Rutserv exe что это за процесс windows 7
Поймал Rutserv.exe
цель найти откуда растут ноги у этой пакости и как ей удается заново расплодиться
Вложения
 | 321 log.txt (11.3 Кб, 9 просмотров) |
rutserv.exe и rfusclient.exe
Доброго времени. Сегодня заметил, что компьютер начал жутко грузиться и обнаружил в Диспетчере.
Поймал вирус Exe.rehcnual.bat
Добрый день, ребята. Вчера решил скачать старого доброго СТАЛКЕРа,с модами, и при распаковке.
поймал вирус, который грузит процесс svchost.exe на 100%
Здравствуйте, у меня такая проблемка: поймал вирус, который грузит процесс svchost.exe на 100%.
Вложения
 | CollectionLog-2020.06.08-12.11.zip (73.1 Кб, 19 просмотров) |
Решение
Вложения
| CollectionLog-2020.06.08-21.03.zip (61.0 Кб, 1 просмотров) |
 | ClearLNK-2020.06.08_20.47.51.log (6.0 Кб, 1 просмотров) |
Решение
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
Вложения
| frst_addition.zip (30.8 Кб, 10 просмотров) |
Решение
Вложения
| Fixlog.zip (4.4 Кб, 2 просмотров) |
Решение
1. Обязательно восстановите настройки Защитника на значения по умолчанию.
2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
Вложения
| SecurityCheck.txt (15.5 Кб, 2 просмотров) |
Решение
Временно его отключите или удалите. Если не получится, сообщите, будем действовать по-другому.
990x.top
Простой компьютерный блог для души)
rutserv.exe — что это за процесс и как удалить? (RManService)
Приветствую друзья! Мы продолжаем разбираться с неизвестными процессами. Сегодня к нам попал rutserv.exe — постараемся узнать что это, насколько опасный, а также можно ли его удалить.
rutserv.exe — что это такое?
Процесс от ПО Remote Manipulator System (RMS) для удаленного управления компьютером. Данное ПО также используется для создания вируса Program.RemoteAdmin.684.
Также может быть служба TektonIT — RMS Host (RMANService), которой судя по всему и принадлежит процесс rutserv.exe:
Суть: rutserv.exe это может быть спокойно вирус удаленного управления, который построен на легальном ПО (аналог TeamViewer), поэтому антивирусы могут не видеть угрозы.
Процесс может запускаться из папки:
Однако возможно это имеет отношение к обычной версии Remote Manipulator System, не вирусной. Потому что если вирусная модификация, то процессы могут запускать из этих папок:
Сразу видно — специально, чтобы пользователь подумал что это системные файлы. Кроме этого — служба процесса тоже может быть замаскирована и иметь отображаемое название — Quality Windows Audio Video Experience Devices.
Кроме rutserv.exe у вас также может быть и rfusclient.exe, это все одна компашка.
Что еще интересно — может маскироваться даже под некую утилиту обновления драйверов (при этом значок Realtek):
Данное окошко — запрос от встроенного фаервола Windows, который контролирует сетевую активность программ. Простыми словами фаервол сообщает что процесс rutserv.exe хочет установить соединение с интернетом.
rutserv.exe — вирус?
Получается не вирус, а легальное ПО. Но которое может использоваться для удаленного доступа к компьютеру без согласия пользователя.
Однако если использовать легальное ПО в таких незаконных целях — то это будет расцениваться как вирус.
Само по себе Remote Manipulator System (RMS) — не вирус, а программа для удаленного управления ПК. Например чтобы помочь кому-то через интернет или получить доступ к своему же ПК. Аналоги — TeamViewer, AnyDesk.
rutserv.exe — как удалить вирус?
Данный вирус присутствует в базе Dr.Web под названием Program.RemoteAdmin.684, а это говорит о том, что их утилита спокойно справиться с удалением вируса.
