Hacker Defender là một chương trình mang ñầy ñủ các ñặc tính của rootkit. Nó che dấu ít thông tin về
bản thân nó hơn các công cụ khác. Trong ví dụ này nó ñã ñược ñóng gói với các công cụ thây ma(zombie) khác sử dụng IRC
Hacker Defender ngăn ngừa bị remove bằng cách tránh khỏi sự phát hiện
Công nghệ sử dụng của Hacker Defender
• Có thểẩn các files • Có thểẩn các tiến trình • Có thểẩn các khóa regedit • Có thểẩn các cổng TCP/UDP • Có thểẩn ñĩa mà ñược sử dụng
Thông tin thêm:
http://www.threatexpert.com/report.aspx?md5=a310a5acc8873dd79eae97374bc18dc2 Process Explorer không nhìn thấy gì cả
Và thường xuyên xảy ra thông báo lỗi
Có nhiều tiến trình không thể hiển thị trong Process Explorer Mà IceSword có thể hiện cổng bịẩn ñang lắng nghe
IceSword hiện các dịch vụẩn
Hacker Defender can also be removed with IceSword by killing the process and performing basic removal.
1.6. Look2Me
Look2Me là một chương trình quảng cáo trên các site ñộc hại. Nếu mà ñã bị cài ñặt vào máy tính thì cực kỳ khó gỡ bỏ. Phương pháp chính ñể lẩn tránh việc remove ñược sử dụng bởi họ Look2Me là tiêm nhiễm file DLL và sử dụng công nghệ Winlogon hijacking(ñính file DLL vào khóa notify dưới khóa Winlogon ở
regedit)
Công nghệ chống lại việc remove
• Sử dụng ngẫu nhiên nhiều tên có ñuôi DLL • Tiêm nhiễm vào file winlogon.exe
• Làm lại các khóa regedit bằng việc giả mạo chúng • Remove quyền debug từ tất cả người dùng
Xem thêm thông tin:
http://www.threatexpert.com/report.aspx?md5=24bfa4b48f8692c666924224620907c8 Tiêm nhiễm DLL vào Winlogon
Kill winlogon máy tính có thể sẽ bị lỗi màn hình xanh (BSoD). Phải chọn cách tiếp cận khác Người dùng không debug ñược các chính sách ñã ñược thiết lập
Có thể hiện thị hay kill hết các tiến trình ñã bị remove Hiện cơ chế Winlogon Hijacking trong Regedit
Look2Me sử dụng việc gán thêm một khóa ở Notify khi Winlogon bắt ñầu khởi chạy