�a� jako klient DNS i wstrzykuje sw�j kod w funkcje DNS komputera. Blokuje on tym samym dost�p do witryn firm antywirusowych.
Na koniec wprowadza funkcjonalne zmiany w pliku Tcpip.sys, aby zwi�kszy� ograniczenia w liczbie jednoczesnych po��cze� sieciowych.

Ochrona przed lub walka z tym szkodnikiem polega g��wnie na uaktualnieniu systemu, stosowaniu z�o�onych hase�, aby robak nie m�g� u�y� gotowego s�ownika, a w przypadku zara�enia, od��czeniu go od sieci i przeskanowaniu systemu programem antywirusowy, np Dr.Web.

�r�d�o: www.anti-malware.ru
· cosik_ktosik dnia 16/01/2009 09:10
Pole� znajomym:
Poprzedni

Nowa forma phishingu
Nast�pny

Za�atana Avira
Reklama


Artyku�y
Polecany artyku�


Jak walczy� z pobieraczkiem? Jak odst�pi� od umowy? O tym w artykule.
Ostatnie komentarze
gryPrzez: Maciak Plock [dnia: Apr 03, 2020]
wynik jest wysoko w google, przy...
gryPrzez: MAMBA [dnia: Mar 24, 2020]
Warning: Only 61104 of 61105 MBy...
gryPrzez: Random32 [dnia: Mar 18, 2020]
Witam, u mnie na polskim Window...
gryPrzez: muffintodebil [dnia: Mar 04, 2020]
aha gosicu to niezly jestes zaaw...
gryPrzez: Maciek [dnia: Feb 20, 2020]
2 karty 512 kupione na allegro: ...
gryPrzez: xd [dnia: Feb 05, 2020]
zrobi�em spos�b Vin/7 na dziesi�...
gryPrzez: gtremik [dnia: Jan 25, 2020]
Dzi�ki seba86mu :) Dzia�a
gryPrzez: Mirek [dnia: Jan 22, 2020]
A jest rozwi�zanie dla Windowsa 10?
Gry
Polecany artyku�


Quake

Klasyk FPS w wersji flash.
Programy
Polecany artyku�


Tapin Radio Darmowa aplikacja s�u��ca do s�uchania i nagrywania radia internetowego
Recenzje
Polecana recenzja


Sleeping Dogs
Policjant pod przykrywk� rozpracowuje Triad�.
Facebook