Если посмотреть страницу вируса с описанием, то все становится очевидно:
rutserv.exe — явно может быть вирусом, если только вы сами лично не ставили себе ПО для удаленного управления ПК. Про вирус можете почитать здесь.
План действий — проверяем ПК не только утилитой от Доктора Веба, но и еще двумя лучшими утилитами:
Важно! Если у вас нет нормального антивируса, тогда советую поставить бесплатную версию Каспера, а именно Kaspersky Free — базы обновляет, вирусы находит, ПК не грузит (было время тестировал).
Ручное удаление
Внимание! Пере ручным удалением создаем точку восстановления!
Способ нашел на форуме Virusinfo:
Важно! Искать остатки можно не только по слову rutserv, но и по rfusclient, Remote Manipulator System, RMANService, TektonIT. Но смотрите внимательно что удаляете!
990x.top
Простой компьютерный блог для души)
rfusclient.exe что это за процесс, как удалить? (Remote Manipulator System, rutserv.exe)
Современный интернет давно уже стал опасным. Скачанный файл из малоавторитетного сайта может содержать в себе вирус — опасный троян, ботнет, либо рекламный модуль, шпионское ПО. Иногда вирус удалить не составит труда, иногда — удаление превращается в головную боль.
rfusclient.exe — что это такое?
rfusclient.exe — клиентская часть удаленного управления ПК, может использоваться хакерами с целью получить доступ к вашим файлам.
В диспетчере задач процессов rfusclient.exe может быть несколько.
Например могут наблюдаться три процесса.
rfusclient.exe возможно относится к легальному софту — Remote Manipulator System, либо вирус маскируется под него. Однако спокойно может использовать его в хакерских целях. Попадает на ПК при загрузке файлов, склеенных с вирусом, использующий rfusclient.exe.
Оказывается Remote Manipulator System — бесплатная программа удаленного управления ПК разработана российской компанией TektonIT. Является продолжением закрытой ранее программой Remote Office Manager. Вывод — вирус использует данное ПО в своих хакерских целях. Само ПО легально, не является вирусным/опасным. Подробности на вики (особенно интересны возможности).
Из картинки выше узнаем — вирус также может находиться здесь:
USER_NAME — имя вашей учетной записи. Необходимо проверить данную папку, при наличии — удалить.
Вирус может вызывать ошибки, например:
fatal error rfusclient.exe is corrupted
fatal error rfusclient.exe not found
remote manipulator system fatal error rfusclient.exe not found
Причина ошибок: использование ПО не по назначению.
Пример ошибки.
rfusclient.exe — как удалить?
Важно! Перед удалением создайте точку восстановления. Откройте Панель управления > значок Система > Защита системы > выберите системный диск > кнопка Создать > укажите название, например До удаления вируса.
Удаление при помощи реестра. Необходимо вручную просканировать реестр на наличие записей, где упоминается rfusclient. Алгоритм действий:
Важно! Перед поиском убедитесь в отображении скрытых файлов/папок. Для включения — откройте Панель управления (Win + R > команда control), найдите значок Проводник, запустите, на вкладке Вид внизу галочки отвечающие за показ скрытых файлов/папок.
Удаление файловых следов. Поиск файловых следов на системном диске, после нахождения — удалить. При ошибках удаления использовать утилиту для неудаляемых файлов/папок — Unlocker. Алгоритм действий:
Внимание! Необходимо произвести поиск в реестре/среди файлов также по слову rutserv. В реестре дополнительно можно просканировать по Remote Manipulator System/RMP/Remote Utilities.
Использование специальных утилит
Угроза обнаружена давно. Поэтому вероятно сегодня ее уже обнаруживают популярные антивирусные утилиты.
Максимальный эффект даст проверка всеми тремя лучшими утилитами (ссылки ведут на офф сайты):
Комплексное сканирование не является трудным либо особо длительным. Однако способно избавить ПК на 99% от современных угроз. При отсутствии антивируса рекомендую установить бесплатную версию Касперского (не реклама, просто был положительный опыт использования).
