allora...fatto qualche test, ringrazio profondamente
nV 25
premetto che non sono sicuro della veridicità del test, in quanto non sono un esperto e non sono al livello vostro (intendo nV, sirio, ecc)
Nome file: winsyst32
Categoria: rustock (?)
Configurazione VM (Virtual PC):
Win Xp Pro SP2
Account Amministratore
SSM Pro
Sygate 5.5
Analisi VT:
http://www.virustotal.com/it/analisi...fde8c38ad81dee
1.Consento l’avvio del rootkit winsyst32.exe
2.Per prima cosa cerca di terminare explorer
3.mentre facevo lo screen mi è apparso il modulo d’allarme sul caricamento di un nuovo servizio “Win23lzx files loader”..quindi carica un servizio.
4.aggiunto servizio/driver (pe386) e relativa chiave di registro x l’avvio
5.avviso alquanto strano, dato che è presente il soggetto ma non l’oggetto:P… comunque era explorer ad essere terminato (dimostrabile dall’assenza delle icone, scomparse)
6.altra modifica alla stessa chiave di prima…
7.winlogon.exe richiama explorer.exe
8.stessa modifica, sempre alla stessa chiave, con il nuovo servizio…sembra quasi che controlli che la chiave sia inserita correttamente.