lunedì 2 gennaio 2012

Come Funziona Il Rootkit Rustock B


Rustock B è un virus della tipologia rootkit conosciuto con il nome di Spam-Mailbot.c .
Non ha sintomi rilevanti ed è quindi di difficile individuazione,nato come Trojan backdoor é stato studiato appositamente affinché il soggetto infettato non si renda conto di nulla e permetta all'ideatore del malware di utilizzare la macchina infettata a suo piacimento all'insaputa dell'utente.


-Una volta installato Rustock và ad effettuare una modifica al registro di sistema, inserendo la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\pe386 affinché il file lzx32.sys possa essere caricato ad ogni avvio del sistema operativo,quindi è possibile constatare la presenza di questo trojan virus grazie all’identificazione di questa chiave di registro.
-Per mascherare la sua attività utilizzando avanzate tecniche di rootkit e virus stealth,tenta di nascondersi dalle applicazioni che contengono le stringhe RootkitRevealer,BlackLight,Rkdetector, gmer.exe,endoscope.EXE,DarkSpy & Anti-Rootkit.
-Mantiene memorizzate le informazioni in un file temporaneo:
C:\Windows\TEMP\[NOME_CASUALE].tmp.log in Microsoft Windows 95/98/Me/XP
C:\WINNT\Temp\[NOME_CASUALE]. in Windows NT/2000
-Altera il corretto funzionamento di alcuni file di sistema utilizzati per la comunicazione di rete, riuscendo a bypassare i firewall e manipola i pacchetti.I file di sintema che infetta sono tcpip.sys,wanarp.ss , ndis.sys
-Utilizza tecniche di hijack per modificare la navigazione degli utenti che inviano query a google del tipo:
www.google.com/search?hl=en&q=[KEYWORDS]
-Prova a contattare l’host: 208.66.194.14/index.php?page=main
-Può anche essere utilizzato per inviare spam.

Nessun commento:

Posta un commento