понедельник, 8 декабря 2008 г.

DNSChanger - троян подменяющий адреса dns серверов

Недавно столкнулся на одном из компьютер нестабильно работал интернет.. долго открывались страницы и т.д.

посмотрев в конфигурацию tcp/ip интерфейсов, увидел прописанные dns сервера 85.255.112.115 и 85.255.112.118. попытки поменять их увенчалась неудачей.
Они автоматом прописывались обратно (пытался поменять различными способами, реестр, netsh, в диалоговом окне, все бес толку).

Тут сразу стало понятно что в системе сидит какой то руткит, либо ядра, либо пользовательского уровня.

Характерная особенность данного трояна: наличие параметра System=kdbda.exe (или kbdda.exe) в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
При удалении данного параметра, он пересоздается вновь.. (как и было сказано выше из-за руткита).

Начал копать в интернете.. нашел следующее решение: Необходимо с помощью avz 4.30 выполнить следующий скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
// Удаление файла
DeleteFile('%system32%\kdbda.exe');
// Импорт списка удаленных файлов в настройки Boot Cleaner
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
// Перезагрузка

RebootWindows(true);
end.

avz можно скачать отсюда:
http://www.z-oleg.com/secur/avz/download.php
Аналогичная статья: http://www.z-oleg.com/secur/virlist/vir1278.php


Комментариев нет: