Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.Ntldrbot

(TR/Dropper.Gen, TROJ_AGENT.ABDX, Malware-Cryptor.Win32.General.3, W32/Virut.Z, Trojan-Downloader.Win32.Agent.ddl, Virus.Win32.Rustock.a, Win32.Klest.A.Gen, Virus:Win32/Cekar.H, Downloader.Agent.RXM, Trojan-Downloader.Win32.Agent.mqf, Trojan.Agent.ABRR, Win32.Ntldrbot.A, Backdoor.Rustock.NDL, TrojanDropper:Win32/Rustock, Generic.dx, RTKT_AGENT.APAT, W32/Downloader.AL, TROJ_GEN.0Z0213S, Trojan.Generic.47662, Spamtool.Win32.Rustock.C, TROJ_Generic.DIS)

Добавлен в вирусную базу Dr.Web: 2008-05-06

Описание добавлено:

Новость о Win32.Ntldrbot
Статья о Win32.Ntldrbot

Тип вируса: Вредоносная программа для рассылки спама

Уязвимые ОС: Win NT-based

Техническая информация

  • Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.
  • Реализован в виде драйвера режима ядра.
  • Имеет функцию самозащиты, противодействует модификации времени исполнения.
  • Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.

  • Перехватывает системные функции неклассическим методом, такие как:

    NtCreateThread
    NtDelayExecution
    NtDuplicateObject
    NtOpenThread
    NtProtectVirtualMemory
    NtQuerySystemInformation
    NtReadVirtualMemory
    NtResumeThread
    NtTerminateProcess
    NtTerminateThread
    NtWriteVirtualMemory
  • Работает как файловый вирус, заражая системные драйверы.
  • Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.
  • Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
  • Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.
  • Имеет защиту от антируткит-программ.
  • Имеет в составе динамическую библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама. Для связи драйвера с DLL используется специальный механизм передачи команд.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А