Не надо сидеть под админом. Тогда процентов этак 95--99 заразы просто не сможет нормально работать. А еще не надо пользоваться IE и аутглюком. Ну и тыкать куда ни попадя. При таких мерах можно пару лет жить без антивируса и ничего не подцепить.
Честно говоря, подобного рода "поделия" встречаются каждый день. Из интересных моментов здесь - только прием шифрованных данных, различных для каждой сессии. Остальное - ничего интересного. Честно :-)
У кого? :-)
Я не знаю какой именно антивирус не сработал, да и проблемой детектирования я мало занимаюсь. Я - вирусный аналитик всего-лишь.
Возможные варианты - не было сигнатур для вируса, не сработал поведенческий фильтр... Но это только догадки.
Выполнил сегодня по долгу службы анализ файла, который в итоге на машине юзера оказывается. А топик написать не могу, вот обидно!
Короче говоря, загрузка двух файлов с хоста, один записывается на диск и запускается, а второй инжектится в системный процесс. По ходу дела для рассылки спама все это надо. Будет карма - будут технические подробности :-)
Осспади! Открыли Америку эти яндексовцы... Trojan.Click.nnnn - перенапраление пользователя, замена содержимого страницы, прочие радости. Кстати, большинство троянов, заточенных под взаимодействие с браузерами, работают только под IE, ибо являются Browser Helper Object.
Как раз поможет. И чем раньше - тем лучше. При делении урана в реакторах образуется I^131, который вовлекается в метаболизм и накапливается в щитовидке. А активность у него очень не маленькая: период полураспада 6 дней, помнится. В итоге получаем внутреннее облучение. А если принимать обычный йод, то его в организме будет избыток, и 131-й будет захватываться в меньших количествах.
Режим дня - штука, несомненно нужная. Но как быть, если мне важнее не количество сна, а время пробуждения? Лечь в 22.00 и встать в 6.00 - субъективно хуже, чем лечь в 10.00 и проснуться в 14.00. Просыпаться позже - тогда буду позже уходить с работы, позже приходить домой и не останется времени на активную жизнь :-(
Э! Если бряка ставитсо на вызов CreateFile - тогда да, запуск второго процесса проскочит. А если бряк ставить на начало CreateFile - это уже совсем другое. Правда, есть способ и от такого уйти :-) Да и не CreateFile единым...
А еще FileMon хорошо юзать - будет видно что и куда дропается.
А вы точно уверены, что драйвер-таки не загрузился? Судя по тому коду, что вы привели, драйвер регистрируется сервисом в системе. Но не факт, что троян запустит этот сервис сразу после регистрации ;-) Надо, все-таки, создавать тут отдельный блог по Reverse Engeneering, хотя я тоже начинающий :-)
Я не знаю какой именно антивирус не сработал, да и проблемой детектирования я мало занимаюсь. Я - вирусный аналитик всего-лишь.
Возможные варианты - не было сигнатур для вируса, не сработал поведенческий фильтр... Но это только догадки.
Короче говоря, загрузка двух файлов с хоста, один записывается на диск и запускается, а второй инжектится в системный процесс. По ходу дела для рассылки спама все это надо. Будет карма - будут технические подробности :-)
А еще FileMon хорошо юзать - будет видно что и куда дропается.