Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в данную темуНачать новую тему
> Вирусы, небольшой словарь, их обнаружение, удаление.
Solo
сообщение 10.01.2005 - 14:33
lamerok
***
орден III степени
Группа: Участник
Сообщений: 221
Регистрация: 12.05.2004
Пользователь №: 3504


Оглавление:


Worm.Win32.Lovesan.a
Worm.Win32.Sasser.b
I-Worm.Mydoom.ab
Win32.Hidrag
Backdoor.Win32.Masteseq.u
Email-Worm.Win32.Breacuk.a
Email-Worm.Win32.Kipis.a
Email-Worm.Win32.Wurmark.b
Net-Worm.Win32.DipNet.a
Trojan.Win32.KillProc.b
Trojandownloader.win32.Krepper.i
Backdoor.Win32.Singu.o
Trojan-Spy.HTML.Fraud.gen
Trojan.Win32.Favadd.d
Worm.Win32.Aler.a
Trojan-Spy.Win32.Briss.i
Trojan-Downloader.Win32.Domcom.a
Net-Worm.Win32.Mytob.h
Email-Worm.Win32.Finaldo.a
Net-Worm.Win32.Bozori.a
W32.Zotob.A
Trojan-Proxy.Win32.Cimuz.z
Email-Worm.Win32.Nyxem.e

Описание, обнаружение, методы лечения:


Алиасы: W32/Blaster.worm.a (McAfee), W32.Blaster.Worm (Symantec), Win32.HLLW.LoveSan.based (Doctor Web), W32/Blaster-A (Sophos), Win32/Msblast.A (RAV), WORM_MSBLAST.A (Trend Micro), Worm/Lovsan.A (H+BEDV), W32/Msblast.A (FRISK), Win32:Blaster (ALWIL), Worm/Lovsan.A (Grisoft), Win32.Msblast.A (SOFTWIN), Worm.Blaster.A (ClamAV), W32/Blaster (Panda), Win32/Lovsan.A (Eset)
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.
Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe".
Содержит текстовые строки:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Признаками заражения компьютера являются:
* Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
* Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
Размножение
При запуске червь регистрирует себя в ключе автозапуска:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса:
20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.

Червь выбирает один из двух методов сканирования IP-адресов:
1. В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.
2. В 2 случаях из 5 червь сканирует подсеть.
Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.
Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.
Прочее
После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться.
C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу.


Алиасы: W32/Sasser.worm.gen.b (McAfee), W32.Sasser.gen (Symantec), Win32.HLLW.Jobaka (Doctor Web), Worm/Sasser.B.2 (H+BEDV), Win32.Worm.Sasser.1.Gen (SOFTWIN), NewHeur_PE (Eset)
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Первые экземпляры червя были обнаружены 30 апреля 2004 года.
Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.
Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.
Признаками заражения компьютера являются:
* Наличие файла "avserve2.exe" в каталоге Windows.
* Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.
Отличия от версии Sasser.a
Данный вариант червя отличается от варианта Sasser.a измененным именем своего файла. Вместо "avserve.exe" используется "avserve2.exe" (соответственно изменен и ключ в системном реестре).
Также изменено на "Jobaka3" название создаваемого идентификатора и добавлена попытка создания еще одного идентификатора "JumpallsNlsTillt".
Кроме этого, изменено число запускаемых процедур заражения - вместо 128 их число увеличено до 1024.
Изменено название лог-файла на "win2.log".


Алиасы: W32/Mydoom.af@MM (McAfee), W32.Mydoom.AG@mm (Symantec), Win32.HLLM.MyDoom.2 (Doctor Web), W32/MyDoom-AG (Sophos), Win32/Swash.A@mm (RAV), WORM_MYDOOM.AF (Trend Micro), Worm/MyDoom.AE (H+BEDV), W32/Mydoom.A@mm (FRISK), Win32:Swash (ALWIL), I-Worm/Swash.A (Grisoft), Win32.Mydoom.3.Gen@mm (SOFTWIN), Worm.Mydoom.Gen-unp (ClamAV), W32/Mydoom.gen.worm (Panda), Win32/Swash.A (Eset)
Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 32КБ (упакован UPX, размер распакованного файла - около 83КБ).
При заражении
После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.
При инсталляции червь копирует себя с именем "lsasrv.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"lsass"="%System%\lsasrv.exe"
Червь создает в системном каталоге Windows файл "version.ini".
При своем запуске червь выгружает из памяти запущенные межсетевые экраны.


Алиасы: W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)
Резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.
При заражении:
Cоздаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:. Никак не проявляет своего присутствия в системе.
Вирус содержит зашифрованные строки:
Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant



Алиасы: BackDoor.Masteseq (Doctor Web), Troj/Mastseq-G (Sophos), TROJ_MASTSEQ.U (Trend Micro)
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 68КБ. Упакована UPX. Размер распакованного файла около 210КБ.
При заражении:
Бэкдор создает следующие вспомогательные файлы в системном каталоге Windows:
* %System%\chkkrnl.msc
* %System%\yzsrv.nld
Бэкдор предоставляет злоумышленнику удаленный доступ к зараженной машине. Бекдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы и получать информацию о системе или
ее владельце.


АлиасыW32.Beaker.A@mm (Symantec), W32/Beaker-A (Sophos), Worm/Breacuk.A (H+BEDV), I-Worm/Breacuk.A (Grisoft), Win32.Beaker.A@mm (SOFTWIN), NewHeur_PE (Eset)
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 16КБ, упакован MEW. Размер распакованного файла — около 69КБ.
Инсталляция
После запуска червь копирует себя в папку Windows с произвольным именем из 5 символов. Например:
* C:\%WinDir%\Fonts\vhpoj.exe
* C:\%WinDir%\system\vhpoj.exe
* C:\%WinDir%\system32\vhpoj.exe
* C:\%WinDir%\Temp\vhpoj.exe
Затем регистрирует себя в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<5 случайных символов>"="C:\%WinDir%\system\vhpoj.exe"
"<5 случайных символов>"="C:\%WinDir%\system32\vhpoj.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<5 случайных символов>"="C:\%WinDir%\Fonts\vhpoj.exe"
"<5 случайных символов>"="C:\%WinDir%\Temp\vhpoj.exe"
Червь создает в памяти уникальный идентификатор "BreaKer_cUk" для определения своего присутствия в системе.
Распространение через email
Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем

Тема письма
Выбирается из списка:
* Re:FW: impossyvel su-lo tanto... :P, vu-lo * Re:FW:(none) * Re:FW:Aid please! :), to see it
* Re:FW:Aide s'il vous plait! :), pour le voir * Re:FW:Ajuda a ajudar-te... :), vu-lo * Re:FW:Ayudame a ayudarte... :), miralo
* Re:FW:Because it is worth ,to see it * Re:FW:Besser Witz des Jahres:), um es zu sehen * Re:FW:Besserer Idiot des Jahres, um es zu sehen
* Re:FW:Besseres Foto des Jahres;), um es zu sehen * Re:FW:Better idiot of the year, to see it * Re:FW:Better joke of the year:), to see it
* Re:FW:Better Photo of the year;), to see it * Re:FW:Ce que nous voulions toujours... :), pour le voir * Re:FW:Che cosa abbiamo desiderato sempre... :), vederli
* Re:FW:Die schlechtere Sache des Jahres, um es zu sehen * Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen * Re:FW:Es imposible serlo tanto... :P, miralo
* Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen * Re:FW:Foto migliore dell'anno;), per vederla * Re:FW:Hilfe bitte!:), um es zu sehen
* Re:FW:Idiot migliore dell'anno, vederlo * Re:FW:Il est impossible d' tre cela tant de ...:P, le voir * Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir
* Re:FW:impossibile a sia tanto... :P, vederlo * Re:FW:It is impossible to be it as much... :P, to see it * Re:FW:La chose plus mauvaise de l'annue, pour le voir
* Re:FW:La cosa pi?ettosa dell'anno, vederla * Re:FW:Le meilleur idiot de l'annue, pour le voir * Re:FW:Lo peor del a o, miralo
* Re:FW:Lo que siempre quisimos... :). miralo * Re:FW:Meilleure Photo de l'annue;), pour le voir * Re:FW:Mejor chiste del a o :),miralo
* Re:FW:Mejor chorrada del a o, miralo * Re:FW:Mejor Foto del a o ;), miralo * Re:FW:Melhor anedota do ano :),vu-lo
* Re:FW:Melhor Foto do ano ;), vu-lo * Re:FW:Mieux plaisanterie de l'annue :), pour le voir * Re:FW:No hay vida sin muerte... :(, miralo
* Re:FW:Non ci vita senza morte... :(, vederla * Re:FW:Nuo hs vida sem morte... :(, vu-lo * Re:FW:O mas idiota, vu-lo * Re:FW:O pior do ano, vu-lo
* Re:FW:O que sempre quisemos... :). vu-lo
* Re:FW:Parce qu'il vaut, le voir * Re:FW:Pois vale. vu-lo * Re:FW:Preis!:D, um es zu sehen * Re:FW:Premio! :D, vederlo
* Re:FW:Premio!!!! :D, miralo * Re:FW:Prix! :D, pour le voir * Re:FW:Prize! :D, to see it
* Re:FW:Prumio!!!! :D, vu-lo * Re:FW:Pues vale. miralo * Re:FW:Scherzo migliore dell'anno:), per vederlo
* Re:FW:Sussidio per favore! :), per vederlo * Re:FW:The worse thing of the year, to see it * Re:FW:There is no life without death... :(, to see it
* Re:FW:Was wir immer ... wollten:), um es zu sehen * Re:FW:Weil das wert ist, es zu sehen * Re:FW:What we always wanted...:), to see it

