Мрак какой-то
Apr. 29th, 2010 11:41 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
metaclassСтолкнулся с трояном, про который почти не знает гугл, и не знают касперский и доктор-веб. Занимается тем, что в тысяче потоков брутит пароли на RDP, где-то взяв список хостов для взъобки. Выглядит как сервис с исполняемым файлом c:\windows\system32\SVCMSV3.EXE или c:\windows\system32\MODULE.EXE. Вроде прячет себя от списка процессов.
Касперский с включенной проактивной защитой и анти-шпионом не дает ему работать, похоже что сервис толи сам выключается, то ли падает с ошибкой, но в общем после этого можно файло удалить. А из реестра нужно выпилить ключик "HKLM\SYSTEM\CurrentControlSet\Services\svcmsv32"
Касперский с включенной проактивной защитой и анти-шпионом не дает ему работать, похоже что сервис толи сам выключается, то ли падает с ошибкой, но в общем после этого можно файло удалить. А из реестра нужно выпилить ключик "HKLM\SYSTEM\CurrentControlSet\Services\svcmsv32"
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2010-04-30 12:36 am (UTC)