Исправлено (вредоносное ПО) - Patched (malware)

Исправлено
Техническое названиеwin32 / исправлено
Псевдонимы
  • W32 / исправлено. *
  • Win32.Patched. *
  • Вирус: Win32 / пропатчен. *
  • Троян: WinNT / Patched. *
СемьяВредоносное ПО
ТипКомпьютерный вирус
ПодтипТроян
Изоляция2008

Win32 / исправлено это Компьютерный троян нацеленный на Майкрософт Виндоус Операционная система это было впервые обнаружено в октябре 2008 года.[1] Файлы, определяемые как «Trojan.Win32.Patched», обычно являются компонентами Windows, исправленными вредоносным приложением. Цель исправления различна. Например, некоторые вредоносные программы исправляют системные компоненты, чтобы отключить безопасность, например функцию проверки файлов Windows Safe. Другие вредоносные программы могут добавлять части своего кода в компонент системы, а затем исправлять определенные функции исходного файла, чтобы они указывали на добавленный код.[2]

Операция

Этот троянец действует путем модификации легитимных системных файлов в зараженной системе.[3] Кроме того, вредоносная программа может добавлять части своего кода в компонент системы, а затем исправлять определенные функции исходного файла, чтобы они указывали на добавленный код. Наиболее часто исправляемые компоненты:

  • winlogon.exe
  • wininet.dll
  • kernel32.dll
  • iexplore.exe
  • services.exe.[2][4]

Первоначальное заражение

  • Вариант R заменяет исходный допустимый системный файл «sfc.dll» исправленной версией. Исходная «sfc.dll» могла быть помещена вредоносным ПО в другое место на том же компьютере. Троян: Win32 / Patched.R способен загружать другие файлы. Он может быть установлен другим вредоносным ПО.[5]
  • Вариант I - вредоносные, упакованные Win32 программы. Многие вредоносные программы упакованы специальными утилитами, чтобы избежать обнаружения.[6]
  • Вариант C определяет поврежденные файлы DLL, которые изменяются для загрузки дополнительной DLL. Этот вариант также может атаковать и повредить исполняемый файл services.exe.[1]
  • Вариант A может изменять законный файл DLL в зараженной системе.[3]

Симптомы

Нет никаких очевидных симптомов, указывающих на присутствие этой вредоносной программы на пораженной машине. Кроме того, с этой угрозой нет общих симптомов. Уведомления об оповещениях от установленного антивирусного программного обеспечения могут быть единственным признаком (-ами).[1]

Удаление и обнаружение

Не рекомендуется удалять, переименовывать или помещать исправленные компоненты Windows в карантин, поскольку это может повлиять на стабильность системы. Несмотря на то, что Windows блокирует свои основные файлы, пока они активны, все же возможно повлиять на них.

Если ваше антивирусное программное обеспечение обнаружило определенный файл как Trojan.Win32.Patched, вы можете попытаться создать копию исправленного файла, попытаться восстановить его содержимое, а затем оно добавит команду переименования в реестр Windows по порядку для замены исправленного файла на очищенный при следующем запуске Windows.

Может быть рекомендовано восстановление до одной из недавних точек восстановления системы. Во многих случаях исправленный компонент системы будет заменен чистым. Перед восстановлением точки восстановления системы рекомендуется сделать резервную копию всех личных данных, чтобы не потерять их при откате Windows к ранее сохраненному состоянию.

Установочные диски Windows содержат средство восстановления, позволяющее заменить исправленный файл.

Другой способ действий включает в себя подключение жесткого диска с исправленным файлом в качестве ведомого к аналогичной системе на базе Windows, загрузку и замену исправленного файла файлом, взятым из чистой системы.[2]

Профилактика

  • Включите брандмауэр на вашем компьютере.
  • Получите последние компьютерные обновления для всего установленного программного обеспечения.
  • Используйте новейшее антивирусное программное обеспечение.
  • Будьте осторожны при открытии вложений и принятии передачи файлов.
  • Будьте осторожны при переходе по ссылкам на веб-страницы.
  • Защитите себя от атак социальной инженерии.

Рекомендации

  1. ^ а б c Энциклопедия вредоносных программ: Вирус: Win32 / Patched.C, Microsoft, 22 октября 2008 г., получено 2012-07-06
  2. ^ а б c Описание вирусов и угроз: Trojan: W32 / Patched, F-Secure, получено 2012-07-06
  3. ^ а б Энциклопедия вредоносных программ: Вирус: Win32 / Patched.A, Microsoft, 30 сентября 2009 г., получено 2012-07-06
  4. ^ Полевой анализ вируса "TrojanHorse: win32 / Patched.c.LYT", RapidWhiz, заархивировано из оригинал на 2013-01-22, получено 2012-07-06
  5. ^ Энциклопедия вредоносных программ: Вирус: Win32 / Patched.R, Microsoft, 16 января 2010 г., получено 2012-07-06
  6. ^ Энциклопедия вредоносных программ: Вирус: Win32 / Patched.I, Microsoft, 16 января 2010 г., получено 2012-07-06