Текст письма
Выбирается из списка:
* Kaspersky-Antivirus.
Kein Virus Gefundenes
State:Ok
* Symantec-Antivirus.
Noo Vyrus.
State:Ok
* Symantec-Antivirus.
Nessun Virus Found.
State:Ok
* Kaspersky-Antivirus.
No Virus Found.
State:Ok
* F-Secure-Antivirus.
Aucun Virus Constat
State:Ok
* Panda ActiveScan-Antivirus.
No se encontraron virus.
Estado:Ok

Имя файла-вложения
Выбирается из списка:
* anedota2004.zip * Bilge2004.zip * Bonheur.zip * chiste2004.zip * ck.zip * Daswarniewie das.zip * Eskannnichtsein.zip * explodecarros.zip * Exploitedesvoitures.zip * exploitscars.zip * felicidad.zip * felicidade.zip * Foto2004.zip * foto2004.zip * Happiness.zip * Heiligtum.zip * Ihavetouched it.zip * Itcannotbe.zip * Itwasneverlikethat.zip * jamasfueasi.zip * Joke2004.zip * Kielraum2004.zip * L'hotoccato.zip * mehatocado.zip * metocou.zip * nopuedeser.zip * nuncafoiassim.zip * opodeser.zip * Peggiore2004.zip * pegote2004.zip * peor2004.zip * photo2004.zip * Photo2004.zip * pior2004.zip * Plaisanterie2004.zip * Plusmauvais2004.zip * rebientacoches.zip * Renflement2004.zip * Sanctuaire.zip * Sanctuary.zip * Santuario.zip * santuario.zip * Scherzo2004.zip * Schlechter2004.zip * stupido2004.zip * tatAutos.zip * tonto2004.zip * utilizzadelleautomobili.zip * Witz2004.zip * Worse2004.zip

Действие
После запуска на зараженном компьютере червь открывает интернет-страницу.


Алиасы:W32.Kipis.A@mm (Symantec), Win32.HLLM.Dasha (Doctor Web), W32/Kipis-A (Sophos), Win32/Kipis.A@mm (RAV), WORM_KIPIS.A (Trend Micro), Worm/NetSky.AE (H+BEDV), I-Worm/Kipis.A (Grisoft), Win32.Madon.A@mm (SOFTWIN), Worm.Kipis.A (ClamAV), Win32/Kipis.A (Eset)
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows, имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 140КБ.
Червь содержит в себе бэкдор-функцию.
При заражении
Червь копирует себя в корневой каталог Windows с именем "regedit.com":
%WinDir%\regedit.com
В результате при открытии редактора системного реестра ("regedit.exe") на компьютере запускается копия вируса.
Также в корневом каталоге Windows червь создает папку "security", в которую помещает свою копию с именем "svchost.exe":
%WinDir%\security\svchost.exe
В системном каталоге Windows червь создает файл "Jpg.bmp" и пытается открыть его с помощью MS Paint.
Файл "Jpg.bmp" содержит следующую строку:
BMD -:+:- zzzzzzzzzzz
Затем червь регистрирует себя в ключе автозагрузки системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\security\svchost.exe"
Червь создает в памяти уникальный идентификатор "KiPiShx018AxR" для определения своего присутствия в системе.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:
* adb * dbx * doc * htm tbb * txt
Игнорируется отправка писем на адреса, содержащие строки:
* .gov * .hlp * .mil * .txt * .zip * abuse * accoun * admin * antivir * anyone * avp * bigbrother * bitdef * borlan * bugs * bugtraq * confirm * contact * delphiworld * fido * foo. * google * gov. * guninski * help * hotmail * icrosoft * nfo * iruslis * latincards * linux * listserv * mailer * moco2k * mozilla * msn. * msoe * mydomai * nai.c * neohapsis * news * newvir * nodomai * notice * page * panda * pgp * podpiska * postmaster * privacy * rating * register * rfc- * ripe. * secur * sendmail * service * site * soft * software. * sopho * spm111 * strike. * support * syman * the.bat * unix * webmaney * webmaster * where * www.

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Характеристики зараженных писем

Тема письма:
Выбирается из списка:
* Love * Happy New Year * I Love You
Текст письма:
Hello! baby :-)
Server cannot send message.
_____________________________________________
On all questions address in a support service
Имя файла-вложения:
* foto_03.scr * myfoto_04.scr * your present.scr
Размножение через файлообменные сети
Червь создает свои копии с именами, выбираемыми из приведенного ниже списка, во всех подкаталогах, содержащих в своем названии слово "Share":
* DrWeb 4.32 keygen.com * KAV Pro 5.xx keygen.com * Nude Britney Spears.scr * Nude Pic_07.scr * Virtual Girl 2.01.com * WinXP Sp2 key.com
Удаленное администрирование
Червь открывает на зараженной машине TCP порт 1029 для приема команд.
Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор способен загружать из интернета и запускать на исполнение произвольные файлы.
Действие
Kipis.a выгружает из памяти процессы, в именах которых есть следующие подстроки:
___r. * ___synmgr. * avmon * blackice * bscanx * bupw. * dec25. * duba * ewall * filemon. * frw. * gate * guard. * kav * kerio * maniac. * mcafee * nav * nprotect * outpost * regmon. * rfw. * rising * safe * skynet * sphinx. * suchost. * svchosl. * symantec * systra.e * taumon * update * upgrade * winit. * zonealarm



Алиасы: W32.Mugly.C@mm (Symantec), Trojan.MulDrop.1368 (Doctor Web), W32/Wurmark-C (Sophos), Win32/Mugly.C@mm (RAV), WORM_MUGLY.C (Trend Micro), Worm/Wurmark.B (H+BEDV), I-Worm/Wurmark.C (Grisoft), Win32.Wurmark.B@mm (SOFTWIN), Win32/Wurmark.C (Eset)
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
По своим функциям практически идентичен варианту Wurmark.a.
Отличается от него следующими изменениями:
1. Вместо файла "%System%\winit.exe" червь создает файл "%System%\winprotect.exe".
2. Имя файла-вложения в зараженном письме выбирается произвольным образом из списка:
* admire_001.exe * for_you.pif * Hapy-new-year.scr * is_this_you.scr * love_04.scr * Mary-Christmas.scr * Pic_001.exe * Photo_01.pif
3. Червь изменяет файл "%System%\drivers\etc\hosts", дописывая в него нижеприведенный текст и, тем самым, закрывая доступ к следующим ресурсам:
127.0.0.1 localhost
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 update.symantec.com
127.0.0.1 downloads-us2.kaspersky-labs.com
127.0.0.1 downloads-us3.kaspersky-labs.com
127.0.0.1 downloads-us4.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 symantecliveupdate.com
127.0.0.1 symatec.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 ftp.downloads1.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 ftp.downloads1.kaspersky-labs.com
127.0.0.1 ftp.downloads2.kaspersky-labs.com
127.0.0.1 ftp.downloads3.kaspersky-labs.com



Алиасы: Exploit-MS04-011.gen (McAfee), Trojan.Netdepix (Symantec), Win32.HLLW.Oddbob (Doctor Web), W32/Oddbob-A (Sophos), WORM_ODDBOB.A (Trend Micro), Win32.Oddbob.A (SOFTWIN), Win32/Dipnet.A (Eset)
Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 154КБ, упакован UPX. Размер распакованного файла — около 314КБ.
Вирус распространяется, используя уязвимость в Microsoft Windows 2000/XP LSASS.
При заражении:
Червь копирует себя в системный каталог Windows с произвольным именем. Например:
%System%\h2ww.exe
После чего оригинальный файл червя удаляется.
Червь запускает процедуры выбора IP-адресов для атаки и отсылает запрос на порт TCP 445. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость в LSASS, запускает на удаленной машине свой код.


