Skocz do zawartości


Zdjęcie

Posiadanie, Indentyfikacja I Usuwanie Trojana Rpcc.payload


  • Zaloguj się, aby dodać odpowiedź
1 odpowiedź w tym temacie

#1 Maciej13

Maciej13

    SecurityMaster

  • 261 postów

Napisano 08 01 2007 - 15:52

Posiadanie, indentyfikacja i usuwanie trojana RPCC.Payload powszechnie znanego jako trojan Gadu-Gadu.

Posiadanie

Najprostszym sposobem posiadania tego syfa jest kliknięcie w zarażony link przesyłany przez komunikator Gadu-Gadu.

Jak wyglądają linki?

Linki z niespodzianką mogą wyglądać wpodobie do tych które stawiam w [/code].

h##p://www.hsqvyrpzeh.info/?ywfdwb.jpg
h##p://www.jvjjuynmfbh.info
h##p://www.andrewmills.org/news_listopad_2006_artukyl_11023.php
h##p://www.sunlitspace.com/artykul13260.html

Oczywiście nie klikamy w linki od nieznajomych. Gdy dostaniesz link od znajomego pierw zapytaj się czy on wysłał tego linka. Również dobrze mógł być to robot spamujący osoby z listy kontaktów poprzez zainfekowanie twojego znajomego.

Jakie szkody wyrządza?

Spamuje twoich znajomych z listy kontaktów linkami w których są ukryte groźne bonusy. Zostajesz zbanowany na Gadu-Gadu. Czas ban`a trwa około 24 godzin jednakże przed odbanowaniem trzeba się uporać z usunięciem gada. Niemożliwość wysyłania wiadomości.

Indentyfikacja trojana.

Tego wirusa można zidetyfikować np. poprzez narzędzie Hijack This oraz Silent Runners.

W Hijack This mamy następujący wpis:

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

Natomiast w Silent Ruuners ujrzymy taki wpisik:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> rpcc\DLLName = "C:\WINDOWS\System32\rpcc.dll”

Usuwanie szkodnika.

1. Jedną, możliwe że najłatwiejszą metodą jest zaopatrzenie się w narzędzie Pocket KillBox. A więc tak.

a) Ściągamy KillBox`a

Odpalamy program w trybie Awaryjnym.

W polu Full Path of File wklejamy lokalizację pliku:

C:\WINDOWS\System32\rpcc.dll

Usuwamy plik z opcji 2 czyli zaznaczamy Delete on reboot.

Na koniec pozostaje nam nacisnąć czerwony X i zresetować komputer.

b ) Otwieramy Notatnik i wklejamy:

Windows Registry Editor Version 5.00 

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]

Plik -> Zapisz jako -> Zmieniamy rozszerzenie z .txt na wszystkie pliki -> Zapisujemy pod nazwą FIX.REG.

Przechodzimy do trybu Awaryjnego. Odpalamy utworzony plik FIX.REG i akceptujemy dodanie do rejestru. Następnie restartujemy komputer.

c) W trybie Normalnym odpalamy Hijack`a i fix`ujemy nim wpis:

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

2. Inna metoda na wykonanie punktu a).

W trybie Normalnym wyłączamy Przywracanie systemu. Startujemy do trybu Awaryjnego. Włączamy pokazywanie plików ukrytych.

-> Plik szukamy ręcznie i znajdując go klikamy PPM na nim i dajemy Usuń. Następnie opróżniamy Kosz i gotowe.

Tam metoda może jednak nie zadziałać ponieważ plik jest jednym z mocniejszych.

Punkt b ) oraz c) się nie zmienia.

3.

a) W trybie Normalnym otwieramy Notatnik i wklejamy:

CD C:\WINDOWS\System32
DEL rpcc.dll

Plik -> Zapisz jako -> Zmieniamy rozszerzenie z .txt na wszystkie pliki -> Zapisujemy pod nazwą FIX.BAT.

Przechodzimy do trybu Awaryjnego. Odpalamy utworzony plik FIX.BAT i akceptujemy dodanie fix`u. Następnie restartujemy komputer.

Punkt b ) i c jest taki sam jak w poprzednich wersjach usuwania.

4.

a) Pobieramy narzędzie The avenger.

Wypakowujemy program np. WinRar`em. Uruchamiamy program i zaznaczamy opcję Input script manually. Następnie klikamy w "lupkę" a w okienku które nam się otworzy wklejamy taki tekst:

Files to delete: 

C:\WINDOWS\System32\rpcc.dll

Klikamy klawisz Done a następnie zielone światło. Na komunikat który się wyświetli odpowiadamy OK.

b ) Nie powinno być już wpisu w rejestrze ale dla pewności wykonujemy standardowo punkt b ).

c) Fix`ujemy wpis podany w 1 opcji usuwania.


Jednakże, możemy się także spotkać z podobny plikiem rpccd.dll więc zamiast pliku rpcc.dll wszędzie w usuwaniu podstawiamy plik rpccd.dll. Przy usuwaniu wpisu w rejestrze w opcji b ) fix będzie wyglądał tak:

Windows Registry Editor Version 5.00 

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpccd]

Jak się przed nim chronić?

-> Zmieniamy komunikator internetowy, np. na Tlen bądź AQQ.

-> Nie klikamy na linki wysyłane przez komunikator Gadu-Gadu

-> Zmieniamy przeglądarkę internetową na Firefox lub Opera

Mam nadzieję że 4 opisy usuwania dają możliwość wyboru więc zamiast formatowania dysków pobawmy się z tym trojankiem. :D

  • 0

#2 Trivelt

Trivelt

    Unix fan

  • 406 postów

Napisano 08 01 2007 - 17:55

Gratulacje Maćku - napisałeś już kilka wartościowych i przydatnych artykułów :D

Dodaję do /index.php?showtopic=5070

PS. Tym razem w odpowiednim dziale :D

  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych