Вирусы, небольшой словарь, их обнаружение, удаление. |
Здравствуйте, гость ( Вход | Регистрация )
Вирусы, небольшой словарь, их обнаружение, удаление. |
10.01.2005 - 14:33
Вставить ник | Быстрая цитата | Сообщение
#1
|
|
lamerok Группа: Участник Сообщений: 221 Регистрация: 12.05.2004 Пользователь №: 3504 |
Оглавление: Worm.Win32.Lovesan.a Worm.Win32.Sasser.b I-Worm.Mydoom.ab Win32.Hidrag Backdoor.Win32.Masteseq.u Email-Worm.Win32.Breacuk.a Email-Worm.Win32.Kipis.a Email-Worm.Win32.Wurmark.b Net-Worm.Win32.DipNet.a Trojan.Win32.KillProc.b Trojandownloader.win32.Krepper.i Backdoor.Win32.Singu.o Trojan-Spy.HTML.Fraud.gen Trojan.Win32.Favadd.d Worm.Win32.Aler.a Trojan-Spy.Win32.Briss.i Trojan-Downloader.Win32.Domcom.a Net-Worm.Win32.Mytob.h Email-Worm.Win32.Finaldo.a Net-Worm.Win32.Bozori.a W32.Zotob.A Trojan-Proxy.Win32.Cimuz.z Email-Worm.Win32.Nyxem.e Описание, обнаружение, методы лечения: Алиасы: W32/Blaster.worm.a (McAfee), W32.Blaster.Worm (Symantec), Win32.HLLW.LoveSan.based (Doctor Web), W32/Blaster-A (Sophos), Win32/Msblast.A (RAV), WORM_MSBLAST.A (Trend Micro), Worm/Lovsan.A (H+BEDV), W32/Msblast.A (FRISK), Win32:Blaster (ALWIL), Worm/Lovsan.A (Grisoft), Win32.Msblast.A (SOFTWIN), Worm.Blaster.A (ClamAV), W32/Blaster (Panda), Win32/Lovsan.A (Eset) Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe". Содержит текстовые строки: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Признаками заражения компьютера являются: * Наличие файла "msblast.exe" в системном (system32) каталоге Windows. * Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. Размножение При запуске червь регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run windows auto update="msblast.exe" Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров. После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса: 20.40.50.0 20.40.50.1 20.40.50.2 ... 20.40.50.19 ----------- пауза 1.8 секунды 20.40.50.20 ... 20.40.50.39 ----------- пауза 1.8 секунды ... ... 20.40.51.0 20.40.51.1 ... 20.41.0.0 20.41.0.1 и так далее. Червь выбирает один из двух методов сканирования IP-адресов: 1. В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0. 2. В 2 случаях из 5 червь сканирует подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0. Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение. Прочее После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться. C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. Алиасы: W32/Sasser.worm.gen.b (McAfee), W32.Sasser.gen (Symantec), Win32.HLLW.Jobaka (Doctor Web), Worm/Sasser.B.2 (H+BEDV), Win32.Worm.Sasser.1.Gen (SOFTWIN), NewHeur_PE (Eset) Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Первые экземпляры червя были обнаружены 30 апреля 2004 года. Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM. Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет. Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2. Признаками заражения компьютера являются: * Наличие файла "avserve2.exe" в каталоге Windows. * Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы. Отличия от версии Sasser.a Данный вариант червя отличается от варианта Sasser.a измененным именем своего файла. Вместо "avserve.exe" используется "avserve2.exe" (соответственно изменен и ключ в системном реестре). Также изменено на "Jobaka3" название создаваемого идентификатора и добавлена попытка создания еще одного идентификатора "JumpallsNlsTillt". Кроме этого, изменено число запускаемых процедур заражения - вместо 128 их число увеличено до 1024. Изменено название лог-файла на "win2.log". Алиасы: W32/Mydoom.af@MM (McAfee), W32.Mydoom.AG@mm (Symantec), Win32.HLLM.MyDoom.2 (Doctor Web), W32/MyDoom-AG (Sophos), Win32/Swash.A@mm (RAV), WORM_MYDOOM.AF (Trend Micro), Worm/MyDoom.AE (H+BEDV), W32/Mydoom.A@mm (FRISK), Win32:Swash (ALWIL), I-Worm/Swash.A (Grisoft), Win32.Mydoom.3.Gen@mm (SOFTWIN), Worm.Mydoom.Gen-unp (ClamAV), W32/Mydoom.gen.worm (Panda), Win32/Swash.A (Eset) Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь является приложением Windows (PE EXE-файл), имеет размер около 32КБ (упакован UPX, размер распакованного файла - около 83КБ). При заражении После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов. При инсталляции червь копирует себя с именем "lsasrv.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "lsass"="%System%\lsasrv.exe" Червь создает в системном каталоге Windows файл "version.ini". При своем запуске червь выгружает из памяти запущенные межсетевые экраны. Алиасы: W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset) Резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла. При заражении: Cоздаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices PowerManager = %WindowsDir%\SVCHOST.EXE Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:. Никак не проявляет своего присутствия в системе. Вирус содержит зашифрованные строки: Hidden Dragon virus. Born in a tropical swamp. PowerManagerMutant Алиасы: BackDoor.Masteseq (Doctor Web), Troj/Mastseq-G (Sophos), TROJ_MASTSEQ.U (Trend Micro) Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 68КБ. Упакована UPX. Размер распакованного файла около 210КБ. При заражении: Бэкдор создает следующие вспомогательные файлы в системном каталоге Windows: * %System%\chkkrnl.msc * %System%\yzsrv.nld Бэкдор предоставляет злоумышленнику удаленный доступ к зараженной машине. Бекдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы и получать информацию о системе или ее владельце. АлиасыW32.Beaker.A@mm (Symantec), W32/Beaker-A (Sophos), Worm/Breacuk.A (H+BEDV), I-Worm/Breacuk.A (Grisoft), Win32.Beaker.A@mm (SOFTWIN), NewHeur_PE (Eset) Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь является приложением Windows (PE EXE-файл), имеет размер около 16КБ, упакован MEW. Размер распакованного файла — около 69КБ. Инсталляция После запуска червь копирует себя в папку Windows с произвольным именем из 5 символов. Например: * C:\%WinDir%\Fonts\vhpoj.exe * C:\%WinDir%\system\vhpoj.exe * C:\%WinDir%\system32\vhpoj.exe * C:\%WinDir%\Temp\vhpoj.exe Затем регистрирует себя в ключе автозагрузки системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<5 случайных символов>"="C:\%WinDir%\system\vhpoj.exe" "<5 случайных символов>"="C:\%WinDir%\system32\vhpoj.