Алиасы: MultiDropper-GP.d (McAfee), PWSteal.Tarno.B (Symantec), Trojan.MulDrop.733 (Doctor Web), Troj/Killproc-B (Sophos), TrojanDropper:Win32/Mena (RAV), TROJ_KILLPROC.B (Trend Micro), Win32:Trojan-gen. (ALWIL), Dropper.Small.GH (Grisoft), Trojan.KillProc.B (SOFTWIN), Trojan.KillAV.BE (ClamAV), Trj/Downloader.G (Panda), Win32/KillProc.B (Eset)
Троянская программа. Является приложением Windows (PE EXE-файл), имеет размер около 5КБ, упакован UPX. Размер распакованного файла около 22КБ.
Trojan.Win32.KillProc.b может быть установлен в систему троянским контейнером TrojanDropper.Win32.OnlineService.
При заражении:
"Троянец" создает в системном каталоге Windows файл "mstu.exe". Выгружает из памяти процессы, имена которых попадают в следующий список:
_AVP32.EXE * _AVPCC.EXE * _AVPM.EXE * AckWin32.exe * ACKWIN32.EXE * ALERTSVC.EXE * ALOGSERV.EXE * Anti-Trojan.exe * ANTS.EXE * ATCON.EXE * ATCON.EXE * ATUPDATER.EXE * ATWATCH.EXE * AutoDown.exe * AutoTrace.exe * AUTOUPDATE.EXE * AVCONSOL.EXE * AVGCC32.EXE * AVGCTRL.EXE * AVGSERV.EXE * AvkServ.exe * AVKSERV.EXE * AVP.EXE * AVP32.EXE * AVPCC.EXE * AVPM.EXE * AVSYNMGR.EXE * AVXMONITOR9X.EXE * AVXMONITOR9X.EXE * AVXMONITORNT.EXE * AVXQUAR.EXE * blackd.exe * blackice.exe * Claw95.exe * Claw95cf.exe * cleaner.exe * cleaner3.exe * cpd.exe * DEFWATCH.EXE * DOORS.EXE * F-AGNT95.EXE * FAST.EXE * F-PROT95.EXE * FRW.EXE * FRW.EXE * GUARD.EXE * GUARD.EXE * iamapp.exe * IAMAPP.EXE * iamserv.exe * IAMSERV.EXE * ICLOAD95.EXE * ICLOADNT.EXE * ICLOADNT.EXE * ICMON.EXE * ICSUPP95.EXE * ICSUPP95.EXE * ICSUPPNT.EXE * ICSUPPNT.EXE * IFACE.EXE * IFACE.EXE * IOMON98.EXE * ISRV95.EXE * JEDI.EXE * LOCKDOWN2000.EXE * LUCOMSERVER.EXE * MCAGENT.EXE * MCAGENT.EXE * Mcshield.exe * MCUPDATE.EXE * MCUPDATE.EXE * MINILOG.EXE * MONITOR.EXE * MOOLIVE.EXE * NAVAPW32.EXE * NAVAPW32.EXE * NAVAPW32.EXE * NavLu32.exe * NAVW32.EXE * Navw32.exe * NDD32.EXE * NeoWatchLog.exe * NeoWatchTray.exe * NISSERV * NISUM.EXE * NMAIN.EXE * NORMIST.EXE * notstart.exe * NPROTECT.EXE * NSCHED32.EXE * NTXconfig.exe * Nupgrade.exe * NVC95.EXE * NWService.exe * outpost.exe * PCCIOMON.EXE * PERSFW.EXE * POP3TRAP.EXE * POPROXY.EXE * REALMON95.EXE * Rescue.exe * RTVSCN95.EXE * Smc.exe * SPHINX.EXE * SPYXX.EXE * SPYXX.EXE * SS3EDIT.EXE * SS3EDIT.EXE * SWNETSUP.EXE * SymProxySvc.exe * SYNMGR.EXE * TAUMON.EXE * TC.EXE * tca.exe * TCA.EXE * TCM.EXE * TDS-3.EXE * TFAK.EXE * TFAK.EXE * TRJSCAN.EXE * VetTray.exe * VPTRAY.EXE * VSECOMR.EXE * VSHWIN32.EXE * VSHWIN32.EXE * VSMON.EXE * VSSTAT.EXE * VSSTAT.EXE * WATCHDOG.EXE * WebScanX.exe * WEBSCANX.EXE * WEBTRAP.EXE * WGFE95.EXE * WRADMIN.EXE * WrAdmin.exe * WRCTRL.EXE * WrCtrl.exe * ZATUTOR.EXE * ZAUINST.EXE * ZONEALARM.EXE



Алиасы: TR/Dldr.Krepper.I.2 (H+BEDV), Downloader.Krepper.L (Grisoft), Trojan.Downloader.Krepper.I (SOFTWIN), Adware/Replace (Panda), TROJ_KREPPER.I (Trend Micro)
Троянская программа. Является приложением Windows (PE EXE-файл), имеет размер около 24КБ, упакована PEC. Размер распакованного файла около 78KБ.
При заражении:
Создает папку «inetdim» в корневом каталоге Windows и копирует себя в эту папку с именем «services.exe».
Затем «троянец» регистрирует себя в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"xp_system"="%WinDir%\inetdim\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"xp_system"="%WinDir%\inetdim\services.exe"
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="%WinDir%\inetdim\services.exe"
Также программа создает следующие ключи и записи в системном реестре:
[HKCU\Software\Microsoft\Internet Explorer\Main]
Enable Browser Extensions = "yes"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\(5321E378-FFAD-4999-8C62-03CA8155F0B3)]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
Троянская программа имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. «Троянец» загружает из интернета и устанавливает на компьютере другую программу (класса AdWare), которая затем перенаправляет интернет-браузер на порталы, с которых на компьютер могут быть установлены другие AdWare-программы, а также другие версии данного «троянца».


Алиасы: Troj/Singu-O (Sophos), Backdoor:Win32/Singu.O (RAV), BDS/Singu.O.2 (H+BEDV), BackDoor.Singu.AG (Grisoft), Bck/Singu.E (Panda), Win32/Singu.O (Eset), BKDR_SINGU.O (Trend Micro)
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 210КБ. Упакована UPX. Размер распакованного файла около 546КБ.
При заражении:
Копирует себя в системный каталог Windows под именем «serve.exe».
Также в системном каталоге Windows бэкдор создает файл «_UsbDriver_.dll».
Затем программа регистрирует себя в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"test"="%System%\serve.exe"
Бэкдор предоставляет злоумышленнику удаленный доступ к зараженной машине.
Бекдор по команде «хозяина» позволяет:
* загружать на зараженную машину любые файлы, запускать, удалять и копировать их;
* сохранять информацию о нажатиях клавиш клавиатуры на зараженном компьютере;
* управлять dial-up соединением, а именно устанавливать или разрывать соединение с интернетом;
* перезагружать или отключать компьютер;
* изменять системный реестр;
* просматривать список процессов, выполняющихся на удалённой машине, завершать различные процессы и получать информацию о системе или ее владельце.


Алиасы: Phish-BankFraud.eml (McAfee), Trojan Horse (Symantec), TrojanSpy:HTML/UrlSpoof.E* (RAV), HTML_SWENFRAUD.A (Trend Micro), TR/URLSpoof.P (H+BEDV), HTML/URLspoof.B@expl (FRISK), VBS.Trojan.Inor.Z.Spoofer (SOFTWIN), HTML.Phishing.Bank-31 (ClamAV), Exploit/URLSpoof (Panda)
Семейство троянских программ, использующее спуфинг-технологию. «Троянцы» реализованы в виде поддельных HTML-страниц. Рассылаются по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, софтверных компаний и т.д.
В письме содержится ссылка, в которой использована Frame Spoof уязвимость в Internet Explorer.
Уязвимость Frame Spoof (MS04-004) присутствует в 5.x и 6.x версиях Microsoft Interner Explorer.
Попадая на сайт, пользователи вводят свои учетные данные, после чего они пересылаются злоумышленникам, и те могут получить полный доступ к управлению конфиденциальной информацией пользователя.


