Перейти к содержанию

Friend's

  • записи
    2
  • комментариев
    0
  • просмотров
    1 819

Trojan.Multi.Accesstr.a


Friend

182 просмотра

Данный вердикт: Trojan.Multi.Accesstr.a используется Лабораторией Касперского для детектирования файлов cmd.exe и powershell.exe, хранящихся под другими именами в системной директории.

 

В схожих запросах от пользователей встречали следующее:
Файл C:\Windows\system32\sethc.exe является cmd.exe, что может быть использовано для получения несанкционированного доступа к системе.
Поскольку оригинальный sethc.exe не был найден, система не была пролечена корректно.
Необходимо самостоятельно заменить файл на оригинальный.
Иными словами, исполняемый файл sethc.exe (который отвечает за вывод сообщения о залипании клавиш) был подменен на cmd.exe. Таким образом можно на этапе логина в систему, сделать "залипание" клавиш и получить доступ к cmd.exe
Стоит сразу проверить указанный файл.

 

В некоторых случаях может быть подменен файл: utilman.exe (отвечает за центр специальных возможностей)

 

Также необходимо проверить следующие файлы и при необходимости заменить на оригинальные:
"%SystemRoot%\\system32\\osk.exe",
"%SystemRoot%\\syswow64\\osk.exe",
"%SystemRoot%\\system32\\magnify.exe",
"%SystemRoot%\\syswow64\\magnify.exe",
"%SystemRoot%\\system32\\displayswitch.exe",
"%SystemRoot%\\syswow64\\displayswitch.exe",
"%SystemRoot%\\system32\\atbroker.exe",
"%SystemRoot%\\syswow64\\atbroker.exe",
"%SystemRoot%\\system32\\utilman.exe",
"%SystemRoot%\\syswow64\\utilman.exe",
"%SystemRoot%\\system32\\sethc.exe",
"%SystemRoot%\\syswow64\\sethc.exe",
"%SystemRoot%\\system32\\easeofaccessdialog.exe",
"%SystemRoot%\\syswow64\\easeofaccessdialog.exe",
"%SystemRoot%\\system32\\narrator.exe",
"%SystemRoot%\\syswow64\\narrator.exe",

 

Найти проблемный файл можно следующим образом:
Сделать сортировку по размеру в папке System32 и сравнить размеры файлов с файлом cmd.exe или powershell.exe

 

Если дело не в нем, то для полноценного анализа детекта в инфраструктуре Лаборатории Касперского потребуются трассировки продукта с захватом детекта: https://support.kaspersky.ru/common/diagnostics/12797#block1
Ссылки по теме:
https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/
https://attack.mitre.org/wiki/Technique/T1015
http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/

 

Продукты Лаборатории Касперского успешно выполняет лечение компьютера при включенной опции: «Лечение активного заражения» в настройках продукта.
НО, успешно оно пройдет только если в системе обнаружится оригинальный файл. Если файла не будет - детект будет повторяться.

  • Спасибо (+1) 3

0 Комментариев


Рекомендуемые комментарии

Комментариев нет

Гость
Добавить комментарий...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...