Rootkit Necurs
Zakraplacz
[Aby zobaczyć linki, zarejestruj się tutaj]
Rootkit
[Aby zobaczyć linki, zarejestruj się tutaj]
Trochę o nim <!-- s
-->
<!-- s
-->
Rootkit necurs to malware który zainfekował już około 83.000 maszyn i jest dostarczany przez Black Hole Exploit Kit.
Necurs jest rootkitem bardzo niebezpiecznym,który potrafi ukrywać swoje składniki przed wykryciem jak i dezaktywować około 30 programów zabezpieczających.
Posiada również funkcjonalność backdoora umożliwiając zdalny dostęp i kontrolę nad zainfekowanym komputerem co za tym idzie ściągać dodatkowe złośliwe oprogramowanie monitorować aktywność wysyłania spamu lub instalowanie scareware.
Klucz necurs umozliwia uniknięcie wykrycia go przed różnymi programami i jest regularnie aktualizowany nawet jak zostaną wykryte w nim bugi autor jest w stanie zdalnie go załatać.
Rootkit zapewnia sobie najwcześniejszy start w systemie (Jest przed programami av i sterownikami systemowymi)
Lista zapobiegania pracy AV
[Aby zobaczyć linki, zarejestruj się tutaj]
Lista zapobiegania pracy różnych sterowników
[Aby zobaczyć linki, zarejestruj się tutaj]
Obraz sterownika zaszyfowanego
[Aby zobaczyć linki, zarejestruj się tutaj]
Obraz sterownika odszyfrowanego
[Aby zobaczyć linki, zarejestruj się tutaj]
Wykonanie
Created process: (null),"C:\Windows\system32\netsh.exe" advfirewall firewall set rule name="Core Networking - System IP Core" dir=in new action=allow enable=yes profile=any,(null)
Created process: (null),"C:\Windows\system32\netsh.exe" advfirewall firewall set rule name="Core Networking - System IP Core" dir=out new action=allow enable=yes profile=any,(null)
Created process: (null),cmd.exe /C del /Q /F "C:\Users\tachion\AppData\Local\Temp\cc990808.tmp",(null)
Defined file type created in Windows folder: C:\Windows\Installer\{DF9D2925-E731-8FB6-D68E-4CEFB6641CED}\syshost.exe
Defined file type created in Windows folder: C:\Windows\System32\drivers\16d2707.sys
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\16d2707\DisplayName = syshost.exe
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\16d2707\ImagePath =
C:\Windows\system32\drivers\16d2707.sys
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\16d2707\Start = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\16d2707\Type = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\syshost32\ImagePath = "C:\Windows\Installer\{DF9D2925-E731-8FB6-D68E-4CEFB6641CED}\syshost.exe" /service
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\syshost32\Start = 00000002
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\syshost32\Type = 00000010
Encrypted data
File copied itself
File deleted itself
Got system default language ID
C:\Windows\Installer\{DF9D2925-E731-8FB6-D68E-4CEFB6641CED}\syshost.exe Connects to "217.172.178.104" on port 80 (TCP - HTTP)
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass. sg [/malware]