Rutserv exe что это за процесс windows 7
Стартовая страница > Файлы > rutserv.exe — Что это такое?
Как удалить rutserv
Rutserv.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли rutserv.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
Вот так, вы сможете исправить ошибки, связанные с rutserv.exe
Информация о файле rutserv.exe
Процесс RMS или TektonIT — R-Server или Remote Utilities принадлежит программе Remote Manipulator System или Remote Manipulator System — Server или Microsoft Visual C (версия 2008 Redistributable) или Remote Utilities от TektonIT или Usoris Systems.
Описание: rutserv.exe не является важным для Windows и часто вызывает проблемы. Файл rutserv.exe находится в подпапках «C:\Program Files». Известны следующие размеры файла для Windows 10/8/7/XP 4,763,992 байт (60% всех случаев), 4,003,328 байт или 3,371,520 байт. 
Нет более детального описания программы. Приложение не видно пользователям. Это не системный процесс Windows. Процесс можно удалить, используя панель инструментов Добавить\Удалить программу. Сертифицировано надежной компанией. Rutserv.exe способен подключится к интернету, записывать ввод данных и мониторить приложения. Поэтому технический рейтинг надежности 48% опасности.
Вы можете удалить программу Remote Manipulator System — Server, обновить её, или попросить помощи у Службы Поддержки Клиентов. Перейти к rmansys.ru для обновления, перейти к rmansys.ru для обращения в Службу Поддержки Клиентов, или нажмите на Remote Manipulator System — Server в Панели управления Windows (раздел Программы и компоненты) для удаления.
Рекомендуем: Выявление проблем, связанных с rutserv.exe
Важно: Некоторые вредоносные программы используют такое же имя файла rutserv.exe, например Artemis!8008E5A7F569 или Artemis!AA338B60904D (определяется антивирусом McAfee), и Gen:Variant.Application.Graftor (определяется антивирусом F-Secure). Таким образом, вы должны проверить файл rutserv.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
| Банально. Программа устанавливается администраторами сетей предприятия для мониторинга деятельности сотрудников в сети интернет. ДенверВашингтон |
Итого: Средняя оценка пользователей сайта о файле rutserv.exe: — на основе 1 голоса с 1 отзывом.
42 пользователей спрашивали про этот файл. Один пользователь оценил, как опасный (программа-шпион, троян, реклама, вирус).
Лучшие практики для исправления проблем с rutserv
Аккуратный и опрятный компьютер — это главное требование для избежания проблем с rutserv. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса rutserv.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
rutserv сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
SpeedUpMyPC бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
Гайд по RMS (создание скрытой сборки, удаленное управление)
Наиболее частый разработчик — компания Famatech Corp.. Самое частое описание этих файлов — Radmin component. Совокупная оценка — 5(5) (комментариев: 1).Это исполняемый файл. Вы можете найти его выполняющимся в диспетчере задач как процесс famitrfc.exe.
Подробности о наиболее часто используемом файле с именем «famitrfc.exe»
Как удалить rutserv
Установка R-Viewer вручную
R-Viewer не требует специальной инсталляции. Для начала, установите R-Viewer на локальном компьютере из официального дистрибутива. Затем скопируйте все файлы и каталоги из папки «C:\Program Files\Remote Manipulator System — Viewer» (по умолчанию) в любую новую папку (например, «viewer»). Все — новая копия R-Viewer готова к работе.
Деинсталляции R-Viewer тоже не требует, просто удалите скопированные ранее файлы.
Как установить R-Server вручную?
