msrpc

Ответ от Vlad R.[гуру]
Trojan-Spy.Win32.Lydra.dt
Тип:
Троян
Трояны - вредоносные программы, выполняющие различные несанкционированные действия в системе. Это может быть, в частности, сбор и отправка информации, загрузка из интернета и выполнение другого кода, участие в DoS-атаках, рассылка спама. В отличие от вирусов и червей, трояны не распространяются самостоятельно. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы. Операционная система:
Windows
Уровень:
низкий
Размер:
-
Признаки
При старте создает файлы
%windir%mui
ctfd.sys
%windir%syswin.exe
%windir%lsassv.exe
%windir%msrpc.exe
%windir%calc.exe
%windir%
egedit2.exe
%allusersprofile%Start MenuProgramsStartupAdobeGammaLoader.scr
(Примечание: %windir% - директория, в которую установлена Windows; %allusersprofile% - директория профиля для всех пользователей)
Модифицирует некоторые файлы Windows в директории %windir%.
Запускает себя как системный сервис, стартующий при каждом запуске Windows
Вносит изменения в реестр:
HKLMSOFTWAREClassesCLSID{65D5AFFB-D4EF-49AA-GFFG-5DA5E12E300A}
ThisEXE = %cwd%wokiscan.exe
HKLMSOFTWAREClassesCLSID{65D5AFFB-D4EF-49AA-GFFG-5DA5E12E300A}
VerProg = 0000009B
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
syswin = c:windowssyswin.exe
HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
syswin = c:windowssyswin.exe
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
syswin = c:windowssyswin.exe
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
lsassv = c:windowslsassv.exe
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
msrpc = c:windowsmsrpc.exe
HKLMSYSTEMCurrentControlSetServicessyswin
DependOnGroup =
HKLMSYSTEMCurrentControlSetServicessyswin
DependOnService = RpcSs
HKLMSYSTEMCurrentControlSetServicessyswin
Description = This service manages TCP/IP packets at Internet
HKLMSYSTEMCurrentControlSetServicessyswin
DisplayName = TCPIP route manager
HKLMSYSTEMCurrentControlSetServicessyswin
Group = PlugPlay
HKLMSYSTEMCurrentControlSetServicessyswin
ObjectName = LocalSystem
HKLMSYSTEMCurrentControlSetServicessyswin
ImagePath = c:windowssyswin.exe
HKLMSYSTEMCurrentControlSetServicessyswin
ErrorControl = 00000001
HKLMSYSTEMCurrentControlSetServicessyswin
PlugPlayServiceType = 00000003
HKLMSYSTEMCurrentControlSetServicessyswin
Start = 00000002
HKLMSYSTEMCurrentControlSetServicessyswin
Type = 00000120
HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList
%cwd%wokiscan.exe = %cwd%wokiscan.exe:*:Enabled:System Update
Отключает процессы, принадлежащие антивирусам и другим защитным программам.
Отправляет собранные данные в шифрованном виде по адресам johnhayward843@yahoo.co.uk и nfd984@rambler.ru, используя встроенную процедуру связи с SMTP-сервером или MAPI. Использует SMTP-сервер smtp.mail.ru.
Псевдонимы: Spy-Wokiscan trojan, Trojan-Spy:W32/Lydra.DT.
ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Найти и остановить сервис, созданный трояном.
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Троян-spyware для платформы Windows. Собирает различную информацию с захваченного компьютера, включая ввод с клавиатуры и адреса электронной почты, найденные в файлах на дисках, и отправляет ее по электронной почте атакующему.
Ослабляет настройки безопасности системы.