Załatane (złośliwe oprogramowanie)
| Nazwa techniczna | win32/Poprawione |
|---|---|
| Skróty |
|
| Rodzina | Złośliwe oprogramowanie |
| Typ | Wirus komputerowy |
| Podtyp | trojański |
| Izolacja | 2008 |
| Dotyczy to systemów operacyjnych | Microsoft Windows |
Win32/Patched to trojan komputerowy atakujący system operacyjny Microsoft Windows , który został po raz pierwszy wykryty w październiku 2008 roku. Pliki wykryte jako „Trojan.Win32.Patched” to zazwyczaj składniki systemu Windows, które są załatane przez złośliwą aplikację. Cel łatania jest różny. Na przykład niektóre złośliwe oprogramowanie łata komponenty systemu w celu wyłączenia zabezpieczeń, takich jak funkcja Bezpiecznego sprawdzania plików systemu Windows. Inne złośliwe oprogramowanie może dodać części swojego kodu do komponentu systemu, a następnie załatać niektóre funkcje oryginalnego pliku, aby wskazywały na dołączony kod.
Operacja
Ten trojan działa poprzez modyfikację legalnych plików systemowych w zainfekowanym systemie. Ponadto złośliwe oprogramowanie może dodać części swojego kodu do komponentu systemu, a następnie załatać niektóre funkcje oryginalnego pliku, aby wskazywały na dołączony kod. Najczęściej łatane komponenty to:
- winlogon.exe
- wininet.dll
- kernel32.dll
- iexplore.exe
- usługi.exe.
Początkowa infekcja
- Wariant R zastępuje oryginalny legalny plik systemowy "sfc.dll" załataną wersją. Pierwotny plik „sfc.dll” mógł zostać przeniesiony przez złośliwe oprogramowanie do innej lokalizacji na tym samym komputerze. Trojan:Win32/Patched.R może ładować inne pliki. Może być instalowany przez inne złośliwe oprogramowanie.
- Wariant I reprezentuje złośliwe i spakowane programy Win32. Wiele złośliwych programów jest wyposażonych w określone narzędzia, aby uniknąć wykrycia.
- Wariant C definiuje uszkodzone pliki DLL, które są modyfikowane w celu załadowania dodatkowej biblioteki DLL. Ten wariant może również atakować i uszkadzać plik wykonywalny services.exe
- Wariant A może zmodyfikować legalny plik DLL w zainfekowanym systemie.
Objawy
Nie ma wyraźnych symptomów wskazujących na obecność tego złośliwego oprogramowania na zainfekowanej maszynie. Ponadto nie ma typowych objawów związanych z tym zagrożeniem. Jedynym objawem mogą być powiadomienia o alertach z zainstalowanego oprogramowania antywirusowego.
Usuwanie i wykrywanie
Nie zaleca się usuwania, zmiany nazwy lub kwarantanny załatanych składników systemu Windows, ponieważ może to wpłynąć na stabilność systemu. Mimo że system Windows blokuje swoje główne pliki, gdy jest aktywny, nadal można na nie wpływać.
Jeśli oprogramowanie antywirusowe użytkownika wykryje określony plik jako Trojan.Win32.Patched, może spróbować utworzyć kopię załatanego pliku, spróbować przywrócić jego zawartość, a następnie doda polecenie zmiany nazwy do rejestru systemu Windows w celu zastąpienia załatanego pliku oczyszczonym przy następnym uruchomieniu systemu Windows.
Zalecane może być przywrócenie jednego z ostatnich punktów przywracania systemu. W wielu przypadkach poprawiony komponent systemu zostanie zastąpiony czystym. Przed przywróceniem punktu przywracania systemu zaleca się wykonanie kopii zapasowej wszystkich danych osobistych, aby uniknąć ich utraty, gdy system Windows przywróci poprzednio zapisany stan.
Dyski instalacyjne systemu Windows zawierają opcję naprawy, która może zastąpić poprawiony plik.
Inny sposób działania obejmuje podłączenie dysku twardego z załatanym plikiem jako slave do podobnego systemu opartego na Windows, uruchomienie i zastąpienie załatanego pliku plikiem pobranym z czystego systemu.