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "<5 случайных символов>"="C:\%WinDir%\Fonts\vhpoj.exe" "<5 случайных символов>"="C:\%WinDir%\Temp\vhpoj.exe" Червь создает в памяти уникальный идентификатор "BreaKer_cUk" для определения своего присутствия в системе. Распространение через email Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем Тема письма Выбирается из списка: * Re:FW: impossyvel su-lo tanto... :P, vu-lo * Re:FW:(none) * Re:FW:Aid please! :), to see it * Re:FW:Aide s'il vous plait! :), pour le voir * Re:FW:Ajuda a ajudar-te... :), vu-lo * Re:FW:Ayudame a ayudarte... :), miralo * Re:FW:Because it is worth ,to see it * Re:FW:Besser Witz des Jahres:), um es zu sehen * Re:FW:Besserer Idiot des Jahres, um es zu sehen * Re:FW:Besseres Foto des Jahres;), um es zu sehen * Re:FW:Better idiot of the year, to see it * Re:FW:Better joke of the year:), to see it * Re:FW:Better Photo of the year;), to see it * Re:FW:Ce que nous voulions toujours... :), pour le voir * Re:FW:Che cosa abbiamo desiderato sempre... :), vederli * Re:FW:Die schlechtere Sache des Jahres, um es zu sehen * Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen * Re:FW:Es imposible serlo tanto... :P, miralo * Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen * Re:FW:Foto migliore dell'anno;), per vederla * Re:FW:Hilfe bitte!:), um es zu sehen * Re:FW:Idiot migliore dell'anno, vederlo * Re:FW:Il est impossible d' tre cela tant de ...:P, le voir * Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir * Re:FW:impossibile a sia tanto... :P, vederlo * Re:FW:It is impossible to be it as much... :P, to see it * Re:FW:La chose plus mauvaise de l'annue, pour le voir * Re:FW:La cosa pi?ettosa dell'anno, vederla * Re:FW:Le meilleur idiot de l'annue, pour le voir * Re:FW:Lo peor del a o, miralo * Re:FW:Lo que siempre quisimos... :). miralo * Re:FW:Meilleure Photo de l'annue;), pour le voir * Re:FW:Mejor chiste del a o :),miralo * Re:FW:Mejor chorrada del a o, miralo * Re:FW:Mejor Foto del a o ;), miralo * Re:FW:Melhor anedota do ano :),vu-lo * Re:FW:Melhor Foto do ano ;), vu-lo * Re:FW:Mieux plaisanterie de l'annue :), pour le voir * Re:FW:No hay vida sin muerte... :(, miralo * Re:FW:Non ci vita senza morte... :(, vederla * Re:FW:Nuo hs vida sem morte... :(, vu-lo * Re:FW:O mas idiota, vu-lo * Re:FW:O pior do ano, vu-lo * Re:FW:O que sempre quisemos... :). vu-lo * Re:FW:Parce qu'il vaut, le voir * Re:FW:Pois vale. vu-lo * Re:FW:Preis!:D, um es zu sehen * Re:FW:Premio! :D, vederlo * Re:FW:Premio!!!! :D, miralo * Re:FW:Prix! :D, pour le voir * Re:FW:Prize! :D, to see it * Re:FW:Prumio!!!! :D, vu-lo * Re:FW:Pues vale. miralo * Re:FW:Scherzo migliore dell'anno:), per vederlo * Re:FW:Sussidio per favore! :), per vederlo * Re:FW:The worse thing of the year, to see it * Re:FW:There is no life without death... :(, to see it * Re:FW:Was wir immer ... wollten:), um es zu sehen * Re:FW:Weil das wert ist, es zu sehen * Re:FW:What we always wanted...:), to see it Текст письма Выбирается из списка: * Kaspersky-Antivirus. Kein Virus Gefundenes State:Ok * Symantec-Antivirus. Noo Vyrus. State:Ok * Symantec-Antivirus. Nessun Virus Found. State:Ok * Kaspersky-Antivirus. No Virus Found. State:Ok * F-Secure-Antivirus. Aucun Virus Constat State:Ok * Panda ActiveScan-Antivirus. No se encontraron virus. Estado:Ok Имя файла-вложения Выбирается из списка: * anedota2004.zip * Bilge2004.zip * Bonheur.zip * chiste2004.zip * ck.zip * Daswarniewie das.zip * Eskannnichtsein.zip * explodecarros.zip * Exploitedesvoitures.zip * exploitscars.zip * felicidad.zip * felicidade.zip * Foto2004.zip * foto2004.zip * Happiness.zip * Heiligtum.zip * Ihavetouched it.zip * Itcannotbe.zip * Itwasneverlikethat.zip * jamasfueasi.zip * Joke2004.zip * Kielraum2004.zip * L'hotoccato.zip * mehatocado.zip * metocou.zip * nopuedeser.zip * nuncafoiassim.zip * opodeser.zip * Peggiore2004.zip * pegote2004.zip * peor2004.zip * photo2004.zip * Photo2004.zip * pior2004.zip * Plaisanterie2004.zip * Plusmauvais2004.zip * rebientacoches.zip * Renflement2004.zip * Sanctuaire.zip * Sanctuary.zip * Santuario.zip * santuario.zip * Scherzo2004.zip * Schlechter2004.zip * stupido2004.zip * tatAutos.zip * tonto2004.zip * utilizzadelleautomobili.zip * Witz2004.zip * Worse2004.zip Действие После запуска на зараженном компьютере червь открывает интернет-страницу. Алиасы:W32.Kipis.A@mm (Symantec), Win32.HLLM.Dasha (Doctor Web), W32/Kipis-A (Sophos), Win32/Kipis.A@mm (RAV), WORM_KIPIS.A (Trend Micro), Worm/NetSky.AE (H+BEDV), I-Worm/Kipis.A (Grisoft), Win32.Madon.A@mm (SOFTWIN), Worm.Kipis.A (ClamAV), Win32/Kipis.A (Eset) Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь является приложением Windows, имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 140КБ. Червь содержит в себе бэкдор-функцию. При заражении Червь копирует себя в корневой каталог Windows с именем "regedit.com": %WinDir%\regedit.com В результате при открытии редактора системного реестра ("regedit.exe") на компьютере запускается копия вируса. Также в корневом каталоге Windows червь создает папку "security", в которую помещает свою копию с именем "svchost.exe": %WinDir%\security\svchost.exe В системном каталоге Windows червь создает файл "Jpg.bmp" и пытается открыть его с помощью MS Paint. Файл "Jpg.bmp" содержит следующую строку: BMD -:+:- zzzzzzzzzzz Затем червь регистрирует себя в ключе автозагрузки системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe "%WinDir%\security\svchost.exe" Червь создает в памяти уникальный идентификатор "KiPiShx018AxR" для определения своего присутствия в системе. Распространение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями: * adb * dbx * doc * htm tbb * txt Игнорируется отправка писем на адреса, содержащие строки: * .gov * .hlp * .mil * .txt * .zip * abuse * accoun * admin * antivir * anyone * avp * bigbrother * bitdef * borlan * bugs * bugtraq * confirm * contact * delphiworld * fido * foo. * google * gov. * guninski * help * hotmail * icrosoft * nfo * iruslis * latincards * linux * listserv * mailer * moco2k * mozilla * msn. * msoe * mydomai * nai.c * neohapsis * news * newvir * nodomai * notice * page * panda * pgp * podpiska * postmaster * privacy * rating * register * rfc- * ripe. * secur * sendmail * service * site * soft * software. * sopho * spm111 * strike. * support * syman * the.bat * unix * webmaney * webmaster * where * www. Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Характеристики зараженных писем Тема письма: Выбирается из списка: * Love * Happy New Year * I Love You Текст письма: Hello! baby :-) Server cannot send message. _____________________________________________ On all questions address in a support service Имя файла-вложения: * foto_03.scr * myfoto_04.scr * your present.scr Размножение через файлообменные сети Червь создает свои копии с именами, выбираемыми из приведенного ниже списка, во всех подкаталогах, содержащих в своем названии слово "Share": * DrWeb 4.32 keygen.com * KAV Pro 5.xx keygen.com * Nude Britney Spears.scr * Nude Pic_07.scr * Virtual Girl 2.01.com * WinXP Sp2 key.com Удаленное администрирование Червь открывает на зараженной машине TCP порт 1029 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор способен загружать из интернета и запускать на исполнение произвольные файлы. Действие Kipis.a выгружает из памяти процессы, в именах которых есть следующие подстроки: ___r. * ___synmgr. * avmon * blackice * bscanx * bupw. * dec25. * duba * ewall * filemon. * frw. * gate * guard. * kav * kerio * maniac. * mcafee * nav * nprotect * outpost * regmon. * rfw. * rising * safe * skynet * sphinx. * suchost. * svchosl. * symantec * systra.e * taumon * update * upgrade * winit. * zonealarm Алиасы: W32.Mugly.C@mm (Symantec), Trojan.MulDrop.1368 (Doctor Web), W32/Wurmark-C (Sophos), Win32/Mugly.C@mm (RAV), WORM_MUGLY.C (Trend Micro), Worm/Wurmark.B (H+BEDV), I-Worm/Wurmark.C (Grisoft), Win32.Wurmark.B@mm (SOFTWIN), Win32/Wurmark.C (Eset) Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. По своим функциям практически идентичен варианту Wurmark.a. Отличается от него следующими изменениями: 1. Вместо файла "%System%\winit.exe" червь создает файл "%System%\winprotect.exe". 2. Имя файла-вложения в зараженном письме выбирается произвольным образом из списка: * admire_001.exe * for_you.pif * Hapy-new-year.scr * is_this_you.scr * love_04.scr * Mary-Christmas.scr * Pic_001.exe * Photo_01.pif 3. Червь изменяет файл "%System%\drivers\etc\hosts", дописывая в него нижеприведенный текст и, тем самым, закрывая доступ к следующим ресурсам: 127.0.0.1 localhost 127.0.0.1 rads.mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 update.symantec.com 127.0.0.1 downloads-us2.kaspersky-labs.com 127.0.0.1 downloads-us3.kaspersky-labs.com 127.0.0.1 downloads-us4.kaspersky-labs.com 127.0.0.1 updates3.kaspersky-labs.com 127.0.0.1 symantecliveupdate.com 127.0.0.1 symatec.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 ftp.downloads1.kaspersky-labs.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 updates1.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 updates1.kaspersky-labs.com 127.0.0.1 updates2.kaspersky-labs.com 127.0.0.1 updates3.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 ftp.downloads1.kaspersky-labs.com 127.0.0.1 ftp.downloads2.kaspersky-labs.com 127.0.0.1 ftp.downloads3.kaspersky-labs.com Алиасы: Exploit-MS04-011.gen (McAfee), Trojan.Netdepix (Symantec), Win32.HLLW.Oddbob (Doctor Web), W32/Oddbob-A (Sophos), WORM_ODDBOB.A (Trend Micro), Win32.Oddbob.A (SOFTWIN), Win32/Dipnet.A (Eset) Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 154КБ, упакован UPX. Размер распакованного файла — около 314КБ. Вирус распространяется, используя уязвимость в Microsoft Windows 2000/XP LSASS. При заражении: Червь копирует себя в системный каталог Windows с произвольным именем. Например: %System%\h2ww.exe После чего оригинальный файл червя удаляется. Червь запускает процедуры выбора IP-адресов для атаки и отсылает запрос на порт TCP 445. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость в LSASS, запускает на удаленной машине свой код. Алиасы: MultiDropper-GP.d (McAfee), PWSteal.Tarno.B (Symantec), Trojan.MulDrop.733 (Doctor Web), Troj/Killproc-B (Sophos), TrojanDropper:Win32/Mena (RAV), TROJ_KILLPROC.B (Trend Micro), Win32:Trojan-gen. (ALWIL), Dropper.Small.GH (Grisoft), Trojan.KillProc.B (SOFTWIN), Trojan.KillAV.BE (ClamAV), Trj/Downloader.G (Panda), Win32/KillProc.B (Eset) Троянская программа. Является приложением Windows (PE EXE-файл), имеет размер около 5КБ, упакован UPX. Размер распакованного файла около 22КБ. Trojan.Win32.KillProc.b может быть установлен в систему троянским контейнером TrojanDropper.Win32.OnlineService. При заражении: "Троянец" создает в системном каталоге Windows файл "mstu.exe". Выгружает из памяти процессы, имена которых попадают в следующий список: _AVP32.EXE * _AVPCC.EXE * _AVPM.EXE * AckWin32.exe * ACKWIN32.EXE * ALERTSVC.EXE * ALOGSERV.EXE * Anti-Trojan.exe * ANTS.EXE * ATCON.EXE * ATCON.EXE * ATUPDATER.EXE * ATWATCH.EXE * AutoDown.exe * AutoTrace.exe * AUTOUPDATE.EXE * AVCONSOL.EXE * AVGCC32.EXE * AVGCTRL.EXE * AVGSERV.EXE * AvkServ.exe * AVKSERV.EXE * AVP.EXE * AVP32.EXE * AVPCC.EXE * AVPM.EXE * AVSYNMGR.EXE * AVXMONITOR9X.EXE * AVXMONITOR9X.EXE * AVXMONITORNT.EXE * AVXQUAR.EXE * blackd.exe * blackice.exe * Claw95.exe * Claw95cf.exe * cleaner.exe * cleaner3.exe * cpd.exe * DEFWATCH.EXE * DOORS.EXE * F-AGNT95.EXE * FAST.EXE * F-PROT95.EXE * FRW.EXE * FRW.EXE * GUARD.EXE * GUARD.EXE * iamapp.exe * IAMAPP.EXE * iamserv.exe * IAMSERV.EXE * ICLOAD95.EXE * ICLOADNT.EXE * ICLOADNT.EXE * ICMON.EXE * ICSUPP95.EXE * ICSUPP95.EXE * ICSUPPNT.EXE * ICSUPPNT.EXE * IFACE.EXE * IFACE.EXE * IOMON98.EXE * ISRV95.EXE * JEDI.EXE * LOCKDOWN2000.EXE * LUCOMSERVER.EXE * MCAGENT.EXE * MCAGENT.EXE * Mcshield.exe * MCUPDATE.EXE * MCUPDATE.EXE * MINILOG.EXE * MONITOR.EXE * MOOLIVE.EXE * NAVAPW32.EXE * NAVAPW32.EXE * NAVAPW32.EXE * NavLu32.exe * NAVW32.EXE * Navw32.exe * NDD32.EXE * NeoWatchLog.exe * NeoWatchTray.exe * NISSERV * NISUM.EXE * NMAIN.EXE * NORMIST.EXE * notstart.exe * NPROTECT.EXE * NSCHED32.EXE * NTXconfig.exe * Nupgrade.exe * NVC95.EXE * NWService.exe * outpost.exe * PCCIOMON.EXE * PERSFW.EXE * POP3TRAP.EXE * POPROXY.EXE * REALMON95.EXE * Rescue.exe * RTVSCN95.EXE * Smc.exe * SPHINX.EXE * SPYXX.EXE * SPYXX.EXE * SS3EDIT.EXE * SS3EDIT.EXE * SWNETSUP.EXE * SymProxySvc.exe * SYNMGR.EXE * TAUMON.EXE * TC.EXE * tca.exe * TCA.EXE * TCM.EXE * TDS-3.EXE * TFAK.EXE * TFAK.EXE * TRJSCAN.EXE * VetTray.exe * VPTRAY.EXE * VSECOMR.EXE * VSHWIN32.EXE * VSHWIN32.EXE * VSMON.EXE * VSSTAT.EXE * VSSTAT.EXE * WATCHDOG.EXE * WebScanX.exe * WEBSCANX.EXE * WEBTRAP.EXE * WGFE95.EXE * WRADMIN.EXE * WrAdmin.exe * WRCTRL.EXE * WrCtrl.exe * ZATUTOR.EXE * ZAUINST.EXE * ZONEALARM.EXE Алиасы: TR/Dldr.Krepper.I.2 (H+BEDV), Downloader.Krepper.L (Grisoft), Trojan.Downloader.Krepper.I (SOFTWIN), Adware/Replace (Panda), TROJ_KREPPER.I (Trend Micro) Троянская программа. Является приложением Windows (PE EXE-файл), имеет размер около 24КБ, упакована PEC. Размер распакованного файла около 78KБ. При заражении: Создает папку «inetdim» в корневом каталоге Windows и копирует себя в эту папку с именем «services.exe». Затем «троянец» регистрирует себя в ключе автозагрузки системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "xp_system"="%WinDir%\inetdim\services.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "xp_system"="%WinDir%\inetdim\services.exe" [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "run"="%WinDir%\inetdim\services.exe" Также программа создает следующие ключи и записи в системном реестре: [HKCU\Software\Microsoft\Internet Explorer\Main] Enable Browser Extensions = "yes" [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\(5321E378-FFAD-4999-8C62-03CA8155F0B3)] [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains] Троянская программа имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. «Троянец» загружает из интернета и устанавливает на компьютере другую программу (класса AdWare), которая затем перенаправляет интернет-браузер на порталы, с которых на компьютер могут быть установлены другие AdWare-программы, а также другие версии данного «троянца». Алиасы: Troj/Singu-O (Sophos), Backdoor:Win32/Singu.O (RAV), BDS/Singu.O.2 (H+BEDV), BackDoor.Singu.AG (Grisoft), Bck/Singu.E (Panda), Win32/Singu.O (Eset), BKDR_SINGU.O (Trend Micro) Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 210КБ. Упакована UPX. Размер распакованного файла около 546КБ. При заражении: Копирует себя в системный каталог Windows под именем «serve.exe». Также в системном каталоге Windows бэкдор создает файл «_UsbDriver_.dll». Затем программа регистрирует себя в ключе автозагрузки системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "test"="%System%\serve.exe" Бэкдор предоставляет злоумышленнику удаленный доступ к зараженной машине. Бекдор по команде «хозяина» позволяет: * загружать на зараженную машину любые файлы, запускать, удалять и копировать их; * сохранять информацию о нажатиях клавиш клавиатуры на зараженном компьютере; * управлять dial-up соединением, а именно устанавливать или разрывать соединение с интернетом; * перезагружать или отключать компьютер; * изменять системный реестр; * просматривать список процессов, выполняющихся на удалённой машине, завершать различные процессы и получать информацию о системе или ее владельце. Алиасы: Phish-BankFraud.eml (McAfee), Trojan Horse (Symantec), TrojanSpy:HTML/UrlSpoof.E* (RAV), HTML_SWENFRAUD.A (Trend Micro), TR/URLSpoof.P (H+BEDV), HTML/URLspoof.B@expl (FRISK), VBS.Trojan.Inor.Z.Spoofer (SOFTWIN), HTML.Phishing.Bank-31 (ClamAV), Exploit/URLSpoof (Panda) Семейство троянских программ, использующее спуфинг-технологию. «Троянцы» реализованы в виде поддельных HTML-страниц. Рассылаются по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, софтверных компаний и т.д. В письме содержится ссылка, в которой использована Frame Spoof уязвимость в Internet Explorer. Уязвимость Frame Spoof (MS04-004) присутствует в 5.x и 6.x версиях Microsoft Interner Explorer. Попадая на сайт, пользователи вводят свои учетные данные, после чего они пересылаются злоумышленникам, и те могут получить полный доступ к управлению конфиденциальной информацией пользователя. Троянская программа. Является приложением Windows (PE EXE-файл), имеет размер около 67КБ. При заражении Создает в корневом каталоге Windows файл "crcspider.ico", новую папку "cracks" в папке "Избранное", в которую помещает следующие ссылки и описания: (Внимание! Большинство этих страниц буквально напичканы троянами и вирусами!) ! TheBUGS.ws - Security Related Portal ]]>http://www.thebugs.ws]]> !! CrackSpider.NET - Cracks search engine ]]>http://crackspider.net]]> allseek.info - The Underground portal ]]>http://allseek.info]]> anyCracks.com - Keygens, patches, crack ]]>http://anycracks.com]]> Astalavista - Cracks search engine ]]>http://astalavista.thebugs.ws]]> bestserials.com - Best serials ]]>http://bestserials.com]]> CrackPortal.com - Cracks, serial number ]]>http://www.crackportal.com]]> CrackSpider.DE - Cracks search engine ]]>http://www.crackspider.de]]> CrackSpider.US - Cracks search engine ]]>http://www.crackspider.us]]> CrackWay.com - Since 2001 cracks arhive ]]>http://www.crackway.com]]> iCracks.net - Keygens, patches, crackz. ]]>http://icracks.net]]> KeyGen.US - Keygens, patches, crackz... ]]>http://keygen.us]]> mscrack.com - Cracks, serial numbers... ]]>http://mscracks.com]]> Троянец создает следующие записи в системном реестре: [HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)] "ButtonText"="Search cracks at CrackSpider.NET" [HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)] "MenuText"="Search cracks at CrackSpider.NET" [HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)] "MenuStatusBar"="Search cracks at CrackSpider.NET" [HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)] "ClSid"="(1FBA04EE-3024-11d2-8F1F-0000F87ABD16)" [HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)] "Default Visible"="Yes" [HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)] "Exec"="http://crackspider.net/" [HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)] "HotIcon"="\crcspider.ico" [HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)] "Icon"="\crcspider.ico" [HKCU\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://crackspider.net/" [HKCU\Software\Microsoft\Internet Explorer\Main] "Search Bar"="http://crackspider.net/" В интерфейс Internet Explorer "троянец" добавляет свою кнопку на "Панель инструментов", которая является ссылкой на www.crackspider.com. Также "троянец" создает ссылки в меню "Избранное" и меняет стартовую страницу на www.crackspider.com. Алиасы: W32/Golten.worm, W32.Scard, W32/Aler.a.worm Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам. Размножение: 1. При помощи спам-рассылки в письмах со следующими характеристиками: Тема письма: Latest News about Arafat!!! Текст письма: Hello guys! Latest news about Arafat! Unimaginable!!!!! Зараженное письмо содержит 2 файла: arafat_1.emf - показывающий картинку (обычный JPEG файл); arafat_2.emf - специальный файл, открывающий EMF-уязвимость (описана в Security Bulletin MS04-032) 2. Также сканирует произвольные IP-адреса компьютеров проверяя наличие операционной системы Windows с открытыми ресурсами, либо не защищенными паролем, либо слабозащищенных паролем: * 0 * 111 * 123 * 1234 * 12345 * 54321 * 111111 * 123456 * 654321 * 888888 * 1234567 * 11111111 * 12345678 * 88888888 * !@#$ * !@#$% * !@#$%^ * ~!@# * 123!@# * 1234!@#$ * 12345!@#$% * admin * fan@ing* * oracle * pass * passwd * password * root * secret * security * stgzs * super Далее червь копирует себя на удаленный компьютер с именем "Alerter.exe" или "Alerter16.exe". При заражении: Создает в системной папке Windows следующие файлы: Alerter.exe * Comwsock.dll * Dmsock.dll * Mst.tlb * SCardSer.exe * Spc.exe * Spoolsv.exe * Sptres.dll И следующие записи в системном реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog] "Display name"="Net Login Helper" "ImagePath"="%System%\SCardSer.exe" Скрывает от пользователя свое присутствие в системе, добавляя себя к уже запущенным процессам Windows ("explorer.exe", "lsass.exe", "outlook.exe"). Действие: Кроме дальнейшего своего распространения, открывает и затем отслеживает случайный TCP порт для приема команд и/или файлов от "хозяина". Trojan-Spy.Win32.Briss.i Trojan-Spy.Win32.Briss.i («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Briss.i («Лаборатория Касперского»), Keylog-Briss (McAfee), Trojan.Briss (Doctor Web), Troj/Bridge-B (Sophos), TrojanDownloader:Win32/Bridge.A (RAV), TROJ_BRIDGE.A (Trend Micro), DR/Bridge.A.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Bridge.A (Grisoft), Trojan.Downloader.Bridge.A (SOFTWIN), Trojan.WinFavorites.Bridge (ClamAV), Spyware/Bridge (Panda), Win32/TrojanDownloader.Bridge.A (Eset) Объект-компаньон (BHO) Internet Explorer. При запуске создает объект синхронизации (mutex) с именем «Bridge1». С его помощью программа всегда может иметь только одну свою копию в памяти. Каждый час программа пытается скачать свои обновления с сайта: www2.flingstone.com/welcome_valid.php? h_key=&hkey2= &bundle_id=<>&partner_id=<> Причем, при составлении запроса использует уникальные данные компьютера пользователя, например, серийный номер жесткого диска и его модель. Регистрируется как BHO в системе: [SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\ {9C691A33-7DDA-4C2F-BE4C-C176083F35CF}] Для своего автозапуска создает ключ реестра: [SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RunDLL] Имеет средства удаления себя с компьютера, для чего регистрирует ключ: [SOFTWARE\Microsoft\Windows\CurrentVersion\ Uninstall\bridge] Trojan-Downloader.Win32.Domcom.a Trojan-Downloader.Win32.Domcom.a («Лаборатория Касперского») также известен как: HackTool.Win32.Injecter.b («Лаборатория Касперского»), Trojan.DownLoader.1352 (Doctor Web), TROJ_DOMCOM.A (Trend Micro), TR/Dldr.netei (H+BEDV) Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), имеет размер около 67КБ, упакована UPX. Размер распакованного файла около 166КБ. После запуска троянец создает в корневом каталоге Windows следующий файл: %Windir%\loader_exe.dll Затем регистрирует этот файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] "loader32" Троянская программа имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. Файлы загружаются с сервера www.iehelp.net. Net-Worm.Win32.Mytob.h Net-Worm.Win32.Mytob.h («Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM (McAfee), W32.Mytob.O@mm (Symantec), Win32.HLLM.MyDoom.22 (Doctor Web), W32/Mytob-E (Sophos), Win32/Mytob.I@mm (RAV), WORM_MYDOOM.GEN (Trend Micro), Worm/Zusha.A (H+BEDV), W32/Mytob.L@mm (FRISK), Win32.Worm.Mytob.H (SOFTWIN), Worm.Mytob.H-3 (ClamAV), W32/Mytob.G.worm (Panda) Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в упакованном виде — примерно 50 КБ, размер в распакованном виде может быть от 150 КБ до 260 КБ. Вирус распространяется, используя уязвимость MS04-011. Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь основан на исходных кодах Email-Worm.Win32.Mydoom. Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC. Инсталляция После запуска червь копирует себя в системный каталог Windows с именем taskgmr.exe: %System%\taskgmr.exe Также червь создает свои копии в корне диска C:\ со следующими именами: C:\funny_pic.scr C:\my_photo2005.scr C:\see_this!!.scr Затем червь регистрирует себя в ключах автозапуска системного реестра: [HKCU\Software\Microsoft\OLE] [HKCU\Software\Microsoft\Windows\ CurrentVersion\Run] [HKCU\SYSTEM\CurrentControlSet\ Control\Lsa] [HKLM\Software\Microsoft\OLE] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices] [HKLM\SYSTEM\CurrentControlSet\ Control\Lsa] "WINTASK"="taskgmr.exe" Также в корне диска C: червь создает файл с именем hellmsn.exe (около 6 КБ), который детектируется Антивирусом Касперского как Net-Worm.Win32.Mytob.f. Распространение через LSASS-уязвимость Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код. Распространение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения: adb asp dbx htm php pl sht tbb wab При этом червем игнорируются адреса, содержащие следующие подстроки: .edu .gov .mil accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs gov. help iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем Отправитель: Имя отправителя включает в себя один из следующих вариантов: * adam * alex * andrew * anna * bill * bob * brenda * brent * brian * britney * bush * claudia * dan * dave * david * debby * fred * george * helen * jack * james * jane * jerry * jim * jimmy * joe * john * jose * julie * kevin * leo * linda * lolita * madmax * maria * mary * matt * michael * mike * peter * ray * robert * sam * sandra * serg * smith * stan * steve * ted * tom Тема письма: Выбирается из списка: * Error * Good Day * hello * hi * Mail Delivery System * Mail Transaction Failed * Server Report * Status Текст письма: Выбирается из списка: * Here are your banks documents. * Mail transaction failed. Partial message is available. * The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. * The message contains Unicode characters and has been sent as a binary attachment. * The original message was included as an attachments. Имя файла-вложения: Выбирается из списка: * body * data * doc * document * file * message * readme * test * text Вложения могут иметь одно из расширений: * bat * cmd * doc * exe * htm * pif * scr * tmp * txt * zip Удаленное администрирование Net-Worm.Win32.Mytob.h открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять. Прочее Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенные строки и, тем самым, блокируя обращения к данным сайтам: 127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com 127.0.0.1 www.avp.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com Email-Worm.Win32.Finaldo.a («Лаборатория Касперского») также известен как: I-Worm.Finaldo.a («Лаборатория Касперского»), W32/Finaldo.dll (McAfee), W32.Finaldo (Symantec), Win32.Finaldo.51200 (Doctor Web), W32/Finaldo-A (Sophos), Win32/Finaldo.A.dr (RAV), TROJ_FINALDO.A (Trend Micro), W32/Finaldo.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Win32/Finaldo.A.dll (Grisoft), Win32.Finaldo.A@mm (SOFTWIN), W32/Finaldo.A (Panda), Win32/Finaldo.A.Dropper (Eset) Вирус-червь, распространяющийся через интернет во вложениях в зараженные электронные письма. Вирус заражает исполняемые файлы Windows на локальном компьютере и доступных сетевых дисках. Вирус резидентный и полиморфный. Иногда вирус заражает файлы некорректно после чего файлы становятся нерабочими. Coded_by_CJH It's only a demo version. Made in china Запуск вируса Вирус в зараженных EXE-файлах Windows зашифрован. При запуске зараженного файла управление получает полиморфная процедура, которая расшифровывает вирусный код подпрограммы-дроппера и передает ей управление. Расшифрованный дроппер извлекает из зараженного файла основное тело вируса, записывает его в файл FINALDOOM.DLL в папку временных файлов Windows и загружает эту библиотеку в память. После этого код дроппера передает управление основной программе зараженного исполняемого файла. Файл библиотеки обладает атрибутом «скрытый». Основной вирусный компонент Главный компонент вируса является Windows PE-библиотекой (файл DLL) размером около 31 КБ. Файл упакован утилитой UPX для PE EXE-файлов. При запуске, библиотека создает два файла в папке временных файлов Windows: FINALDOOM.EML и FINALDOOM.EXE. Первый — электронное письмо, рассылаемое червем по почте; второй — программа, используемая вирусом для генерации секции MIME для EML-файла. Вирус остается загруженным в память и перехватывает обращения к четырем функциям Windows API: * поиск файлов (FindNextFileA, FindNextFileW); * открытие файлов (CreateFileA, CreateFileW) — вирус заражает файлы EXE, SCR, OCX и изменяет содержимое файлов HTM, HTML, ASP. Вирус также заражает EXE-файлы на всех открытых на запись сетевых дисках. Заражение файлов При заражении EXE-файлов вирус дописывает себя в конец файла. Вирус проверяет название и содержимое файла и не заражает файл NTOSKRNL.EXE и самораспаковывающиеся архивы WinZip и RAR. При внесении изменений в HTML-файлы, червь добавляет в них команду «open eml file» (схожим образом поступает червь Nimda) и копирует файл FINALDOOM.EML в папку к исправленному HTML-файлу. Распространение через email Червь «спит» около 30 минут после заражения компьютера, после чего запускает процедуру саморазмножения. Данная процедура в дальнейшем запускается один раз в 30 минут, т.