Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Свцхвост виндовозный, подписанный. Этот вирь запускает его как зомби для своих чёрных действий :) Ещё про этого виря: 09.04.08 13:28 Число просмотров: 2555
Автор: HandleX <Александр М.> Статус: The Elderman
|
Основные признаки:
1) как уже сказал, создаётся svchost.exe, который лезет на 25 порты крупных мыловарен;
2) Постоянно мониторится значение ключа реестра HKLMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, значение там такое: C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, если убрать строку с ntos.exe, оно тут же появляется снова, причём файла этого в юзер моде не видно. Перехват апишных функций в ядре?
3) После подключения в инет антивирь может задетектить файл со случайным именем с расширением .sys
|
|
|
подробно о проекте
Анализ криптографических сетевых...