Инсталляцию R-Server можно условно разделить на два этапа: установку программы и установку настроек программы.
| • | Установите R-Server на локальном компьютере из официального дистрибутива. |
| • | Скопируйте в новый каталог «server» все папки и файлы из каталога «C:\Program Files\Remote Manipulator System — Server» (по умолчанию). |
| • | Скопируйте созданную директорию «server» в локальный каталог на удаленном компьютере, где нужно установить сервер. |
| • | Для того, чтобы интегрировать сервер с системным брандмауэром Windows необходимо выполнить из командной строки rutserv.exe /firewall. |
Интерпретатор командной строки должен быть запущен от имени пользователя с правами администратора.
Все настройки сервера (порт, привязка к сетевому интерфейсу и другие) хранятся в системном реестре. Вы можете скопировать эти настройки с одного компьютера на другой.
| • | Экспортируйте раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\v4\Server\Parameters в файл, например settings.reg. |
| • | На машине, где нужно установить R-Server выполните команду regedit.exe /s путь_к_файлу\settings.reg |
copy «x:\server\*.*» «c:\windows\system32\rserver\*.*»
regedit.exe /s c:\windows\system32\rserver\settings.reg
| • | Запустите rutserv.exe с ключом /silentuninstall, чтобы деинсталлировать системную службу. |
Если вы пользуетесь компьютером, то, скорее всего, слышали такие термины, как вирусы-черви, боты и троянские программы. Но знаете ли вы, чем они отличаются друг от друга? Большинство из нас считают угрозой компьютеру только вирусы. Однако вирусы представляют лишь один из типов угроз для компьютеров и относятся к категории «вредоносных программ». Защита ПК начинается с изучения различных типов вредоносных программ и принципов их работы.
ВИРУСЫ
Вирусы могут копировать себя и повреждать те файлы в компьютере, на которые они нацелены. Они прикрепляются к исполняемым файлам, таким как песни и видеоролики. Это помогает им легко перемещаться в Интернете от одного пользователя к другому. Вирусы могут атаковать файлы только при поддержке основной программы.
Основные типы вирусов:
СЕТЕВЫЕ ЧЕРВИ
Черви также могут копировать себя, но для нанесения вреда им не нужна активная основная программа. Как только червь попадает в вашу систему, он начинает копировать себя и распространяться в другие компьютеры через сеть или Интернет. Сетевые черви наносят вред компьютеру, потребляя пропускную способность сети и загружая другие вредоносные программы.
ТРОЯНСКИЕ ПРОГРАММЫ
Троянские программы заражают компьютер пользователя, скрываясь под видом безвредных программ. Доверчивые пользователи загружают и запускают троянские программы на своих компьютерах. После своей активации троянские программы позволяют вредоносной программе копировать, изменять, удалять и красть важную информацию.
Основные типы троянских программ:
Боты, или роботы, являются приложениями, которые выполняют автоматические задания на компьютере пользователя. После заражения компьютера ботом последний подключается к центральным серверам и образует сеть из зараженных компьютеров. Такая сеть называется ботнет. С помощью ботнета злоумышленник может запускать крупномасштабные спам-кампании, такие как DDoS-атаки на компьютерные сети.
РЕКЛАМНОЕ ПО
Рекламное ПО отображает или загружает нежелательную рекламу на компьютер пользователя.
Обычно такие программы могут представлять из себя всплывающую рекламу или страницы, перенаправляющие браузер на рекламные веб-сайты. Если рекламная программа не извещает пользователя о сборе информации, то она считается вредоносной и может также содержать шпионское ПО.
ШПИОНСКИЕ ПРОГРАММЫ
Шпионская программа собирает данные с компьютера и отправляет их стороннему источнику без согласия пользователя. Она может отслеживать вашу активность в сети, получать доступ к электронной почте и красть конфиденциальную информацию. Эта информация может содержать учетные данные, номера банковских карт и нажатия клавиш.
ПРОГРАММЫ-ШАНТАЖИСТЫ
Программа-шантажист не позволяет пользователю пользоваться компьютером, пока не будет выплачен «выкуп». Она ограничивает доступ к данным компьютера с помощью шифрования файлов.
