Hardware Upgrade Forum - View Single Post

cloutz · 22-03-2009, 11:37

8. crea una nuova dll in system32: pasksa.dll

9. crea un nuovo driver in system32: p81eskse.sys

10. Crea una chiave per avviare p81eskse.sys

11. fino ad ora gli avvisi vedevano i2.exe come parent application..adesso è Services.exe, ormai controllato dal rootkit, che modifica la chiave di p81eskse

12. Services.exe, controllato dall'infezione, va a modificare il "windows service registry root" inserendo un valore Type alla solita chiave HKLM/System/ControlSet001/Services/p81eskse. Il D+ dice chiaramente che tale azione è da bloccare.

13. Sempre services.exe inserirà un valore "Security" alla chiave infetta.

14.Services crea un ulteriore valore: HKLM/System/.../Security/Security

15. i2.exe torna a farsi vedere, prendendo controllo di explorer.exe.

16. Fine dei giochi. Il computer si riavvia e continuerà a riavviarsi allo startup senza mai farmi accedere al Logon.

---------------------------------------------------------------------
L'infezione questa volta è andata a buon fine, in quanto il malware non ha avuto problemi nel creare nuovi valori di registro, cosa che gli è stata impedita nel test precedente grazie all'account limitato.
Le chiavi relative al winlogon erano destinate a fottermi al riavvio, senza permettermi di caricare nè explorer, nè la schermata di Login, nè nient'altro.

Non mi sono chiare tutte le chiavi e i valori di registro che ha creato, purtroppo non ho le conoscenze per sapere cosa voleva attaccare con ciascuna di esse (nonostante ciò sarebbe interessantissimo)

Scusate per la lunghezza del test e le numerose immagini, avrei potuto riportare solo le immagini salienti, ma avrei tagliato parte del test..almeno così ognuno può trarre le conclusioni che vuole e fare diverse osservazioni

Saluti

22-03-2009, 11:37	#137
cloutz Senior Member Iscritto dal: Apr 2008 Messaggi: 2000	8. crea una nuova dll in system32: pasksa.dll 9. crea un nuovo driver in system32: p81eskse.sys 10. Crea una chiave per avviare p81eskse.sys 11. fino ad ora gli avvisi vedevano i2.exe come parent application..adesso è Services.exe, ormai controllato dal rootkit, che modifica la chiave di p81eskse 12. Services.exe, controllato dall'infezione, va a modificare il "windows service registry root" inserendo un valore Type alla solita chiave HKLM/System/ControlSet001/Services/p81eskse. Il D+ dice chiaramente che tale azione è da bloccare. 13. Sempre services.exe inserirà un valore "Security" alla chiave infetta. 14.Services crea un ulteriore valore: HKLM/System/.../Security/Security 15. i2.exe torna a farsi vedere, prendendo controllo di explorer.exe. 16. Fine dei giochi. Il computer si riavvia e continuerà a riavviarsi allo startup senza mai farmi accedere al Logon. --------------------------------------------------------------------- L'infezione questa volta è andata a buon fine, in quanto il malware non ha avuto problemi nel creare nuovi valori di registro, cosa che gli è stata impedita nel test precedente grazie all'account limitato. Le chiavi relative al winlogon erano destinate a fottermi al riavvio, senza permettermi di caricare nè explorer, nè la schermata di Login, nè nient'altro. Non mi sono chiare tutte le chiavi e i valori di registro che ha creato, purtroppo non ho le conoscenze per sapere cosa voleva attaccare con ciascuna di esse (nonostante ciò sarebbe interessantissimo) Scusate per la lunghezza del test e le numerose immagini, avrei potuto riportare solo le immagini salienti, ma avrei tagliato parte del test..almeno così ognuno può trarre le conclusioni che vuole e fare diverse osservazioni Saluti __________________ "Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 22-03-2009 alle 12:15.