е. червь рассылает зараженные письма примерно раз в полчаса. Червь подключается через MAPI к системному почтовому клиенту и «отвечает» на находящиеся в ящиках письма. Механизм «ответа» на письма схож с примененным в черве Nimda, используется аналогичный эксплойт для автоматического запуска вложения на компьютере-получателе. Бэкдор Червь устанавливает на зараженный компьютер бэкдор, обладающий следующей функциональностью: * загрузка любого файла и запуск его на исполнение на зараженном компьютере; * перезагрузка компьютера; * выгрузка бэкдора; * показ по команде следующего сообщения: Finaldoom is coming ! Don't worry... It's no harm to your system ! Net-Worm.Win32.Bozori.a («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee) Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10366 байт, упакован UPX. Размер распакованного файла — около 20 KБ. Червь распространяется, используя уязвимость Microsoft Windows Plug and Play Service Vulnerability (MS05-039). Принцип работы червя очень схож с тем, что был использован в червях Lovesan (в августе 2003 года) и Sasser (в мае 2004 года), за исключением того, что Lovesan и Sasser использовали уязвимости в других службах Windows — RPC DCOM и LSASS. Заражению подвержены компьютеры, работающие под управлением Windows 2000. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет. Червь содержит в себе функцию бекдора, принимающего команды по каналам IRC. Инсталляция После запуска червь копирует себя в системный каталог Windows с именем wintbp.exe: %System%\wintbp.exe Червь регистрирует этот файл в ключах автозагрузки системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "wintbp.exe"="wintbp.exe" При каждой следующей загрузке Windows автоматически запустит файл червя. После чего оригинальный запускаемый файл удаляется. Червь создает уникальный идентификатор «wintbp.exe» для определения своего присутствия в системе. Распространение по сети Червь открывает на зараженном компьютере TFTP-сервер на порту UDP 69, после чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, открывает на нем TCP-порт 8594 и загружает свою копию на уязвимый компьютер. После чего запускает на исполнение свою копию на удаленной машине. Удаленное администрирование Net-Worm.Win32.Bozori.a соединяется с IRC-сервером 72.20.**.115 для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять. Прочее После заражения инфицированная машина выводит сообщение об ошибке, после чего может попытаться перезагрузиться. W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе, описанную в бюллетене безопасности MS05-039. MS05-039. W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4. Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров. При запуске W32.Zotob.A выполняет следующие действия: 1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R 2. Копирует себя как %System%\botzor.exe. 3. Добавляет значение: "WINDOWS SYSTEM" = "botzor.exe" в подключи реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices 4. Изменяет значение: "Start" = "4" в ключе реестра: HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess чтобы отключить Shared Access сервис в Windows 2000/XP. 5. Соединяется с IRC сервером на домене [http://]diabl0.turkcoders.net/[REMOVED] по 8080 TCP порту. Что дает удаленный неавторизованный доступ. 6. Открывает FTP сервер по 33333 TCP порту . 7. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x. 8. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039. 9. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем: %System%\2pac.txt 10. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере: %System%\haha.exe 11. Добавляет следующие записи в хост файл: .... Made By .... Greetz to good friend [REMOVED] in the next 24hours!!! 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.amazon.com 127.0.0.1 www.amazon.co.uk 127.0.0.1 www.amazon.ca 127.0.0.1 www.amazon.fr 127.0.0.1 www.paypal.com 127.0.0.1 paypal.com 127.0.0.1 moneybookers.com 127.0.0.1 www.moneybookers.com 127.0.0.1 www.ebay.com 127.0.0.1 ebay.com («Лаборатория Касперского») также известен как: Trojan.Mzu (Doctor Web) Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Представляет собой Windows PE EXE-файл. Имеет размер 39397 байт. Упакована FSG. Размер распакованного файла — 135168 байт. После запуска троянец копирует себя в системный каталог Windows с именем mdms.exe: %System%\mdms.exe Затем регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SysMemory manager"="%System%\mdms.exe" При каждой следующей загрузке Windows автоматически запустит файл-троянец. Также в системном каталоге Wi Сообщение отредактировано Solo - 14.02.2006 - 11:15 |
|
|
14.02.2006 - 11:12
Вставить ник | Быстрая цитата | Сообщение
#2
|
|
lamerok Группа: Участник Сообщений: 221 Регистрация: 12.05.2004 Пользователь №: 3504 |
Технические детали Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ. Инсталляция После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например: %System%\Sample.zip При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами: %System%\New WinZip File.exe %System%\scanregw.exe %System%\Update.exe %System%\Winzip.exe %System%\WINZIP_TMP.EXE %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe %Windir%\rundll16.exe После чего червь регистрирует себя в ключе автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry"="scanregw.exe /scan" При каждой следующей загрузке Windows автоматически запустит файл червя. Также червь изменяет следующие ключи реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "WebView"="0" "ShowSuperHidden"="0" Распространение через email Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения: dbx eml htm imh mbx msf msg nws oft txt vc Червь также сканирует файлы, имеющие в своем имени следующие подстроки: content temporary При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем Тема письма:
