Уязвимые ОС: Win NT-based
Размер: 14,032 байт, 31,728 байт
Упакован: -
- Может быть установлен на инфицированный компьютер с помощью других загрузчиков или инсталляторов вредоносных программ.
- При своём запуске создаёт копию исполняемого файла в C:\Program Files\Common Files\System\ntsvc32k.exe, сбрасывает динамическую библиотеку C:\Program Files\Common Files\System\winmgt32k.dll (Trojan.NtRootKit.847). Также имена файлов могут быть \RDPsvc2.exe и \sysvideo32.dll соответственно. Динамическая библиотека \sysvideo32.dll представляет собой User-Mode RootKit - перехватывает следующие функции:
ntdll.dll:NtResumeThread
ws2_32.dll:WSARecv
ws2_32.dll:WSASend
ws2_32.dll:closesocket
ws2_32.dll:connect
ws2_32.dll:recv
ws2_32.dll:send
- Соединяется с удалённым сервером, скачивает и устанавливает несколько вариантов вредоносных программ, определяемых Dr.Web как Trojan.DownLoader.49977 и Trojan.Proxy.1731.
- Для обеспечения запуска своих компонентов при каждом старте Windows регистрирует их как сервис:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntsvc32k
HKEY_LOCAL_MACHINE\ControlSet001\Services\ntsvc32k\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\ntsvc32k\ImagePath: "C:\Program Files\Common Files\System\ntsvc32k.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\ntsvc32k\DisplayName: "ntsvc32k"
HKEY_LOCAL_MACHINE\ControlSet001\Services\winmgt32k
HKEY_LOCAL_MACHINE\ControlSet001\Services\winmgt32k\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\winmgt32k\ImagePath: "\??\C:\Program Files\Common Files\System\winmgt32k.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\winmgt32k\DisplayName: "winmgt32k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntsvc32k
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntsvc32k\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntsvc32k\ImagePath: "C:\Program Files\Common Files\System\ntsvc32k.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntsvc32k\DisplayName: "ntsvc32k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgt32k
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgt32k\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgt32k\ImagePath: "\??\C:\Program Files\Common Files\System\winmgt32k.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgt32k\DisplayName: "winmgt32k"
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
