Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
Windows User Group - Slovak Republic
prihlásenie
meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí
marec 2024 apríl 2024 máj 2024
po ut st št pi so ne
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 1 2 3 4 5
dnes 28.04.2024 dnes 28.04.2024

kto je online?
počet anonymných užívateľov: 46
počet prihlásených užívateľov: 0
Top 10 najčítanejšie
1.Vytvorenie USB boot jed...
2.Oprava MBR sektoru bez ...
3.Windows 7 download
4.HTPC alebo ako si posta...
5.Windows 7 RC v slovenč...
6.Konzole pro zotavení v...
7.Panika menom Conficker
8.Platené vs Zadarmo
9.Inštalujte Windows z U...
10.Windows 7 RC download -...

Windows User Group - Slovak Republic

Aktuálne hrozby - DNS Changer trojan
Windows User Group - Slovak Republic
Bezpečnosť > bezpečnosť

Aktuálne hrozby - DNS Changer trojan

Windows User Group - Slovak Republic

V poslednom case sa rozmohol virus, ktory meni DNS zaznam pre pristup na siet.


Ako uviedol server dsl.sk 8.12.2008 zacala sa na prelome novembra a decembra sirit nova verzia trojskeho kona DNS Changer.

Tato nova verzia pri infikovaní pocitaca v lokalnej siete spusti vlastny DHCP server, a cez ten nasledne nastavi falosne DNS servery.
Posledne su to adresy 85.255.115.xxx, 85.255.114.xxx,  a sekundarne DNS 85.255.112.xxx. Podla zaznamov ide o ukrajinske servery.

Na disk sa ulozia infikovane subory do \SystemRoot\system32\DRIVERS\

U mnou kontrolovaneho PC to bolo konkretne navaznost na systemove subory:

\SystemRoot\WINDOWS\system32\DRIVERS\tcpip.sys
\SystemRoot\WINDOWS\system32\DRIVERS\netbt.sys
\SystemRoot\WINDOWS\system32\USER32.dll
A infikovane boli subory:
\SystemRoot\WINDOWS\system32\qoMeFwXO.dll
\SystemRoot\WINDOWS\system32\awttssqO.dll


Taktiez bolo poistene spostanie cez register systemu Windows:

\SystemRoot\WINDOWS\system32\HKLM\SYSTEM\ControlSet001\Services\
HKLM\SYSTEM\ControlSet002\Services\
HKLM\SOFTWARE\KasperskyLab\protected\AVP8\profiles\NetWatch\settings\Zones\0000\TimeConnected
HKLM\SOFTWARE\KasperskyLab\protected\AVP8\profiles\NetWatch\settings\Zones\0001\TimeConnected
HKLM\SOFTWARE\KasperskyLab\protected\AVP8\profiles\NetWatch\settings\Zones\0002\TimeConnected
A priamo napojeny subor:
HKU\.DEFAULT\qoMeFwXO.dll
HKU\S-1-5-19\qoMeFwXO.dll
HKU\S-1-5-20\qoMeFwXO.dll
HKU\S-1-5-21-1935655697-602609370-1606980848-1005\qoMeFwXO.dll
\SystemRoot\WINDOWS\system32\awttssqO.dll

 

Infektory sa menia  dynamicky ale detekcia je uspesna cez program GMER (www.gmer.net) a nasledne manualne odstranenie zdetegovanych suborov. Pokial sa nepodari manualne respektive automaticke cistenie systemu a preto je nutne bud obnovenie systemu z bodu obnovy pred infekciou alebo cista instalacia OS.

 

Prvou cinnostou trojskeho kona pri infikacii je hooknutie driverov antiviru a firewallu cim spristupnia zapojenie do botnet siete co je neviditelna cinnost.

Na internete sa nachadzaju momentalne rozne verzie, ktore menia mapovanie domen vo Windows, MacOS X a dokonca aj zmeny na hw routeroch.

 

 
Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Redhawk | štvrtok 18. decembra 2008 11:05 | Prečítané: 7440 x | neohodnotené |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 		 Windows User Group - Slovak Republic
vyhľadávanie

partneri

2 % od Vás pre WUG
2 % od Vás pre WUG

sponzori






Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 Windows User Group Slovensko
Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak Republic