Новость о Win32.Ntldrbot
Статья о Win32.Ntldrbot
Тип вируса: Вредоносная программа для рассылки спама
Уязвимые ОС: Win NT-based
- Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.
- Реализован в виде драйвера режима ядра.
- Имеет функцию самозащиты, противодействует модификации времени исполнения.
- Перехватывает системные функции неклассическим методом, такие как:
NtCreateThread
NtDelayExecution
NtDuplicateObject
NtOpenThread
NtProtectVirtualMemory
NtQuerySystemInformation
NtReadVirtualMemory
NtResumeThread
NtTerminateProcess
NtTerminateThread
NtWriteVirtualMemory
- Работает как файловый вирус, заражая системные драйверы.
- Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.
- Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
- Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.
- Имеет защиту от антируткит-программ.
- Имеет в составе динамическую библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама. Для связи драйвера с DLL используется специальный механизм передачи команд.
Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
