Здравствуйте.
Вот чтото подцепил, но я не совсем лопух, выяснил кое что, может поможете дальше разобраться, главное, что интересно
как эта зараза работает
— Разворачивается в:
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\SVCHOST.EXE (номер меняется, походу это GUID)
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\SVCHOST.dll — инъектирует во все (ну или почти все процессы)
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\SVCHOST32.dll — инъектирует во все (ну или почти все процессы)
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\security.EXE
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\security.dll — инъектирует в LSASS.exe
— Прописывает себя в автозагрузку в ветку HKLM\Software\Microsoft\Windows\Current Version\Run, параметр Service Host , причем так же ведет контроль если удалить то появляется вновь
— Меняет домашнюю страничку у IE
— Выкидывает окошко IE через интервалы времени на страничке
— На всех страничках открываемых в браузере некоторые слова делает ссылками на свой сайт:
http://ipassist.biz/search.php?id=11258?qq=слово , где слово то которе встретилось на страничеке. Заметил следующие слова: web, own, check, you, all, qroup, chat, online, part, help, right, first, server, men, place, open, service, person, name, state
— Некотроые стринички, в основном результаты поисковиков таких как google.com, yandex.ru, aport.ru если ввести слово для поиска, то выдает вместо результатов дурацкую страничку в которой написано, что мол браузер блокировал эту страничку, то Вы можете пройти по одной из следующих и указывает список ссылок, причем названия ссылок сформированны из исковерканых по всякому адресов поисковика, например для google.com: com google, com com google, com
Заранее благодаре за любую помощь в понимании как она работает, не понятно как она может во всех страничках содержание фактически менять
, причем, вероятно, это не через дырку, поскольку пробовал через IE и Opera 8 beta.
... << RSDN@Home 1.1.4 beta 5 rev. 395>>
Здравствуйте, Time, Вы писали:
T>Заранее благодаре за любую помощь в понимании как она работает, не понятно как она может во всех страничках содержание фактически менять , причем, вероятно, это не через дырку, поскольку пробовал через IE и Opera 8 beta.
Если память не изменяет, то это пропатченная wininet.dll... В принципе, вариантов масса (могла виндовый файрвол пропатчить и т.д. и т.п.). То есть меняет данные еще до поступления их браузеру.
Какой-нибудь там trojan remover возможно поможет.
Здравствуйте, Time, Вы писали:
T>Здравствуйте.
T> Вот чтото подцепил, но я не совсем лопух, выяснил кое что, может поможете дальше разобраться, главное, что интересно как эта зараза работает
Троянец имхо... Спам в /dev/null и всякие нехорошие странички интырнета тудаже...
[RSDN@Home][1.1.4][beta 6a][438]
[Rammstein — Das Modell]
Здравствуйте, ansi, Вы писали:
A>Если память не изменяет, то это пропатченная wininet.dll... В принципе, вариантов масса (могла виндовый файрвол пропатчить и т.д. и т.п.). То есть меняет данные еще до поступления их браузеру.
A>Какой-нибудь там trojan remover возможно поможет.
Спасибо. Я тут подумал что можно забабахать прогу подобную этой но только чтобы она анализировала содержание Веб страничек на мат и прочий подонковский сленг и аккуратно заменяла слова, думаю, такая программа была бы полезна. Вот только как
. Расскажите плз, подробнее что значит пропадченная wininet.dll . Т.е. её изменяют, но ведь как же защита dll в XP у меня она не моргнула, и зачем тогда dll ки инъектируются в процессы.
Спасибо.
... << RSDN@Home 1.1.4 beta 6a rev. 436>>
Здравствуйте, Time, Вы писали:
T>Здравствуйте, ansi, Вы писали:
A>>Если память не изменяет, то это пропатченная wininet.dll... В принципе, вариантов масса (могла виндовый файрвол пропатчить и т.д. и т.п.). То есть меняет данные еще до поступления их браузеру.
A>>Какой-нибудь там trojan remover возможно поможет.
T>Спасибо. Я тут подумал что можно забабахать прогу подобную этой но только чтобы она анализировала содержание Веб страничек на мат и прочий подонковский сленг и аккуратно заменяла слова, думаю, такая программа была бы полезна. Вот только как . Расскажите плз, подробнее что значит пропадченная wininet.dll . Т.е. её изменяют, но ведь как же защита dll в XP у меня она не моргнула, и зачем тогда dll ки инъектируются в процессы.
T>Спасибо.
Еще один матофильтр? Хе-хе.
Что касается пропатченной, то я не знаю реального механизма как это делают они и не знаю толком про методы защиты в XP. В 98-й это делалось так: пишется своя wininet.dll, которая экспортирует те же функции и кидается в папку ИЕ (соответственно грузиться она будет именно оттуда), ну или подменяет существующую. Каждая функция из оригинала переписывается в свою .дллку ну и соответственно ты можешь делать в ней, что хочешь. Но чтобы ИЕ не упал надо вызвать ту же функцию из оригинала (это просто) и вернуть ее результат (возможно слегка модифицированный). Я не знаю, пользуется ли этой библиотекой Опера, может этот троян подменил/пропатчил библиотеку для сокетов...
