Quote:
|
Originariamente inviato da pmonti
Dunque, ho infettato qualche altra macchina e fatto ulteriori test, usando anche Gmer durante la fase di forensic analysis: buone notizie, posso confermare quanto avevo gia' scritto. Il trojan Agent.VP NON è responsabile della creazione degli ADS o dell'iniezione delle DLL. Il trojan, di per se', fa esattamente quanto avevo affermato  Evidentemente, gli altri file vengono creati da altri tipi di malware, forse scaricati dallo stesso Agent.VP, che tra l'altro è un trojandownloader.
Riguardo a Gmer: non lo conoscevo, un bel programmino. Riesce a rimuovere la chiave di Registro creata dal trojan, ma non riesce in alcun modo a cancellare il file, restituendo sempre un codice d'errore NTSTATUS (evidentemente usa le funzioni kernel ZwDeleteFile e/o ZwSetInformationFile con FileDispositionInformation) uguale a 0xC0000121, che nel file ntstatus.h del DDK corrisponde all'errore STATUS_CANNOT_DELETE.
Il mio cleaner non ha questo problema e riesce a rimuovere il file 
ciao,
Paolo. |
Paolo,
in anteprima della mia seconda parte (sarebbe quasi pronta
) ti anticipo che l'ultima versione del rootkit fa un checksum scanner per bloccare l'esecuzione di programmi quali The Avenger o Gmer
