вообщем,
по
Corkow идея такая (гипотеза, нам полезно измышлять гипотезы.)
(По возможности, если будут темы с новыми заражениями, просьба проверить соответствующие ключи и параметры реестра.)
-----------
по описанию ESET есть два варианта, которые стартуют следующим образом:
Цитата |
---|
The trojan may set the following Registry entries:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "ServiceDll" = "%commonprogramfiles%\microsoft shared\%variable1%.%variable2%"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32] "Default" = "%appdata%\Microsoft Corporation\%variable1%.%variable2%"
This way the trojan ensures that the file is executed on every system start.
|
тот, что стартует из службы lanmanserver всегда есть в образе и легко пролечивается скриптом. + с исправлением параметра на
правильную сервисную dll.
во втором случае троянская dll не всегда, (чаще всего в последнее время) попадает в автозапуск.
В чем здесь дело.
Судя по всему старт трояна идет через ключ автозапуска
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObject
DelayLoad
в котором указан параметр
SysTray
значение же параметра выставлено через CLSID={35CEC8A3-2BE6-11D2-8773-92E220524153}
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
----------------
смотрим в реестре описание CLSID в HKLM
нормальное (в чистых системах) значение такое (и оно есть в образах с темой Corkow):
Цитата |
---|
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}] @="SysTray"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32] @="C:\\WINDOWS\\system32\\stobject.dll" "ThreadingModel"="Both"
|
возможно троян грузится, если в HKCU добавлено переопределение com-объекта?
а именно (как написано в энциклопедии ESET)
Цитата |
---|
[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
"Default" = "%appdata%\Microsoft
Corporation\%variable1%.%variable2%" |
Возможно uVS не проверяет соответствующий ключ из HKCU. (уточню у разработчика)
поскольку несколько раз, когда просили юзеров проверить данный ключ в regedit,
они называли имя файла, т.е. ключ не сокрыт в реестре,
и проверяли файлик на VT с подозрением на Corkow, т.е. файлик тоже не скрыт.