Иллюстрированный самоучитель по Secure Web


Распределенные атаки DoS - часть 6


 Не путайте имя service.exe с именем во множественном числе services.exe

После запуска этого исполняемого файла в системный реестр Windows будет добавлен новый параметр, после чего его автоматический запуск будет выполняться при каждой перезагрузке компьютера.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run System Services: REG_SZ: service.exe

Конечно, это значение будет корректно интерпретироваться, если файл service.exe будет находиться в требуемом каталоге. Программа WinTrinoo прослушивает TCP- и UDP-порт 34555.

Контрмеры


Для того чтобы выявить программу WinTrinoo, нужно проверить сеть на предмет открытого порта с номером 34555 или выполнить поиск файла с именем service. ехе (если он не был переименован) размером 23,145 байт. Кроме такого "ручного" способа можно воспользоваться также антивирусной программой Norton Antivirus компании Symantec, которая автоматически изолирует этот файл еше до его запуска.





Начало  Назад  Вперед