Последние Письма Zhelatin

Музыка из фильмов
Новая волна писем Zhelatin в настоящее время выходить. Типичным примером является это письмо:

Привет,

Готовы ли вы веселиться на веб Джокер.

Номер счета: 775152935455
Temp Логин ID: user1160
Ваш пароль ID: px259

Пожалуйста, защитить свой аккаунт, зарегистрировавшись и смене Войти информации.

Используйте эту ссылку, чтобы изменить свой Логин информация: 74.64.28.xx/

Наслаждайтесь,
Подтверждение кафедра
Веб Джокер

Страница, связанная с в сообщении советует пользователю установить "Безопасный Логин Апплет", чтобы просмотреть страницу, которая, конечно же, исполняемый троянский файл - типичное имя applet.exe. Ниже приводится краткий анализ.

Applet.exe файл, при запуске, выполняет стандартные действия Zhelatin: копирования самого себя на C: \ Windows \ spooldr.exe и извлечения файл драйвера в C: \ Windows \ system32 \ spooldr.sys. Он также добавляет, переименовать запись. TMP файла:

HKLM \ System \ CurrentControlSet \ Control \ Session Manager \ PendingFileRenameOperations = C: \ Windows \ System32 \ Drivers \ OLD3.tmp "

Эта запись будет просто удалить файл при перезагрузке. Интересно, что варианты мы рассмотрели до сих пор не пропатчил tcpip.sys файл, чтобы сделать себе автозагрузку. Это делает проще, поскольку удаление tcpip.sys не должны быть восстановлены из резервной копии. (Убедитесь, что цифровой подписи tcpip.sys действует, хотя, в случае, если вы инфицированы этим, и это другой вариант!)

OLD3.tmp файл на самом деле исправленная версия законных файла драйвера Microsoft kbdclass.sys. Троянский версия имеет дополнительные 15 Кб данных приложил к нему. Исходной точкой исправленный файл драйвера была изменена, чтобы она указывала на начало этого дополнительного блока данных. После загрузки файла нагрузки OLD3.tmp spooldr.sys водитель троянский использования встроенных функций Windows API ZWSetSystemInformation.

Spooldr.sys водитель будет, как обычно отключить наиболее распространенных брандмауэров, в том числе встроенный межсетевой экран Windows.

Руководство шаги удаления

1. Перезагрузите компьютер в безопасном режиме без сети
2. Удалить следующие файлы: C: \ Windows \ spooldr.exe, C: \ Windows \ system32 \ spooldr.sys
3. Перезагрузите компьютер в обычном режиме