|
Cek, to ne mora uopste da je od Winamp-a, tj. nije on kriv.
Mislim da sam vec pricao o tome, ali ajmo jos jednom:
Trojanac, kao i jos neke srodne grupe, moze da se 'veze' za neki proces koji je trenutno aktivan.
Neki imaju ciljnju grupu procesa, dok se neki vezuju za svaki proces koji se startuje na racunaru.
E sada, svaki trojanac se sastoji iz vise komponenti. Zasto je to vazno?
KAV je u ovom konkretnom slucaju prepoznao samo jednu komponentu, koja je 'vezana' (injektovana) u read_file.dll, i postoji mogucnost da je sposoban da injekciju ukloni, ali postoji mogucnost da postoje na sistemu aktivne i druge injekcije koje brane ovu, tako da KAV ne moze da je obrise.
Generalno pravilo je da sa prestankom rada zarazenog procesa prestaje i zivot injekcije. Kada KAV-om skeniras komp, a WinAmp nije ukljucen, onda injekcija ni ne postoji. Da bi se resio bede, KAV (ili bilo koji drugi AV, a moze i rucno) je potrebno da prepozna i fajl koji vrsi injekciju (droper), kao i fajlove koji stite injekciju (ukoliko postoje).
Rucno trazenje podrazumeva poznavanje procesa koji su vam normalno aktivni na racunaru, pa onda pregled svih procesa zajedno sa njihovim vezanim procesima (subprocesima). Ukoliko se naidje na sumnjiv dll medju subprocesima ili procesima, onda je potrebno isti pregledati da bi se ustanovilo da li je on taj koji trazimo. Najosnovnija stvar koju mozemo da uradimo je da na taj dll kliknemo desnim dugmetom misa u Exploreru, i da vidimo Properties. Ukoliko je DLL potpisan, to nam moze dati neku ideju o tome da li nam je pozeljan ili ne. Ukoliko uopste nije potpisan, ima velike sanse da je maliciozan.
Utvrditi da li je stvarno maliciozan ili ne je veliki posao, i to sigurno necemo raditi.
Ostaje nam samo mogucnost da taj DLL premestimo privremeno u neki privremeni folder, pa da nakon toga restartujemo racunar.
Ukoliko se infekcija vise ne pojavljuje (u konkretnom slucaju pri ukljucivanju WinAmpa) onda smo nasli krivca.
Ukoliko se nakon restarta DLL sam misteriozno ponovo pojavi na mestu odakle smo ga upravo premestili, onda jos nismo nasli droper, i tesko da mozemo da ga nadjemo na ovakav nacin.
Potrebno je sada pretraziti sve one kljuceve u reg.bazi koji se ticu startup-a, i tamo pokusati da nadjemo nesto sumnjivo.
Svaki DLL koji nema smisleno ime, vec izgleda kao da mu je ime dato nasumicnim nabacivanjem slova i brojeva, takav DLL je sumnjiv i sigurno poseduje droper koji ga formira.
Usli smo u vrzino kolo, koje je tesko moguce rucno resiti. Za ovo je jedini lek da se pojavi definicija za AV koji koristimo, ali stvarno dobra definicija koja podrazumeva i reg.kljuceve koji trebaju da se uklone (KAV ce ovo imati tek u verziji 2006, za sada lovi samo fajlove).
Poenta celog mog posta je da WinAmp ne mora da bude krivac, vec je samo zrtva.
|
