Net-Worm.Win32.Padobot.z

06.08.2005

Net-Worm.Win32.Padobot.z

Вирус Net-Worm.Win32.Padobot.z обладает встроенным руткитом. Именно руткитом он и интересен, т.к. качественно маскирует  процессы и файлы и его защитный механизм в принципе работоспособен в 9x и NT.

Фрагмент протокола AVZ:

1. Поиск RootKit и программ, перехватывающих функции API
 >> Опасно ! Обнаружена маскировка процессов
 >>>> Обнаружена маскировка процесса 1184 BCFFFJJ0.exe
 >>>> Обнаружена маскировка процесса 1636 Ojcdjp32.exe
 >>>> Обнаружена маскировка процесса 652 JEBHCCDC.exe
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo

После противодействия руткиту произошло обнаружение процессов:

>>>> Подозрение на маскировку процесса 1184 c:\test\bcfffjj0.exe
 >>>> Подозрение на маскировку процесса 1636 c:\windows\system32\ojcdjp32.exe
 >>>> Подозрение на маскировку процесса 652 c:\windows\system32\jebhccdc.exe

Сам вирус копирует себя в папку System32, имена файлов судя по всему случайные. Файлы ничем не сжаты и не зашифрованы
BCFFFJJ0.exe - размер 13857 байта, содержит открытым текстом заголовки окон популярных антивирусов и Firewall, в частности OfficeScanNT, ZoneAlarm, Panda, Antivirus Norton Antivirus ... и заготовку HTTP апроса
Gdiooi32.exe - размер 46592 байта, не сжат и не зашифрован
После запуска вируса на тестовом ПК обнаружились еще две троянские библиотеки:

c:\windows\system32\esvfo32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s 
c:\windows\system32\ztelhj32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s

как оказалось, они прописаны в ShellServiceObjectDelayLoad.

Лечение
1. Провести сканирование при помощи AVZ с включенным антируткитом
2. Завершить процессы вируса
3. при помощи встроенного поиска файлов найти файлы вируса и удалить их