What is rutserv.exe?
Чтобы получить ключ шифрования и разблокировать данные, пользователю необходимо выплатить злоумышленнику выкуп.
Как же можно защитить свой ПК от всех вредоносных программ, о которых вы узнали? Вот несколько простых советов.
Чтобы узнать больше о защите ПК от вредоносного ПО, ознакомьтесь с нашей инфографикой здесь.
Защита от Remote Manipulator System
Совсем недавно мы наткнулись на два интересных образца вредоносных программ. Наряду с тем, что вредоносы распространялись в виде документов MS Word с эксплойтом «на борту», их структура предполагала модульность, а степень выявления антивирусными продуктами была невысока в связи с достаточно высоким уровнем обфускации [1] за счет многоразового шифрования. Мы решили взяться за изучение этого malware, а результат изложить в этой статье.
Так выглядели два файла, попавшие в наше поле зрения:
Reported for TRMSCD3L Licence expired.doc
Police report remit expired Licence.doc
Очень часто, исходя из названия, можно дедуктивно догадаться, «кем» и кому предназначен тот или иной вредоносный файл (к примеру: «Договор.doc», «Рахунок на оплату.doc» – для бухгалтеров, «Приказ НБУ №159.doc» – банкам, «Списки захопл. в зоні АТО.doc» – военным, и т.д.). В нашем случае мы можем только догадываться, так как:
— слово «Licence» – написано с ошибкой;
— слова «Licence expired» и «expired Licence» говорят о том, что тематика может касаться срока действия какой-то лицензии;
— строка «TRMSCD3L», если поискать в Google, вообще ассоциируется со SWIFT CODE банка TRUST MERCHANT BANK SARL, находящегося в Демократической республике Конго (г. Лубумбаши).
В общем, в данном случае понять трудно. Видимо, атакующий очень хорошо знал жертву, так как при именовании вредоносных файлов указал целый набор едва связных посылов.
Как правило, изучение вредоносных программ осуществляется с помощью динамического (если возможно) и статического анализа. В статье опишем результаты изучения файла «Reported for TRMSCD3L Licence expired.doc».
Базовый динамический анализ
При открытии файла с помощью MS Word происходит эксплуатация уязвимости (если Вы на своем ПК не обновляли MS Word с 2012 года) и на компьютере создается файл c произвольным именем:
Path: C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\ FileName: yoymbgp.exe Md5: 11b6a2ea17d18c09cc274731f05e89b5
Помимо этого, с целью обеспечения выживаемости, файл добавляется в автозагрузку (рис. 1), для чего в реестр вносятся соответствующие изменения (имя значения также является произвольным):
RegKey Data: C:\Users\%USERNAME% \AppData\Local\Microsoft\Windows\ yoymbgp.exe RegKey Data Type: REG_SZ RegKey Value Name: atk17n5rAA RegKey Name: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Хоть это и примитивно, но мы советуем посматривать в автозагрузку вашего ПК и не допускать присутствия там неведомых вам программ. Чтобы проверить автозагрузку можно воспользоваться как штатным функционалом вашей операционной системы (в командной строке: regedit, msconfig), так и сторонним программным обеспечением.
