Logowanie
Działanie malware na przykładzie najnowszego Win32.HLLW.Shadow.based
W sieci pojawił się nowy szkodnik o nazwie Win32.HLLW.Shadow.based. Wykorzystuje on luki systemowe pochodzące jeszcze z czasów Windows 2000, a które istnieją nawet w najnowszej Beta wersji systemu Windows 7. Na jego przykładzie można zobaczyć jak działa taki szkodnik.
Win32.HLLW.Shadow.based wykorzystuje kilka dróg rozprzestrzeniania, przez co jest szczególnie trudny do analizy.
Na początek przenosi się w ostatnio modny sposób, a zatem za pomocą mechanizmu autostartu, czyli w plikach autorun.inf. Przy zarażeniu tą metodą, w folderze Recycler tworzy plik o losowej nazwie w postaci \ Sxx-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Można tutaj zauważyć, że podobną strukturę plików stosuje system dla plików w koszu.
Kolejną drogą zakażenia jest sieć. Tutaj robak rozprzestrzenia się dzięki mechanizmowi protokołu SMB. W tym momencie kopiuje się on do folderu systemowego i uruchamia się po zadanym okresie czasu.
Stosuje on jeszcze mechanizm, który został naprawiony przez ostatni biuletyn zabezpieczeń. Tutaj ładuje złośliwe pliki poprzez HTTP.

Jeżeli robak znajdzie się już w systemie, sprawdza w jakim procesie on się znajduje. Jeżeli jest to proces rundll32.exe, to wstrzykuje on swój kod do plików svchost.exe oraz exlorer.exe. Następnie otwiera bieżący folder w Eksploratorze Windows i kończy pracę.
Jeżeli natomiast stwierdzi, że nie znajduje się w procesie rundll32.exe, tworzy on swoją kopię w pliku o losowej nazwie i dodaje go do usług systemowych. Dodaje go także do autostartu systemu. Ponadto zatrzymuje on usługę aktualizacji systemu oraz wdraża serwer HTTP, dzięki czemu rozprzestrzenia się w sieci.
W momencie, gdy wirus stwierdzi, że znajduje się w procesie svchost.exe, zaczyna działać jako klient DNS i wstrzykuje swój kod w funkcje DNS komputera. Blokuje on tym samym dostęp do witryn firm antywirusowych.
Na koniec wprowadza funkcjonalne zmiany w pliku Tcpip.sys, aby zwiększyć ograniczenia w liczbie jednoczesnych połączeń sieciowych.

Ochrona przed lub walka z tym szkodnikiem polega głównie na uaktualnieniu systemu, stosowaniu złożonych haseł, aby robak nie mógł użyć gotowego słownika, a w przypadku zarażenia, odłączeniu go od sieci i przeskanowaniu systemu programem antywirusowy, np Dr.Web.

Źródło: www.anti-malware.ru
· cosik_ktosik dnia 16/01/2009 09:10
Poleć znajomym:
Poprzedni

Nowa forma phishingu
Następny

Załatana Avira
Reklama


Artykuły
Polecany artykuł


Jak walczyć z pobieraczkiem? Jak odstąpić od umowy? O tym w artykule.
Ostatnie komentarze
gryPrzez: Maciak Plock [dnia: Apr 03, 2020]
wynik jest wysoko w google, przy...
gryPrzez: MAMBA [dnia: Mar 24, 2020]
Warning: Only 61104 of 61105 MBy...
gryPrzez: Random32 [dnia: Mar 18, 2020]
Witam, u mnie na polskim Window...
gryPrzez: muffintodebil [dnia: Mar 04, 2020]
aha gosicu to niezly jestes zaaw...
gryPrzez: Maciek [dnia: Feb 20, 2020]
2 karty 512 kupione na allegro: ...
gryPrzez: xd [dnia: Feb 05, 2020]
zrobiłem sposób Vin/7 na dziesią...
gryPrzez: gtremik [dnia: Jan 25, 2020]
Dzięki seba86mu :) Działa
gryPrzez: Mirek [dnia: Jan 22, 2020]
A jest rozwiązanie dla Windowsa 10?
Gry
Polecany artykuł


Quake

Klasyk FPS w wersji flash.
Programy
Polecany artykuł


Tapin Radio Darmowa aplikacja służąca do słuchania i nagrywania radia internetowego
Recenzje
Polecana recenzja


Sleeping Dogs
Policjant pod przykrywką rozpracowuje Triadę.
Facebook