- Регистрация
- 27.08.13
- Сообщения
- 103
- Реакции
- 103
- Депозит
- 0
- Покупок
-
1
- Продаж
-
1
Анализ Sality руткит
Sality является хорошо известным семейством файлов Infectors (или PE-infectors или просто вирусы). И как вредоносные программы он имеет очень длинную историю эволюции с 2003 года. Последние версии содержат это руткит на борту, чтобы усложнить обнаружение со стороны Антивирусных сканеров.
Драйвер имеет следующие характеристики:
Процессы прекращения через NtTerminateProcess ;
Блокировке доступа к некоторым веб Антивирусным ресурсам через IP-фильтрацию ;
Малый размер ~ 5 Кб.
Согласно анализу, Руткит предназначен для Windows, начиная с NT4 и заканчивая Vista, . Надо сказать заранее, что этот руткит не новый и не содержит некоторые особенности, которые имеют современные руткиты или буткиты. Исследования версией руткитов начилось с начала 2010 года.
Rootkit создает устройство с именем:
\ Device \ amsint32
\ DosDevices \ amsint32 и это сигнал к инфекции.
Rootkit содержит обычный самый известный способ убийства процесса, который используется почти во всех руткитов.
Sality использует старую модель IP-фильтрации для блокирования доступа к веб-ресурсам, которые принадлежат Анивирисным поставщикам. Эта техника называется IP-фильтрация. Дополнительная информация: Windows 2000 Filter-Hook Driver например http://ntdev.h1.ru/ipfilter.html и MSDN http://msdn.microsoft.com/en-us/library/windows/hardware/ff548976(v=vs.85).aspx
Перечень затрагиваемых производителей:
Эта функция требует от драйвера регистрацию функций обратного вызова, которая будет вызываться для IP-пакетов. Эта функция будет решать, что делать с этим пакетом: направить его или удалить.
Зарегистрированный - fnFilterHookIP будет искать присутствие Антивирусных-вендоров строки в данных пакетах. В случае обнаружения он заставляет IP-драйвера выкинуть этот пакет.
Зашифрованные строки антивирусов в его теле:
Обнаружение отношение:
Размер: 5157 байт
Sality является хорошо известным семейством файлов Infectors (или PE-infectors или просто вирусы). И как вредоносные программы он имеет очень длинную историю эволюции с 2003 года. Последние версии содержат это руткит на борту, чтобы усложнить обнаружение со стороны Антивирусных сканеров.
Драйвер имеет следующие характеристики:
Процессы прекращения через NtTerminateProcess ;
Блокировке доступа к некоторым веб Антивирусным ресурсам через IP-фильтрацию ;
Малый размер ~ 5 Кб.
Согласно анализу, Руткит предназначен для Windows, начиная с NT4 и заканчивая Vista, . Надо сказать заранее, что этот руткит не новый и не содержит некоторые особенности, которые имеют современные руткиты или буткиты. Исследования версией руткитов начилось с начала 2010 года.
Rootkit создает устройство с именем:
\ Device \ amsint32
\ DosDevices \ amsint32 и это сигнал к инфекции.
Rootkit содержит обычный самый известный способ убийства процесса, который используется почти во всех руткитов.
Sality использует старую модель IP-фильтрации для блокирования доступа к веб-ресурсам, которые принадлежат Анивирисным поставщикам. Эта техника называется IP-фильтрация. Дополнительная информация: Windows 2000 Filter-Hook Driver например http://ntdev.h1.ru/ipfilter.html и MSDN http://msdn.microsoft.com/en-us/library/windows/hardware/ff548976(v=vs.85).aspx
Перечень затрагиваемых производителей:
Эта функция требует от драйвера регистрацию функций обратного вызова, которая будет вызываться для IP-пакетов. Эта функция будет решать, что делать с этим пакетом: направить его или удалить.
Зарегистрированный - fnFilterHookIP будет искать присутствие Антивирусных-вендоров строки в данных пакетах. В случае обнаружения он заставляет IP-драйвера выкинуть этот пакет.
Зашифрованные строки антивирусов в его теле:
Обнаружение отношение:
Размер: 5157 байт
