Перейти к содержанию

Friend's

Блог Friend

Подписчики 0
  • записи
    2
  • комментария
    2
  • просмотра
    3 802

Trojan.Multi.Accesstr.a

Friend

Запись опубликовал Friend ·

2 709 просмотров

 Share Подписчики 1

Данный вердикт: Trojan.Multi.Accesstr.a используется Лабораторией Касперского для детектирования файлов cmd.exe и powershell.exe, хранящихся под другими именами в системной директории.

 

В схожих запросах от пользователей встречали следующее:
Файл C:\Windows\system32\sethc.exe является cmd.exe, что может быть использовано для получения несанкционированного доступа к системе.
Поскольку оригинальный sethc.exe не был найден, система не была пролечена корректно.
Необходимо самостоятельно заменить файл на оригинальный.
Иными словами, исполняемый файл sethc.exe (который отвечает за вывод сообщения о залипании клавиш) был подменен на cmd.exe. Таким образом можно на этапе логина в систему, сделать "залипание" клавиш и получить доступ к cmd.exe
Стоит сразу проверить указанный файл.

 

В некоторых случаях может быть подменен файл: utilman.exe (отвечает за центр специальных возможностей)

 

Также необходимо проверить следующие файлы и при необходимости заменить на оригинальные:
"%SystemRoot%\\system32\\osk.exe",
"%SystemRoot%\\syswow64\\osk.exe",
"%SystemRoot%\\system32\\magnify.exe",
"%SystemRoot%\\syswow64\\magnify.exe",
"%SystemRoot%\\system32\\displayswitch.exe",
"%SystemRoot%\\syswow64\\displayswitch.exe",
"%SystemRoot%\\system32\\atbroker.exe",
"%SystemRoot%\\syswow64\\atbroker.exe",
"%SystemRoot%\\system32\\utilman.exe",
"%SystemRoot%\\syswow64\\utilman.exe",
"%SystemRoot%\\system32\\sethc.exe",
"%SystemRoot%\\syswow64\\sethc.exe",
"%SystemRoot%\\system32\\easeofaccessdialog.exe",
"%SystemRoot%\\syswow64\\easeofaccessdialog.exe",
"%SystemRoot%\\system32\\narrator.exe",
"%SystemRoot%\\syswow64\\narrator.exe",

 

Найти проблемный файл можно следующим образом:
Сделать сортировку по размеру в папке System32 и сравнить размеры файлов с файлом cmd.exe или powershell.exe

 

Если дело не в нем, то для полноценного анализа детекта в инфраструктуре Лаборатории Касперского потребуются трассировки продукта с захватом детекта: https://support.kaspersky.ru/common/diagnostics/12797#block1
Ссылки по теме:
https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/
https://attack.mitre.org/wiki/Technique/T1015
http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/

 

Продукты Лаборатории Касперского успешно выполняет лечение компьютера при включенной опции: «Лечение активного заражения» в настройках продукта.
НО, успешно оно пройдет только если в системе обнаружится оригинальный файл. Если файла не будет - детект будет повторяться.

  • Спасибо (+1) 4

2 Комментария

Рекомендуемые комментарии

madron

Спасибо большое!

Еще раз решил перечитать статью и перепроверить файлы и с удивление обнаружил подменный файл sethc.exe

Заменил файл на оригинальный и ошибка исчезла!

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...