Hetilap

Get the Flash Player to see this player.

Szoftveráruház

Láthatatlanul terjed az NTRootKit trójai

Kristóf Csaba, 2008. július 23., 08:13 - Vírusvédelem

Computerworld címkék: trójai, féreg, vírusadatbázis

Ajánlom ismerősömnek! Nyomtatás Startlaphoz adom!

Az NTRootKit trójai teljesen láthatatlan módon igyekszik minél több feladatot elvégezni a fertőzött számítógépeken.

Az NTRootKit trójainak igazán jó ismertető jele nincs. A fertőzött rendszereken nem végez látványos feladatokat, és a rootkit funkciói révén szinte teljes mértékben képes elrejtőzni. A kártékony program készítői előre meghatározták azokat a fájlokat és folyamatokat, amelyeket a trójainak el kell rejtenie, így nemcsak önmaga láthatatlanná tételére alkalmas, hanem akár windowsos állományokat is képes "eltűntetni".

Az NTRootKit rengeteg módosítást végez a regisztrációs adatbázisban, majd egy távoli szerverhez igyekszik csatlakozni. A trójai elsősorban emailek mellékletében szereplő fertőzött fájlokban és kártékony weboldalakon bukkanhat fel, de fájlcserélő hálózatokon is előfordulhat.

Amikor az NTRootKit trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%windir%\system32\sysrest32.exe
%windir%\system32\sysrest.sys

2. Elindít egy rootkit komponenst, amely a trójai készítői által meghatározott fájlokat, illetve folyamatokat rejti el.

3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LNTRootKitEGACY_SYSREST.SYS\0000\Control\*NewlyCreated*: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSREST.SYS\0000\Control\ActiveService: "sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSREST.SYS\0000\Service: "sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSREST.SYS\0000\Legacy: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSREST.SYS\0000\ConfigFlags: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSREST.SYS\0000\Class: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSREST.SYS\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSREST.SYS\0000\DeviceDesc: "sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\Schannel\TypesSupported: 0x00000007
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys\Enum\0: "Root\LEGACY_SYSREST.SYS\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys\Enum\Count: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys\Enum\NextInstance: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys\Type: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys\Start: 0x00000003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys\ErrorControl:0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys\ImagePath:"\??\%WinDir%\system32\sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys\DisplayName: "sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\0000\Control\*NewlyCreated*: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\0000\Control\ActiveService: "sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\0000\Service: "sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\0000\Legacy: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\0000\ConfigFlags: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\0000\Class: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\0000\DeviceDesc: "sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSREST.SYS\NextInstance: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys\Enum\0: "Root\LEGACY_SYSREST.SYS\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys\Enum\Count: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys\Enum\NextInstance: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys\Type: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys\Start: 0x00000003
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys\ErrorControl: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys\ImagePath: "\??\%WinDir%\system32\sysrest.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys\DisplayName: "sysrest.sys"

4. Megpróbál egy távoli szerverhez csatlakozni.

Kapcsolódó linkek

ISBK - Isidor Biztonsági Központ

Kapcsolódó hírek

Hozzászólások (2 db)

Hozzászólások

ormas

Sajnos nálam is megjelent a Rootkit, de nem tom mit kell tennem? Ha lehet kérek segitséget.

2008. július 24., 15:28

Tamás

Javaslom a CounterSpy telepítését, vagy ezt: http://download.chip.eu/hu/download_hu_380381.html
estleg ezt: http://www.antirootkit.com/ de ez sem rossz: http://free.avg.com/ww.download-avg-anti-spyware-and-anti-rootkit

&Uu ml;dv: Tamás

2008. augusztus 2., 14:04

Apró
Webcast
Konferencia
Videó

DEMO'08 - Befektetési konferencia
(2008. december 10.)
CAD Forum 2008 Gépészeknek
(2009. január 21.)
E-Egészségügy 2009
(2009. február 26.)
Szoftvertesztelés
(2009. március 26.)

Luxuskurzus OKI módra

Sony Ericsson Xperia X1: a legelső benyomások

SOA, okosan

további adások »

Cisco Expo 2008
Regisztráció
Videó

Hálózati közmű - tartalom bármilyen eszközre

Az idei, november 19-20-i budapesti Cisco Expo három fő témakör - videó, kollaboráció és virtualizáció - körül forog majd. György Lászlót, a Cisco Magyarország megbízott ügyvezető igazgatóját többek között arról kérdeztük, hogy a jelenlegi világgazdasági helyzet miként hathat a hálózati piacra.

A Cisco Magyarország immár 11. alkalommal rendezi meg a Cisco Expót, az év legnagyobb hálózati konferenciáját és kiállítását, az iparág szakembereinek és döntéshozóinak legjelentősebb hazai szakmai fórumát.

REGISZTRÁCIÓ A CISCO EXPO 2008 OLDALÁN

Karrier

Középpontban az információs infrastruktúra

SUN szakértői rovat

x86-os szerverek nagygépes tapasztalatokkal

LG Klíma, Mobil Klíma Akció -WEBÁRUHÁZ-
LG, Samsung, Hitachi klíma országos házhozszállítással. Tegye próbára árainkat. Inverteres klíma akció. LG Art Cool Árleszállítás!!!

Tetőablak akció a Velux-Shop-ban!
Velux tetőtéri ablakok, tetőtéri ablak kiegészítők (redőny, reluxa, stb) és egyéb VELUX termékek széles választékban, országos házhozszállítással!

*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!*
Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás

CégMátrix szolgáltatás- és termékkereső portál
Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó

Terjessze és lapozza céges anyagait online
Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.

Partnereink:: Biztonságportál.hu |; aHírek.hu |; C.Enter |; Hírkereső |; Hírstart |; TOPPON! |; WebShop Experts |; VideoSmart.hu

IT Network:: PCWorld.hu |; GameStar.hu |; WorldofWarcraft.hu |; nonstopMobil.hu |; nonstopUzlet.hu |; Sokapro.hu |; jatekozon.hu |; WCG |; HWSW |; GameKapocs

IDG Worldwide:: computerwoche.de |; computerwelt.at |; computerworld.ch |; computerworld.ro