[iSTOPa]

Недавно бился с одним трояном (какой-то downloader) в течении нескольких дней. Он при загрузке системы подменяет файл svchost.exe своим svchost.exe, отличающимся только лишь датой создания (по дате я его и нашёл), не меняя при этом свой размер. Родной же файл svchost.exe он копирует в папку Windows\System32\dllcache. Его определяет только Symantec в момент сканирования отправляемых писем. При подсовывании левого svchost.exe ни Symantec, DrWeb и Nod32 ничего не определяют. При заражении компа изменяет название файла boot.ini на BOoT.iNi, то есть ставит метку для себя, что машина уже заражена. Лечится загрузкой с LiveCD и переписыванием родного svchost.exe. Название файла BOoT.iNi сменил в первый день, на след.день комп опять был заражён. Проделал всё тоже самое, но название BOoT.iNi не менял-комп был заражён только через несколько дней этим же трояном, но другой модификации. Такая байда была на некоторых бухгалтерских машинах, посмотрел аналогично на остальных машинах и выяснил, что были заражены только те машины, на которых не стояли апдейты от Microsoft-а. После обновлений заражения
прекратились. По примерному времени заражения компов в логах WinRout-а выяснил, что бухгалтера в данный момент сидели в форумах такскома.
Левый svchost.exe отослал с пояснениями в Symantec.