Троянская программа. Является приложением Windows (PE EXE-файл), имеет размер около 67КБ.
При заражении
Создает в корневом каталоге Windows файл "crcspider.ico", новую папку "cracks" в папке "Избранное", в которую помещает следующие ссылки и описания:
(Внимание! Большинство этих страниц буквально напичканы троянами и вирусами!)
! TheBUGS.ws - Security Related Portal
]]>http://www.thebugs.ws]]>
!! CrackSpider.NET - Cracks search engine
]]>http://crackspider.net]]>
allseek.info - The Underground portal
]]>http://allseek.info]]>
anyCracks.com - Keygens, patches, crack
]]>http://anycracks.com]]>
Astalavista - Cracks search engine
]]>http://astalavista.thebugs.ws]]>
bestserials.com - Best serials
]]>http://bestserials.com]]>
CrackPortal.com - Cracks, serial number
]]>http://www.crackportal.com]]>
CrackSpider.DE - Cracks search engine
]]>http://www.crackspider.de]]>
CrackSpider.US - Cracks search engine
]]>http://www.crackspider.us]]>
CrackWay.com - Since 2001 cracks arhive
]]>http://www.crackway.com]]>
iCracks.net - Keygens, patches, crackz.
]]>http://icracks.net]]>
KeyGen.US - Keygens, patches, crackz...
]]>http://keygen.us]]>
mscrack.com - Cracks, serial numbers...
]]>http://mscracks.com
]]>

Троянец создает следующие записи в системном реестре:
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"ButtonText"="Search cracks at CrackSpider.NET"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"MenuText"="Search cracks at CrackSpider.NET"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"MenuStatusBar"="Search cracks at CrackSpider.NET"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"ClSid"="(1FBA04EE-3024-11d2-8F1F-0000F87ABD16)"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Default Visible"="Yes"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Exec"="http://crackspider.net/"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"HotIcon"="\crcspider.ico"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Icon"="\crcspider.ico"
[HKCU\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://crackspider.net/"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Bar"="http://crackspider.net/"

В интерфейс Internet Explorer "троянец" добавляет свою кнопку на "Панель инструментов", которая является ссылкой на www.crackspider.com.
Также "троянец" создает ссылки в меню "Избранное" и меняет стартовую страницу на www.crackspider.com.


Алиасы: W32/Golten.worm, W32.Scard, W32/Aler.a.worm
Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.
Размножение:
1. При помощи спам-рассылки в письмах со следующими характеристиками:
Тема письма:
Latest News about Arafat!!!
Текст письма:
Hello guys!
Latest news about Arafat!
Unimaginable!!!!!

Зараженное письмо содержит 2 файла:
arafat_1.emf - показывающий картинку (обычный JPEG файл);
arafat_2.emf - специальный файл, открывающий EMF-уязвимость (описана в Security Bulletin MS04-032)
2. Также сканирует произвольные IP-адреса компьютеров проверяя наличие операционной системы Windows с открытыми ресурсами, либо не защищенными паролем, либо слабозащищенных паролем:
* 0 * 111 * 123 * 1234 * 12345 * 54321 * 111111 * 123456 * 654321 * 888888 * 1234567 * 11111111 * 12345678 * 88888888 * !@#$ * !@#$% * !@#$%^ * ~!@# * 123!@# * 1234!@#$ * 12345!@#$% * admin * fan@ing* * oracle * pass * passwd * password * root * secret * security * stgzs * super
Далее червь копирует себя на удаленный компьютер с именем "Alerter.exe" или "Alerter16.exe".
При заражении:
Создает в системной папке Windows следующие файлы:
Alerter.exe * Comwsock.dll * Dmsock.dll * Mst.tlb * SCardSer.exe * Spc.exe * Spoolsv.exe * Sptres.dll
И следующие записи в системном реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog]
"Display name"="Net Login Helper"
"ImagePath"="%System%\SCardSer.exe"
Скрывает от пользователя свое присутствие в системе, добавляя себя к уже запущенным процессам Windows ("explorer.exe", "lsass.exe", "outlook.exe").
Действие:
Кроме дальнейшего своего распространения, открывает и затем отслеживает случайный TCP порт для приема команд и/или файлов от "хозяина".


Trojan-Spy.Win32.Briss.i
Trojan-Spy.Win32.Briss.i («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Briss.i («Лаборатория Касперского»), Keylog-Briss (McAfee), Trojan.Briss (Doctor Web), Troj/Bridge-B (Sophos), TrojanDownloader:Win32/Bridge.A (RAV), TROJ_BRIDGE.A (Trend Micro), DR/Bridge.A.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Bridge.A (Grisoft), Trojan.Downloader.Bridge.A (SOFTWIN), Trojan.WinFavorites.Bridge (ClamAV), Spyware/Bridge (Panda), Win32/TrojanDownloader.Bridge.A (Eset)
Объект-компаньон (BHO) Internet Explorer. При запуске создает объект синхронизации (mutex) с именем «Bridge1». С его помощью программа всегда может иметь только одну свою копию в памяти.
Каждый час программа пытается скачать свои обновления с сайта:
www2.flingstone.com/welcome_valid.php?
h_key=&hkey2=
&bundle_id=<>&partner_id=<>
Причем, при составлении запроса использует уникальные данные компьютера пользователя, например, серийный номер жесткого диска и его модель.
Регистрируется как BHO в системе:
[SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\
{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}]
Для своего автозапуска создает ключ реестра:
[SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RunDLL]
Имеет средства удаления себя с компьютера, для чего регистрирует ключ:
[SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\bridge]


Trojan-Downloader.Win32.Domcom.a
Trojan-Downloader.Win32.Domcom.a («Лаборатория Касперского») также известен как: HackTool.Win32.Injecter.b («Лаборатория Касперского»), Trojan.DownLoader.1352 (Doctor Web), TROJ_DOMCOM.A (Trend Micro), TR/Dldr.netei (H+BEDV)
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), имеет размер около 67КБ, упакована UPX. Размер распакованного файла около 166КБ.
После запуска троянец создает в корневом каталоге Windows следующий файл:
%Windir%\loader_exe.dll
Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
"loader32"
Троянская программа имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. Файлы загружаются с сервера www.iehelp.net.


Net-Worm.Win32.Mytob.h
Net-Worm.Win32.Mytob.h («Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM (McAfee), W32.Mytob.O@mm (Symantec), Win32.HLLM.MyDoom.22 (Doctor Web), W32/Mytob-E (Sophos), Win32/Mytob.I@mm (RAV), WORM_MYDOOM.GEN (Trend Micro), Worm/Zusha.A (H+BEDV), W32/Mytob.L@mm (FRISK), Win32.Worm.Mytob.H (SOFTWIN), Worm.Mytob.H-3 (ClamAV), W32/Mytob.G.worm (Panda)
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в упакованном виде — примерно 50 КБ, размер в распакованном виде может быть от 150 КБ до 260 КБ.
Вирус распространяется, используя уязвимость MS04-011.
Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь основан на исходных кодах Email-Worm.Win32.Mydoom.
Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем taskgmr.exe:
%System%\taskgmr.exe
Также червь создает свои копии в корне диска C:\ со следующими именами:
C:\funny_pic.scr
C:\my_photo2005.scr
C:\see_this!!.scr
Затем червь регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\OLE]
[HKCU\Software\Microsoft\Windows\
CurrentVersion\Run]
[HKCU\SYSTEM\CurrentControlSet\
Control\Lsa]
[HKLM\Software\Microsoft\OLE]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices]
[HKLM\SYSTEM\CurrentControlSet\
Control\Lsa]
"WINTASK"="taskgmr.exe"
Также в корне диска C: червь создает файл с именем hellmsn.exe (около 6 КБ), который детектируется Антивирусом Касперского как Net-Worm.Win32.Mytob.f.
Распространение через LSASS-уязвимость
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adb
asp
dbx
htm
php
pl
sht
tbb
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:
.edu
.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Имя отправителя включает в себя один из следующих вариантов:
* adam
* alex
* andrew
* anna
* bill
* bob
* brenda
* brent
* brian
* britney
* bush
* claudia
* dan
* dave
* david
* debby
* fred
* george
* helen
* jack
* james
* jane
* jerry
* jim
* jimmy
* joe
* john
* jose
* julie
* kevin
* leo
* linda
* lolita
* madmax
* maria
* mary
* matt
* michael
* mike
* peter
* ray
* robert
* sam
* sandra
* serg
* smith
* stan
* steve
* ted
* tom

Тема письма:
Выбирается из списка:
* Error
* Good Day
* hello
* hi
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status

Текст письма:
Выбирается из списка:
* Here are your banks documents.
* Mail transaction failed. Partial message is available.
* The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent
as a binary attachment.
* The original message was included as an attachments.

