Létrehozva: 2008-09-26, 10:18:25
Utolsó frissítés: 2009-11-09, 18:43:52
Platform: Win32
Típus: trójai
Méret: 263544
Dátum: 2008-01-07
Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP
Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2
 

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/PSW.Sinowal.Gen trójai elnevezései az egyes vírusvédelmek szerint:

vírusvédelem elnevezés
Avast Win32:Sinowal
AVG BackDoor.Generic9.OXF
Avira BDS/Sinowal.B
BitDefender Backdoor.Generic.86530
F-PROT W32/Backdoor2.OCR
Fortinet W32/Sinowa.A!tr.bdr
F-Secure Backdoor.Win32.Sinowal.b
Ikarus Trojan-PWS.Win32.Sinowal.gc
vírusvédelem elnevezés
Kaspersky Backdoor.Win32.Sinowal.b
McAfee Generic Packed.g
NOD32 (ESET) probably a variant of Win32/PSW.Sinowal.Gen
Microsoft PWS:Win32/Sinowal.gen!D
Norton Antivirus Trojan.Mebroot
Panda Adware/Lop
Sophos Mal/Sinowa-A
VirusBuster Trojan.DR.Sinowal.Gen.10
 

Fertőzés

A vírusok tevékenységének leglényegesebb célja, hogy más programterületeket fertőzzenek meg. Ezek a programterületek lehetnek programfájlok, programkódot tartalmazó szektorok (boot szektor, MBR - master boot record). Egyes vírusok a fertőzést az egyes területeken különböző eljárással végzik. Előfordulhat az is, hogy egyes speciális állományok (például COMMAND.COM) fertőzésére a víruskód külön algoritmust tartalmaz. A bootvírusok elsődleges célpontja a merevlemezek partíciós táblájában (MBR - Master Boot Record), illetve az operációs rendszer boot szektorában lévő kis betöltő program. Flopi lemezen (mivel ott nem lehetnek partíciók) nincs partíciós tábla, az első szektor a boot szektor. Az első bootvírusok természetszerűleg még nem voltak felkészítve a később megjelent lemezformátumokra. Ennek megfelelően akadnak, amelyek csak a 360 KB-os flopilemezeket, mások csak az 5,1/4 hüvelykes flopikat fertőzik, míg mások már többféle, akár az összes lemezformátum fertőzésére képesek.

A Win32/PSW.Sinowal.Gen trójai a merevlemez MBR-jét fertőzi.

A bootvírusok jelentős hányada nem írja egyszerűen felül a flopilemezek, merevlemezek bootszektorát, illetve a merevlemezek mbr-jét és partíciós tábláját, hanem előtte elmenti az eredeti bootprogramot, illetve mbr és partíciós tábla tartalmakat. Erre több okból is sort kerítenek. Egyrészt csökken a lebukás veszélye, ha a víruskód után az eredeti bootprogram is betöltődik, másrészt a további rejtőzködéshez is elengedhetetlen, hogy a lopakodó vírus az eredeti állapotok látszatát hamisíthassa a valós adatok helyére.

A Win32/PSW.Sinowal.Gen trójai az eredeti MBR-t (Master Boot Record) a 0. cilinder 0. fej 62. szektorába menti el.

Felülírja a 0. fej 0. cilinder következő szektorait:

  • 60
  • 61
image image image image

Eltávolítás

A trójai eltávolításához szükséges alkalmazás letölthető az alábbi linkről: http://download.eset.com/special/EMebRemover.exe