Технический форум - Показать сообщение отдельно

SQL · 19.03.2009, 01:42

Все копии svchost.exe запускаются системным процессом services.exe. Вызовы svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе.

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn
Возьмём например Net-Worm.Win32.Welchia.a
Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами dllhost.exe и svchost.exe.

Содержит текстовые строки:

I love my wife & baby :-)
~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)
~~ sorry zhongli~~~
Романтик не правда ли?

При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing.
В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows.
Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер.
Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно.
Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan.
Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины.
Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins.
Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу.
Но переписать исходник под свои нужды у кого то труда не составит.
Где был 2004 год, то там вполне может быть 2009 и т.д.
Также можно рассмотреть такой вирус как Trojan-Clicker.Win32.Delf.cn
Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя:
http://24***search.com/***irect1.php
Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ.
После запуска троянец копирует себя в следующую папку с именем svchost.exe:
C:\DriverLoad\svchost.exe
Затем регистрирует себя в ключе автозапуска системного реестра ..
Про остальные вирусы можно посмотреть на сайте касперского

19.03.2009, 01:42	#11 (permalink)
SQL Новичок Регистрация: 13.03.2009 Сообщений: 2,101 Записей в дневнике: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1199	Все копии svchost.exe запускаются системным процессом services.exe. Вызовы svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе. Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn Возьмём например Net-Worm.Win32.Welchia.a Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами dllhost.exe и svchost.exe. Содержит текстовые строки: I love my wife & baby :-) ~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-) ~~ sorry zhongli~~~ Романтик не правда ли? При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing. В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows. Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер. Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно. Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan. Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины. Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins. Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу. Но переписать исходник под свои нужды у кого то труда не составит. Где был 2004 год, то там вполне может быть 2009 и т.д. Также можно рассмотреть такой вирус как Trojan-Clicker.Win32.Delf.cn Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя: http://24*search.com/irect1.php Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ. После запуска троянец копирует себя в следующую папку с именем svchost.exe: C:\DriverLoad\svchost.exe* Затем регистрирует себя в ключе автозапуска системного реестра .. Про остальные вирусы можно посмотреть на сайте касперского

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070