Имя файла-вложения:
Выбирается из списка:
* body
* data
* doc
* document
* file
* message
* readme
* test
* text

Вложения могут иметь одно из расширений:
* bat
* cmd
* doc
* exe
* htm
* pif
* scr
* tmp
* txt
* zip

Удаленное администрирование
Net-Worm.Win32.Mytob.h открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Прочее
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенные строки и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com



Email-Worm.Win32.Finaldo.a («Лаборатория Касперского») также известен как: I-Worm.Finaldo.a («Лаборатория Касперского»), W32/Finaldo.dll (McAfee), W32.Finaldo (Symantec), Win32.Finaldo.51200 (Doctor Web), W32/Finaldo-A (Sophos), Win32/Finaldo.A.dr (RAV), TROJ_FINALDO.A (Trend Micro), W32/Finaldo.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Win32/Finaldo.A.dll (Grisoft), Win32.Finaldo.A@mm (SOFTWIN), W32/Finaldo.A (Panda), Win32/Finaldo.A.Dropper (Eset)
Вирус-червь, распространяющийся через интернет во вложениях в зараженные электронные письма. Вирус заражает исполняемые файлы Windows на локальном компьютере и доступных сетевых дисках.
Вирус резидентный и полиморфный.
Иногда вирус заражает файлы некорректно после чего файлы становятся нерабочими.
Coded_by_CJH
It's only a demo version.
Made in china
Запуск вируса
Вирус в зараженных EXE-файлах Windows зашифрован. При запуске зараженного файла управление получает полиморфная процедура, которая расшифровывает вирусный код подпрограммы-дроппера и передает ей управление. Расшифрованный дроппер извлекает из зараженного файла основное тело вируса, записывает его в файл FINALDOOM.DLL в папку временных файлов Windows и загружает эту библиотеку в память. После этого код дроппера передает управление основной программе зараженного исполняемого файла.
Файл библиотеки обладает атрибутом «скрытый».
Основной вирусный компонент
Главный компонент вируса является Windows PE-библиотекой (файл DLL) размером около 31 КБ. Файл упакован утилитой UPX для PE EXE-файлов.
При запуске, библиотека создает два файла в папке временных файлов Windows: FINALDOOM.EML и FINALDOOM.EXE. Первый — электронное письмо, рассылаемое червем по почте; второй — программа, используемая вирусом для генерации секции MIME для EML-файла.
Вирус остается загруженным в память и перехватывает обращения к четырем функциям Windows API:
* поиск файлов (FindNextFileA, FindNextFileW);
* открытие файлов (CreateFileA, CreateFileW) — вирус заражает файлы EXE, SCR, OCX и изменяет содержимое файлов HTM, HTML, ASP.
Вирус также заражает EXE-файлы на всех открытых на запись сетевых дисках.
Заражение файлов
При заражении EXE-файлов вирус дописывает себя в конец файла. Вирус проверяет название и содержимое файла и не заражает файл NTOSKRNL.EXE и самораспаковывающиеся архивы WinZip и RAR.
При внесении изменений в HTML-файлы, червь добавляет в них команду «open eml file» (схожим образом поступает червь Nimda) и копирует файл FINALDOOM.EML в папку к исправленному HTML-файлу.
Распространение через email
Червь «спит» около 30 минут после заражения компьютера, после чего запускает процедуру саморазмножения. Данная процедура в дальнейшем запускается один раз в 30 минут, т.е. червь рассылает зараженные письма примерно раз в полчаса.
Червь подключается через MAPI к системному почтовому клиенту и «отвечает» на находящиеся в ящиках письма.
Механизм «ответа» на письма схож с примененным в черве Nimda, используется аналогичный эксплойт для автоматического запуска вложения на компьютере-получателе.
Бэкдор
Червь устанавливает на зараженный компьютер бэкдор, обладающий следующей функциональностью:
* загрузка любого файла и запуск его на исполнение на зараженном компьютере;
* перезагрузка компьютера;
* выгрузка бэкдора;
* показ по команде следующего сообщения:
Finaldoom is coming ! Don't worry... It's no harm to your system !


Net-Worm.Win32.Bozori.a («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee)
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10366 байт, упакован UPX. Размер распакованного файла — около 20 KБ.
Червь распространяется, используя уязвимость Microsoft Windows Plug and Play Service Vulnerability (MS05-039).
Принцип работы червя очень схож с тем, что был использован в червях Lovesan (в августе 2003 года) и Sasser (в мае 2004 года), за исключением того, что Lovesan и Sasser использовали уязвимости в других службах Windows — RPC DCOM и LSASS.
Заражению подвержены компьютеры, работающие под управлением Windows 2000. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь содержит в себе функцию бекдора, принимающего команды по каналам IRC.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем wintbp.exe:
%System%\wintbp.exe
Червь регистрирует этот файл в ключах автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wintbp.exe"="wintbp.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
После чего оригинальный запускаемый файл удаляется.
Червь создает уникальный идентификатор «wintbp.exe» для определения своего присутствия в системе.
Распространение по сети
Червь открывает на зараженном компьютере TFTP-сервер на порту UDP 69, после чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, открывает на нем TCP-порт 8594 и загружает свою копию на уязвимый компьютер. После чего запускает на исполнение свою копию на удаленной машине.
Удаленное администрирование
Net-Worm.Win32.Bozori.a соединяется с IRC-сервером 72.20.**.115 для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Прочее
После заражения инфицированная машина выводит сообщение об ошибке, после чего может попытаться перезагрузиться.


W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе, описанную в бюллетене безопасности MS05-039. MS05-039.
W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4. Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров.
При запуске W32.Zotob.A выполняет следующие действия:
1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R
2. Копирует себя как %System%\botzor.exe.
3. Добавляет значение:
"WINDOWS SYSTEM" = "botzor.exe"
в подключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
4. Изменяет значение:
"Start" = "4"
в ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess
чтобы отключить Shared Access сервис в Windows 2000/XP.
5. Соединяется с IRC сервером на домене [http://]diabl0.turkcoders.net/[REMOVED] по 8080 TCP порту. Что дает удаленный неавторизованный доступ.
6. Открывает FTP сервер по 33333 TCP порту .
7. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x.
8. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039.
9. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем:
%System%\2pac.txt
10. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере:
%System%\haha.exe
11. Добавляет следующие записи в хост файл:
.... Made By .... Greetz to good friend [REMOVED] in the next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com



(«Лаборатория Касперского») также известен как: Trojan.Mzu (Doctor Web)
Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Представляет собой Windows PE EXE-файл. Имеет размер 39397 байт. Упакована FSG. Размер распакованного файла — 135168 байт.
После запуска троянец копирует себя в системный каталог Windows с именем mdms.exe:
%System%\mdms.exe
Затем регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SysMemory manager"="%System%\mdms.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Также в системном каталоге Wi

Сообщение отредактировано Solo - 14.02.2006 - 11:15
Перейти в начало страницы
 
+Цитировать сообщение
Solo
сообщение 14.02.2006 - 11:12
lamerok
***
орден III степени
Группа: Участник
Сообщений: 221
Регистрация: 12.05.2004
Пользователь №: 3504



Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.
Инсталляция

После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:
%System%\Sample.zip

При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc


Червь также сканирует файлы, имеющие в своем имени следующие подстроки:
content
temporary

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Тема письма:
  • *Hot Movie*
  • A Great Video
  • Arab sex DSC-00465.jpg
  • eBook.pdf
  • Fuckin Kama Sutra pics
  • Fw:
  • Fw: DSC-00465.jpg
  • Fw: Funny (IMG:http://forum.netall.ru/style_emoticons/default/smile.gif)
  • Fw: Picturs
  • Fw: Real show
  • Fw: SeX.mpg
  • Fw: Sexy
  • Fwd: Crazy illegal Sex!
  • Fwd: image.jpg
  • Fwd: Photo
  • give me a kiss
  • Miss Lebanon 2006
  • My photos
  • Part 1 of 6 Video clipe
  • Photos
  • Re:
  • Re: Sex Video
  • School girl fantasies gone bad
  • The Best Videoclip Ever
  • You Must View This Videoclipe!
    Текст письма:
  • ----- forwarded message -----
  • >> forwarded message
  • forwarded message attached.
  • Fuckin Kama Sutra pics
  • hello, i send the file. Bye
  • Hot XXX Yahoo Groups
  • how are you? i send the details.
  • i attached the details. Thank you.
  • i just any one see my photos. It's Free (IMG:http://forum.netall.ru/style_emoticons/default/smile.gif)
  • Note: forwarded message attached. You Must View This Videoclip!
  • Please see the file.
  • Re: Sex Video
  • ready to be FUCKED (IMG:http://forum.netall.ru/style_emoticons/default/wink.gif)
  • The Best Videoclip Ever
  • VIDEOS! FREE! (US$ 0,00)
  • What?
    Имя файла-вложения:
  • 007.pif
  • 04.pif
  • 3.92315089702606E02.UUE
  • 677.pif
  • Attachments[001].B64
  • document.pif
  • DSC-00465.Pif
  • DSC-00465.pIf
  • eBook.PIF
  • eBook.Uu
  • image04.pif
  • New_Document_file.pif
  • Original Message.B64
  • photo.pif
  • School.pif
  • SeX.mim
  • WinZip.BHX
  • Word_Document.hqx
  • Word_Document.uu[/size]