На следующем этапе вредоносная программа запускает легитимные процессы svchost.exe и внедряет в них вредоносный код, с целью его последующей расшифровки. Эта процедура повторяется несколько раз (вначале статьи мы упоминали о многоразовом шифровании). Также, на этом этапе осуществляется взаимодействие между зараженным компьютером и сервером управления, откуда вредонос скачивает модули. Пример такого сетевого взаимодействия:
HTTP GET-запросы: hxxp:// 95.211.204.14:80/m/228131.zip hxxp:// 95.211.204.14:80/m/721118.zip hxxp:// 95.211.204.14:80/m/958232.zip hxxp:// 95.211.204.14:80/m/855787.zip hxxp:// 95.211.204.14:80/m/5594516.zip HTTP POST-запросы: hxxp://95.211.204.14:443/$rdgate?ACTION=HELLO hxxp://95.211.204.14:443/$rdgate?ACTION=START&ID=877A74B0199241848C931A962ADC55EB hxxp://95.211.204.14:80/test.php hxxp://95.211.204.14:80/f9S52tseWPcDGvbEY+EbYJ4RhUnZm=AUM9a6oYAcOAV1yFsXJvsCWAbvctbESCEjhquFuqiNqF7U+LXCZNvRPI=hTC33NJIGDdksedqqxnxIzDdajIAODy2BOlYTeX6UDngpU1N65nY4namu0clLOMcuLqKCUnhRFOwgl8tn4sYTWZ4ZIEBePs0AkMG5Y1QEiqWBx=V51N3X1MY4u9Oebs8jnhHPwdJ2Twszc7yDt8YAQTWRHPgkAgjNCdrlGsVknyxumtfn7tQVwg3fxRlnshF=YQsjXY0HpwxJZ5Qm7==F8bU9xCPHq6muMltO7J1cbO+JGVFBLNLQ7WqIkT5EEi
Статический анализ
Данный образец вредоносной программы был изрядно запакован – прежде чем приступить к его детальному изучению нам пришлось снять три «слоя» обфускации:
[binary_layer1.exe][6197736aec27686efb6f63e75cac0a6d] [binary_layer2.exe][6c7441ec1b630fd299d8196367aefeea] [binary_layer3.exe][9347cb20a1ec90c61e1ff8ded379fc81]
Последующее изучение проводилось в отношении распакованного образца «binary_layer3.exe». При запуске вредоносной программы первым делом она осуществляет проверку на предмет наличия на зараженном ПК необходимых модулей («check_payload_plugin»), и, при отсутствии, инициирует их скачивание с сети Интернет. Специально для скачивания создается отдельный поток по адресу 0x00419A60 (мы его назвали «create_thread_3»).
Условием выполнение потока 2 («create_thread_2») является наличие в реестре скачанных и записанных в реестр модулей вредоносной программы (рис. 3-4):
RagKey Name: HKCU\Software\Google\Update\network\secure
Пример состояния реестра после скачивания необходимых модулей приведен на рис. 5. Все скачанные модули хранятся в реестре в зашифрованном виде. Имена ключей в реестре также являются произвольными.
Некоторые артефакты сетевого взаимодействия зараженного ПК и сервера управления (IP-адрес сервера управления, а также URL, используемый для отправки HTTP-запроса):
Рассмотрим более детально последовательность действий, выполняемых потоком 2, так как именно он играет ключевую роль в расшифровке вредоносных модулей. Потоком 2 последовательно осуществляется составление списка модулей (рис. 7), расшифровка и проверка их имен (рис. 8). Ключ для расшифровки каждого модуля уникален и является изменяемым значением (рис. 9).
После успешной расшифровки данных, записанных под непонятными именами в реестр, получаем читаемый и говорящий сам за себя список модулей.
Bot_Engine.bin
PONY_STEALER.bin
REMOTE_DESKTOP_SERVICE.bin
SECURITY.bin
VNC_HIDE_DESKTOP.bin
Алгоритм расшифровки модулей может быть описан таким псевдокодом:
enc_byte зашифрованный байт dec_byte расшифрованный байт HIBYTE извлекает старший байт из данного 16-разрядного значения LOBYTE извлекает младший байт из данного 16-разрядного значения HIWORD извлекает старшое слово из данного 32-разрядного значения LOWORD извлекает младшее слово из данного 32-разрядного значения _DWORD двойное слово (4 байта) _WORD слово (2 байта) key ключ, состоящий из 6 байт size размер зашифрованного массива
v0 := *(_DWORD*) key; v1 := *(_WORD*) (key + 4); for (i := 0; i