Попробую себя в этом амплуа
Backdoor, как правило, загружается через вредоносный скрипт, встроенный в код сайта. При выполнении скрипта на компьютер загружается файл actxprxyn.exe размером 10752 байт, сохраняется в %System32%. Прописывается как служба
Код:
"Рабочая станция lanmanworkshipRpcSs - Unknown owner"
в реестре создаются ключи
Код:
HKLM\System\CurrentControlSet\Services\lanmanworkshipRpcSs
HKLM\System\ControlSet00?\Services\lanmanworkshipRpcSs
Затем программа загружает kcp.sys размером 4224 байта и lehx.exe размером 71915 байта. После этого lehx.exe устанавливает соединение с узлами
Код:
195.5.117.232
194.67.23.20
72.14.215.27
64.233.183.27
66.111.474
и прочими по 25 порту, осуществляя почтовые спам-рассылки.
Kcp.sys прописывается в %System32%\drivers, создает ключи в реестре
Код:
HKLM\System\CurrentControlSet\Services\kcp
HKLM\System\ControlSet00?\Services\kcp
и с помощью руткит-технологий скрывает lehx.exe, находящийся в %UserProfile%\Local Settings\Temp, вследствие чего AVZ не может собрать информацию об этом файле.
Но сам kcp.sys вполне виден в "Модулях пространства ядра".
Лечиться с помощью AVZ скачять :тут
Лечиться скриптом
Лечение
Даже не зная точного расположения файлов, используя функционал AVZ, можно справиться с заражением
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('%UserProfile%\Local Settings\Temp\lehx.exe','');
QuarantineFile('%System32%\actxprxyn.exe','');
QuarantineFile('%System32%\drivers\kcp.sys','');
DeleteFile('%System32%\actxprxyn.exe');
DeleteFile('%System32%\drivers\kcp.sys');
DeleteFile('%UserProfile%\Local Settings\Temp\lehx.exe');
BC_ImportAll;
BC_DeleteSvc('lanmanworkstationrpcss');
BC_DeleteSvc('kcp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.