    Распространение через открытые сетевые ресурсы
Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:
ADMIN$
C$

Прочее

В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"APVXDWIN"
"avast!"
"AVG_CC"
"AVG7_CC"
"AVG7_EMC"
"AVG7_Run"
"Avgserv9.exe"
"AVGW"
"BearShare"
"ccApp"
"CleanUp"
"defwatch"
"DownloadAccelerator"
"kaspersky"
"KAVPersonal50"
"McAfeeVirusScanService"
"MCAgentExe"
"McRegWiz"
"MCUpdateExe"
"McVsRte"
"MPFExe"
"MSKAGENTEXE"
"MSKDetectorExe"
"NAV Agent"
"NPROTECT"
"OfficeScanNT Monitor"
"PCCClient.exe"
"pccguide.exe"
"PCCIOMON.exe"
"PccPfw"
"Pop3trap.exe"
"rtvscn95"
"ScanInicio"
"ScriptBlocking"
"SSDPSRV"
"TM Outbreak Agent"
"tmproxy"
"Vet Alert"
"VetTray"
"VirusScan Online"
"vptray"
"VSOCheckTask"


Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки:
fix
kaspersky
mcafee
norton
removal
scan
symantec
trend micro
virus


Червь удаляет все найденные файлы из следующих папок:

%ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe

Все перечисленные действия червя делают систему более уязвимой для последующих атак.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры.

Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:
dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip


Испорченные файлы содержат следующий текст:
DATA Error [47 0F 94 93 F4 F5]


Рекомендации по удалению:
  1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
  2. В диспетчере задач найдите процесс с одним из следующих имен:
    New WinZip File.exe
    rundll16.exe
    scanregw.exe
    Update.exe
    Winzip.exe
    WINZIP_TMP.EXE
    WinZip Quick Pick.exeЕсли обнаружите такой процесс — завершите его.
  3. Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки:
    %System%\New WinZip File.exe
    %System%\scanregw.exe
    %System%\Update.exe
    %System%\Winzip.exe
    %System%\WINZIP_TMP.EXE
    %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
    %Windir%\rundll16.exe
  4. Удалите из системного реестра следующую запись: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "ScanRegistry"="scanregw.exe /scan"
  5. Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
  6. В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение.
Перейти в начало страницы
 
+Цитировать сообщение
Dread
сообщение 16.03.2006 - 17:29
Когда меня принес аист, родители смеялись и хотели взять аиста
***
орден III степени
Группа: Участник
Сообщений: 262
Регистрация: 9.10.2003
Пользователь №: 369


Trojan-Downloader.Win32.Delf.bn
[/b]роянская программа выполняется на операционных системах Windows. Представляет собой HTML-страницу. Размер файла — 45699 байт. Содержит JavaScript, использующий уязвимость в Microsoft Internet Explorer 5.01, 5.5 и 6.0, известную как Local Executable Invocation via Object tag (MS02-015).

Первоначально данный троянец был разослан при помощи спам-рассылки.

В начале HTML-файла находится архив с троянской программой, имеющий формат Microsoft Cabinet.

Находящаяся в архиве троянская программа представляет собой исполняемый PE EXE-файл. Написана на языке Delphi. Имеет размер 67073 байта.

Инсталляция

Скрипт страницы содержит обработчик события загрузки страницы, который каждые полсекунды вызывает функцию, внедряющую трояна в систему. Троянский код ждет пока браузер перейдет в автономномный режим, после чего создает новое окно с координатами -10000, -10000. В окне открывается страница с помещенным на ней троянским ActiveX-компонетом.

Программа установки ActiveX-компонентов распаковывает из содержащегося в веб-странице архива файл totalworm.dll во временную папку «%Windir%\Downloaded Program Files», после чего загружает и регистрирует в системе содержащийся в нем ActiveX-компонент. Файл totalworm.dll имеет размер 85504 байта и является динамической библиотекой Windows. При загрузке этой библиотеки она дешифрует встроенный в нее EXE-файл и сохраняет его в системный каталог Windows с именем systemxp.exe (размер 67073 байт):

%System%\systemxp.exe

После чего данный файл запускается на исполнение и регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Systemxp"="%System%\systemxp.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец изменяет следующую запись в системном реестре, чтобы заблокировать работу с системным реестром Windows: [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1"

Деструктивная активность

Троянец пытается установить соединение с интернетом используя функции библиотеки wininet:

1. Инициализирует интернет соединение случайным образом, выбирая тип подключения «direct» или используя системные настройки.

2. Запускает поток, который в цикле 300 раз с задержкой 10 миллисекунд ищет в системе диалог дозвона к интернету, если находит — скрывает его и имитирует нажатие на кнопку дозвона.

3. Пытается связаться с адресом ]]>http://www.google.com]]>, после этого делает задержку в 5 минут и повторяет попытку.

Если удается соединиться с интернетом, программа открывает следующий URL:

]]>http://www.***ivizion1.wz.cz/echo.php]]>

Далее троянец пытается выполнить загрузку других файлов из интернета.

При успешном соединении с интернетом троянец открывает следующий URL:

]]>http://www.***ivizion1.wz.cz/isexe.php]]>

и ждет ответа от сервера. Если возвращается строка «ok», то троянец удаляет файл sys9x1old.exe из системного каталога Windows, если такой существует. Если в системном каталоге ОС существует файл sys9x1.exe, троянец переименовывает его в sys9x1old.exe.

После чего троянец соединяется со следующим URL:

]]>http://www.***ivizion1.wz.cz/getexefile.php]]>

принимает данные с сервера и записывает их в файл sys9x1.exe расположенный в системном каталоге ОС.

После окончания приема данных запускает этот файл на выполнение. Также при определенных условиях троянец блокирует работу с диспетчером задач Windows.





not-virus:Hoax.Win32.CardGen.a
Программа-обман. Создана для взлома платежной системы WebMoney. Размер программы — 284672 байта.


Программа предлагает без ограничений генерировать деньги в системе WebMoney.

При старте программы необходимо выбрать валюту и установить необходимые настройки. После нажатия на кнопку «Создать Fly кошелек» выдается сообщение:

Зарегистрируйте программу!!!

При нажатии на кнопку «Регистрация» предлагается перевести деньги на электронный кошелек в системе WebMoney.

То есть, по умолчанию программа не выполняет никаких действий. Для того чтобы «полноценно» воспользоваться «функционалом» программы нужно ее зарегистрировать, заплатив деньги авторам.

Выдержка с сайта разработчиков программы:

Программа сама по себе бесплатна, но платная регистрация, конечно же без регистрации программа работать не будет. Регистрационный ключ для активации программы стоит 18$. (раздел регистрация) С помощью демо-версии вы сможете набрать 300WMZ для покупки полной версии программы FlyWM (FlyWM - Real). Также Вы можете остановиться на достигнутом и забрать сгенерированные 300WMZ, но смысла в этом мало, т.к. с помощью приобретённой программы FlyWM — Real Вы сможете генерировать 50WMZ за раз, никаких ограничений на программе не стоит, Вы сможете генерировать деньги хоть каждую минуту:

Гарантии! Подумайте сами, какие гарантии мы Вам можем дать. Мы вам можем сказать что "Программа работает" и "Мы вам ее вышлем" остальное - ваши проблемы. Мы не ставим для себя цели распространить эту программу по «всему инету». Естественно, что после оплаты регистрации обещанный функционал лишь имитируется. Данная программа ничего не генерирует и является программой-подделкой.




Trojan-Downloader.Win32.Small.bpz

[/b]Троянская программа, загружающая из интернета файлы без ведома пользователя. Представляет из себя исполняемый PE EXE-файл. Работает на операционных системах Windows. Написана на языке C. Упакована FSG. Размер зараженных файлов незначительно варьируется в пределах от 2800 до 5600 байт.


После запуска троянец пытается загрузить файл с различных URL, которые содержатся в теле троянца. Скаченный из интернета файл сохраняется с именем 1213.4516.exe во временном каталоге Windows:

%Temp%\1213.4516.exe

Если такой файл уже существовал, он удаляется.

Затем загруженный файл копируется в системный каталог Windows с именем split.exe:

%System%\split.exe

После этого файл запускается на исполнение. В случае существования данного файла он просто запускается, при этом он заново из интернета не загружается.

В случае неудачной попытки загрузить файл, происходит задержка на 5 минут, затем попытка повторяется.

Другие названия Trojan-Downloader.Win32.Small.bpz («Лаборатория Касперского») также известен как: Generic Downloader.h (McAfee), Trojan Horse (Symantec), Trojan.DownLoader.4472 (Doctor Web), TR/Dldr.Small.bpz (H+BEDV), Downloader.Generic.GIB (Grisoft), Trojan.Downloader.Small.BPZ (SOFTWIN), Trojan.Downloader.Small-811 (ClamAV), Trj/Downloader.FEQ (Panda), Win32/TrojanDownloader.Small.AWA (Eset)



Trojan-Dropper.Win32.Mixus.b

[/b]Троянская программа, созданная для скрытой установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер 23072 байта. Упакован FSG. Размер распакованного файла — около 54 КБ.


Троянская программа при запуске скрыто устанавливает в систему следующие файлы:

* %Windir%\svchost32.exe (25131 байт) — детектируется Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.fi;

* %Windir%\syskey.exe (10416 байт) — детектируется Антивирусом Касперского как Trojan-Spy.Win32.Banker.bs;

* %System%\iesprt.sys (8784 байта) — детектируется Антивирусом Касперского как Trojan-Spy.Win32.Banker.bq;

* %System%\lsd_f3.dll (14336 байт) — детектируется Антивирусом Касперского как Trojan-Spy.Win32.Banker.bs.

Затем созданные файлы запускаются на исполнение.

Другие названия Trojan-Dropper.Win32.Mixus.b («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Mixus.b («Лаборатория Касперского»), PWSteal.Banpaes (Symantec), Trojan.PWS.Banker (Doctor Web), TrojanDropper:Win32/Mixus.B (RAV), TROJ_MIXUS.B (Trend Micro), Trj/Multidropper.ER (Panda)




Trojan-Downloader.JS.Small.au

[/b]Троянская программа, написанная на языке JavaScript. Имеет размер около 1 КБ. Обычно содержится в HTML-страницах, размер которых может быть любым.


Модифицирует HTML-страницу таким образом, чтобы при ее показе браузер Internet Explorer незаметно для пользователя скачивал какой-либо исполняемый файл и запускал его на выполнение.

После запуска троянец открывает следующую интернет-страницу: ]]>http://zhir**.com/traf/panti]]>

Email-Worm.Win32.Silly.e


[/b]Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Размер зараженного файла 154624 байт.

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows в папку Fonts со случайным именем:

%Windir%\Fonts\<случайное имя>.com

Затем червь регистрирует себя в ключе автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "TempCom"="%Windir%\Fonts\<случайное имя>.com"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState] "fullpath"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "HideFileExt" = "1" "Hidden" = "0"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. Рассылается по всем найденным в них адресам электронной почты.

Характеристики зараженных писем

Тема письма

Document

Имя файла-вложения Document.exe
Перейти в начало страницы
 
+Цитировать сообщение
Jeepers Creepers
сообщение 22.09.2007 - 21:11
Звезда форума
******
отличительный знак ZELAN
Группа: Участник
Сообщений: 1620
Регистрация: 4.11.2006
Пользователь №: 16590


Этот вирус создает в папке файл с таким же названием папки. (в формате .exe) и файл folder.htt
Например /новая_папка/новая_папка.exe и там же folder.htt

Что это за черв? Опасный ли или нет? Как я понимаю он не заражает файлы, а копирует себя куда только можно.

Инета нету, поэтому хочу узнать инфу тут.

Заранее спасибо. И Вашему компу не "болеть" (IMG:http://forum.netall.ru/style_emoticons/default/wink.gif)

P.S. На форуме читал про этот червяк, интересует вопрос - Изменился ли он за этот промежуток времени, т.к. антивир палить его начал после обновления..

Close topic. Удалил вирус, очистилось около 200метров дисака.

Сообщение отредактировано Jeepers Creepers - 23.09.2007 - 16:50
Перейти в начало страницы
 
+Цитировать сообщение
CL!F
сообщение 31.10.2007 - 00:00
Энтузиаст
****

Группа: Участник
Сообщений: 361
Регистрация: 12.11.2004
Пользователь №: 5343


[font size=4]Обзор вирусной активности, сентябрь 2007[/font]


Позиция Изменение позиции Вредоносная программа Вердикт PDM Доля, проценты
1. 0 Email-Worm.Win32.NetSky.q Trojan.generic 25,22
2. +1 Email-Worm.Win32.NetSky.aa Trojan.generic 10,83
3. +3 Email-Worm.Win32.Mydoom.l Trojan.generic 10,04
4. -2 Email-Worm.Win32.Bagle.gt Trojan.generic 7,62
5. Return Email-Worm.Win32.Nyxem.e Trojan.generic 6,03
6. -2 Net-Worm.Win32.Mytob.c Trojan.generic 5,18
7. -2 Worm.Win32.Feebs.gen Hidden Data Sending 4,69
8. -1 Email-Worm.Win32.NetSky.t Trojan.generic 3,03
9. New Trojan-Spy.HTML.Paylap.bg [HTML] 2,62
10. 0 Email-Worm.Win32.NetSky.b Trojan.generic 2,62
11. 0 Email-Worm.Win32.NetSky.x Trojan.generic 2,35
12. 0 Email-Worm.Win32.Scano.gen Trojan.generic 1,72
13. -5 Exploit.Win32.IMG-WMF.y [WMF] 1,58
14. -5 Net-Worm.Win32.Mytob.t Worm.P2P.generic 1,38
15. +3 Net-Worm.Win32.Mytob.dam [Damaged] 1,35
16. 0 Email-Worm.Win32.Womble.a Trojan.generic 1,06
17. Return Email-Worm.Win32.NetSky.d Trojan.generic 1,03
18. -5 Net-Worm.Win32.Mytob.u Worm.P2P.generic 0,97
19. Return Email-Worm.Win32.Mydoom.e Trojan.generic 0,93
20. Return Email-Worm.Win32.NetSky.y Trojan.generic 0,83


Остальные вредоносные программы 8,92

Trojan.Win32.KillFiles.ac
Другие версии: .ki, .lm
Другие названия

Trojan.Win32.KillFiles.ac («Лаборатория Касперского») также известен как: Del-412 (McAfee), Trojan Horse (Symantec), Troj/KillFil (Sophos), Trojan:Win32/KillFiles.AC (RAV), TROJ_KILLFILE.AC (Trend Micro), TR/KillFiles.AC (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Killfiles.AC (SOFTWIN), Trojan Horse (Panda), Win32/KillFiles.AC (Eset) Описание опубликовано 29 окт 2007
Поведение Trojan, троянская программа

Технические детали
Деструктивная активность
Рекомендации по удалению Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 35328 байт. Деструктивная активность


Троянец выполняет следующие команды в своей рабочей папке:
echo del *.txt
echo del *.doc
echo del *.xls
echo del *.com
echo del *.dll
echo del *.dot
echo del *.bin
echo del *.htm
echo del *.ppt
echo del *.avi
echo del *.mp3
echo del *.src
echo del *.bmp
echo del *.cfg
echo del *.mpg
echo del *.drv
echo del *.vxd
echo del *.mdb

Это приводит к удалению из рабочей папки троянца всех файлов с вышеуказанными расширениями.



Trojan-AOL.Win32.Buddy.a

Другие названия

Trojan-AOL.Win32.Buddy.a («Лаборатория Касперского») также известен как: Trojan.AOL.Buddy.a («Лаборатория Касперского»), APStrojan.ob (McAfee), AOL.PWSteal.32512 (Symantec), Trojan.Buddy (Doctor Web), Troj/Aolps-OB (Sophos), Trojan:Win32/PennyTools.236544.A (RAV), TROJ_AOL.BUDDY (Trend Micro), TR/APS-Ob_#2 (H+BEDV), W32/PennyTools.trojan (FRISK), Win32:Trojan-gen. (ALWIL), Trojan.AOL.Buddy.A (SOFTWIN), Trojan.AOL.Buddy.A (ClamAV), Trojan Horse.LC (Panda), AOL.Buddy.A (Eset) Описание опубликовано 12 янв 2000
Поведение Trojan, троянская программа
Технические детали


текст написан Алексеем Подрезовым, Data Fellows Ltd.

Троянский конь "Trojan.Aol.Buddy" (также известен под именем "PennyTools Trojan") ворует пароли входа в Интернет у пользователей известного провайдера America Online. На сегодняшний день (май 1999) известны две версии этого "троянца".

Использует очень хитрый способ внедрения на компьютеры: применяются одновременно 5 различных уловок для создания дополнительных трудностей для удаления троянца.

1. При помощи системного реестра Windows, изменяя ключ RUN, для запуска скрытого файла C:\COMMAND.EXE, содержащего в себе тело этого троянца.

2. При помощи изменения файла SYSTEM.INI, добавляя в него ссылку на скринсэйвер C:\Windows\System\WINSAVER.EXE. Система заражается в момент запуска этого скринсэйвера.

3. При помощи изменения файла WIN.INI, добавляя в него запуск скрытого файла C:\America Online 4.0\BUDDYLIST.EXE в строку "LOAD=". Интересно то, что между самим именем файла и строкой "LOAD=" троянец ставит ровно 80 символов, так чтобы пользователь не смог сразу увидеть эту ссылку.

4. Также в файл WIN.INI добавляется запуск скрытого файла C:\Windows\System\NortonAntiVir\REGISTRYREMINDER.EXE в строку "RUN="

5. В папку автозагрузки (\Windows\Start Menu\Programs\Startup) добавляется файл AIM REMINDER.EXE

Также в каталоге \Windows\System создается файл VCLCNTL.DLL, содержащий отнюдь не DLL код, а определенные текстовые данные, необходимые самому троянцу. При запуске Windows он также запускается, используя один из описанных выше способов, и остается активным все время работы операционной системы. Программа находит и посылает имя и пароль пользователя системы America Online на адреса электронной почты qware4019@hotmail.com или ha015312@hotmail.com (зависит от версии троянца).


Backdoor.Win32.Cocoazul.e

Другие названия

Backdoor.Win32.Cocoazul.e («Лаборатория Касперского») также известен как: Worm.Win32.Cocoazul.e («Лаборатория Касперского»), W32/Crowt.worm (McAfee), W32.Crowt.A@mm (Symantec), Win32.HLLW.Cocoazul (Doctor Web), W32/Crowt-A (Sophos), Worm:Win32/Cocoazul.E (RAV), WORM_CROWT.A (Trend Micro), Worm/Crowt.A.DLL (H+BEDV), W32/Cocoazul.C@mm (FRISK), Collected.2.B (Grisoft), Win32.Worm.Cocoazul.E (SOFTWIN), W32/Crowt.A.worm (Panda), Win32/Cocoazul.D (Eset) Детектирование добавлено 20 янв 2005
Описание опубликовано 10 мар 2005
Поведение Net-Worm, интернет-червь
Технические детали


Троянская программа-бэкдор. Файл программы называется services.exe, имеет размер 26624 байта, упакован UPX.
Инсталляция

При первом запуске программа извлекает из себя DLL-библиотеку и сохраняет ее в системной директории под именем services.dll (размер 19968 байт, упакован UPX). Также копирует себя под именем services.exe в директории C:\Program Files\Common Files и в директорию автозагрузки меню «Пуск».

Прописывается для автозагрузки в реестр:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Services Logon"

После чего открывает страницу ]]>http://www.cnn.com/WORLD/]]> в браузере по умолчанию, а также скрытно заходит на ]]>http://cocorosa.***.**/~uw/counter.php]]>.

Отсылает своему автору уведомительное письмо о том, что компьютер заражен.
Действия

Предоставляет удаленный доступ к зараженному компьютеру, позволяя автору троянца выполнять такие действия, как операции с файлами, запись нажатий клавиш, сбор информации о компьютере, перезагрузка и др.



Trojan.BAT.Simpsons

Другие названия

Trojan.BAT.Simpsons («Лаборатория Касперского») также известен как: Bat/dt108 (McAfee), Simpsons.Trojan (Symantec), Troj/Simpsons (Sophos), BAT/Simpson.A* (RAV), BAT_SIMPSONS (Trend Micro), BAT/Simpsons (H+BEDV), BAT/Simpson.A (FRISK), BV:Qo (ALWIL), BAT.Trojan.Simpsons (SOFTWIN), Trojan.Bat.Simpsons (ClamAV), BAT/Simpsons (Panda), BAT/Simpsons (Eset) Описание опубликовано 29 июн 2000
Поведение Trojan, троянская программа
Технические детали


Примитивный троянец, написанный на командном языке DOS (т.е. является BAT-файлом). При запуске уничтожает все файлы на дисках C:, A:, B:, D: (именно в такой последовательности); использует при этом DOS-команду "DELTREE /Y". Затем троянец уничтожает на тех же дисках файлы SIMPSONS.* (непонятно зачем - все файлы уже и так уничтожены).

Троянец был обнаружен "в диком виде". Он распространялся неизвестным злоумышленником в виде инсталлятора SIMPSONS (формат: самораспаковывающийся архив WinZip). При запуске инсталлятор выводи стандартное сообщение WinZip, распаковывает троянца и запускает его на выполнение.


Trojan.DOS.On4ever

Другие названия

Trojan.DOS.On4ever («Лаборатория Касперского») также известен как: Trojan.On4ever («Лаборатория Касперского»), Univ.worm (McAfee), ON4EVER.111 (Symantec), On4Ever.111 (Doctor Web), On4ever (Sophos), Trojan:On4ever (RAV), TROJ_ON4EVER (Trend Micro), VGEN/1789.11 (H+BEDV), On4ever-111 (ALWIL), Trojan.On4ever (SOFTWIN), Trojan.On4ever (ClamAV), Trj/On4ever (Panda) Описание опубликовано 12 янв 2000
Поведение Trojan, троянская программа
Технические детали


Длина - 111 байт. При запуске создает файл 00000001.COM, записывает свой код в этот файл, записывает в буфер клавиатуры строку 00000001.COM и выходит в DOS. В буфере клавиатуры находится имя вновь созданного файла, DOS реагирует на это как на команду запуска файла и запускает его. Файл 00000001.COM тем же способом создает и запускает файл 00000002.COM, затем 00000002.COM создает 00000003.COM и т.д.




Nuker.Win32.Lsass.a

Другие названия

Nuker.Win32.Lsass.a («Лаборатория Касперского») также известен как: Exploit-MS04-011.gen (McAfee), Hacktool.LsassSba (Symantec), Win32:Sasdoor (ALWIL), NewHeur_PE (Eset) Описание опубликовано 11 май 2005
Поведение Nuker, утилиты для атак через уязвимости
Технические детали


Программа для тестирования сетевого компьютера на наличие уязвимости MS04-011.

Данная уязвимость некоторых версий MS Windows заключается в возможности удаленного переполнения буфера RPC-сервиса (lsasrv.dll), что может повлечь за собой вторжение в систему и кражу конфиденциальной информации.

Программа имеет функцию автоопределения операционной системы (OS) испытуемой машины.


IRC-Worm.IRC.Edoc

Другие названия

IRC-Worm.IRC.Edoc («Лаборатория Касперского») также известен как: IRC-Worm.Edoc («Лаборатория Касперского»), IRC/Edo (McAfee), IRC.Family.Gen (Symantec), mIRC/Edoc-A (Sophos), IRC/Edoc* (RAV), TROJ_MAKEOP.A (Trend Micro), Worm/Edoc (H+BEDV), VBS:Malware (ALWIL), Backdoor.IRC.Edoc (SOFTWIN), Worm Generic (Panda), mIRC/Edoc.A (Eset) Описание опубликовано 16 янв 2002
Поведение IRC-Worm, червь для IRC-каналов
Технические детали


Достаточно простой сетевой вирус-червь. Размножается в IRC-каналах.

Этот червь посылает следующее сообщение всем пользователям (кроме оператора канала), которые присоединяются к каналу, к которому подключен инфицированный пользователь:

hey to get OPs use this hack in the chan but SHH!

////$decode(d3JpdG..................................................
..........................................................
..........................................................
..........................................................
.........................................................
.........................SkgLG0p,m) | $decode(Lmxv........IMQ= ,m)

(точками заменено тело червя)

В этом сообщении, линия, начинающаяся с "//" - является командой (скрипт) и содержит тело червя в MIME base64 кодировке.

Если пользователь, который получил сообщение, запустит скрипт, червь создаст файл, который распространит червя далее в IRC каналах, и добавляет ссылку в "mirc.ini", на вирусный файл.




Virus.Boot-DOS.Senda.4162

Другие названия

Virus.Boot-DOS.Senda.4162 («Лаборатория Касперского») также известен как: Senda.4162 («Лаборатория Касперского»), Senda.mp (McAfee), Senda.4162 (Doctor Web), Senda-4162 (Sophos), Senda (RAV), SENDA.4162.A-B (Trend Micro), BOO/SENDA (H+BEDV), Senda (FRISK), Senda-4162 (ALWIL), Senda.4162.MBR (Panda) Описание опубликовано 12 янв 2000
Поведение Virus, компьютерный вирус
Технические детали


Опасный зашифрованный файлово-загрузочный резидентный вирус. Перехватывает INT 13h, 21h. Записывается в конец .COM-файлов, в MBR винчестера и boot-сектора дискет. По причине ошибки портит COMMAND.COM от Windows95, по этой причине вирус неработоспособен в этой ОС. Содержит строку:
- Senda, dedicated to my love PL -
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 25.10.2021 - 10:53