Текст письма: Имя файла-вложения: Распространение через открытые сетевые ресурсы ADMIN$ C$ Прочее В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "APVXDWIN" "avast!" "AVG_CC" "AVG7_CC" "AVG7_EMC" "AVG7_Run" "Avgserv9.exe" "AVGW" "BearShare" "ccApp" "CleanUp" "defwatch" "DownloadAccelerator" "kaspersky" "KAVPersonal50" "McAfeeVirusScanService" "MCAgentExe" "McRegWiz" "MCUpdateExe" "McVsRte" "MPFExe" "MSKAGENTEXE" "MSKDetectorExe" "NAV Agent" "NPROTECT" "OfficeScanNT Monitor" "PCCClient.exe" "pccguide.exe" "PCCIOMON.exe" "PccPfw" "Pop3trap.exe" "rtvscn95" "ScanInicio" "ScriptBlocking" "SSDPSRV" "TM Outbreak Agent" "tmproxy" "Vet Alert" "VetTray" "VirusScan Online" "vptray" "VSOCheckTask" Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки: fix kaspersky mcafee norton removal scan symantec trend micro virus Червь удаляет все найденные файлы из следующих папок: %ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll %ProgramFiles%\DAP\*.dll %ProgramFiles%\Grisoft\AVG7\*.dll %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl %ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar %ProgramFiles%\McAfee.com\Agent\*.* %ProgramFiles%\McAfee.com\shared\*.* %ProgramFiles%\McAfee.com\VSO\*.exe %ProgramFiles%\Morpheus\*.dll %ProgramFiles%\NavNT\*.exe %ProgramFiles%\Norton AntiVirus\*.exe %ProgramFiles%\Symantec\Common Files\Symantec Shared\*.* %ProgramFiles%\Symantec\LiveUpdate\*.* %ProgramFiles%\Trend Micro\Internet Security\*.exe %ProgramFiles%\Trend Micro\OfficeScan Client\*.exe %ProgramFiles%\TREND MICRO\OfficeScan\*.dll %ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe %ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe Все перечисленные действия червя делают систему более уязвимой для последующих атак. Также червь может загружать из интернета свои обновления без ведома пользователя. Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры. Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения: dmp doc mdb mde pps ppt psd rar xls zip Испорченные файлы содержат следующий текст: DATA Error [47 0F 94 93 F4 F5] Рекомендации по удалению:
|
|
|
16.03.2006 - 17:29
Вставить ник | Быстрая цитата | Сообщение
#3
|
|
Когда меня принес аист, родители смеялись и хотели взять аиста Группа: Участник Сообщений: 262 Регистрация: 9.10.2003 Пользователь №: 369 |
Trojan-Downloader.Win32.Delf.bn
[/b]роянская программа выполняется на операционных системах Windows. Представляет собой HTML-страницу. Размер файла — 45699 байт. Содержит JavaScript, использующий уязвимость в Microsoft Internet Explorer 5.01, 5.5 и 6.0, известную как Local Executable Invocation via Object tag (MS02-015). Первоначально данный троянец был разослан при помощи спам-рассылки. В начале HTML-файла находится архив с троянской программой, имеющий формат Microsoft Cabinet. Находящаяся в архиве троянская программа представляет собой исполняемый PE EXE-файл. Написана на языке Delphi. Имеет размер 67073 байта. Инсталляция Скрипт страницы содержит обработчик события загрузки страницы, который каждые полсекунды вызывает функцию, внедряющую трояна в систему. Троянский код ждет пока браузер перейдет в автономномный режим, после чего создает новое окно с координатами -10000, -10000. В окне открывается страница с помещенным на ней троянским ActiveX-компонетом. Программа установки ActiveX-компонентов распаковывает из содержащегося в веб-странице архива файл totalworm.dll во временную папку «%Windir%\Downloaded Program Files», после чего загружает и регистрирует в системе содержащийся в нем ActiveX-компонент. Файл totalworm.dll имеет размер 85504 байта и является динамической библиотекой Windows. При загрузке этой библиотеки она дешифрует встроенный в нее EXE-файл и сохраняет его в системный каталог Windows с именем systemxp.exe (размер 67073 байт): %System%\systemxp.exe После чего данный файл запускается на исполнение и регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Systemxp"="%System%\systemxp.exe" При каждой следующей загрузке Windows автоматически запустит файл-троянец. Также троянец изменяет следующую запись в системном реестре, чтобы заблокировать работу с системным реестром Windows: [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1" Деструктивная активность Троянец пытается установить соединение с интернетом используя функции библиотеки wininet: 1. Инициализирует интернет соединение случайным образом, выбирая тип подключения «direct» или используя системные настройки. 2. Запускает поток, который в цикле 300 раз с задержкой 10 миллисекунд ищет в системе диалог дозвона к интернету, если находит — скрывает его и имитирует нажатие на кнопку дозвона. 3. Пытается связаться с адресом ]]>http://www.google.com]]>, после этого делает задержку в 5 минут и повторяет попытку. Если удается соединиться с интернетом, программа открывает следующий URL: ]]>http://www.***ivizion1.wz.cz/echo.php]]> Далее троянец пытается выполнить загрузку других файлов из интернета. При успешном соединении с интернетом троянец открывает следующий URL: ]]>http://www.***ivizion1.wz.cz/isexe.php]]> и ждет ответа от сервера. Если возвращается строка «ok», то троянец удаляет файл sys9x1old.exe из системного каталога Windows, если такой существует. Если в системном каталоге ОС существует файл sys9x1.exe, троянец переименовывает его в sys9x1old.exe. После чего троянец соединяется со следующим URL: ]]>http://www.***ivizion1.wz.cz/getexefile.php]]> принимает данные с сервера и записывает их в файл sys9x1.exe расположенный в системном каталоге ОС. После окончания приема данных запускает этот файл на выполнение. Также при определенных условиях троянец блокирует работу с диспетчером задач Windows. not-virus:Hoax.Win32.CardGen.a Программа-обман. Создана для взлома платежной системы WebMoney. Размер программы — 284672 байта. Программа предлагает без ограничений генерировать деньги в системе WebMoney. При старте программы необходимо выбрать валюту и установить необходимые настройки. После нажатия на кнопку «Создать Fly кошелек» выдается сообщение: Зарегистрируйте программу!!! При нажатии на кнопку «Регистрация» предлагается перевести деньги на электронный кошелек в системе WebMoney. То есть, по умолчанию программа не выполняет никаких действий. Для того чтобы «полноценно» воспользоваться «функционалом» программы нужно ее зарегистрировать, заплатив деньги авторам. Выдержка с сайта разработчиков программы: Программа сама по себе бесплатна, но платная регистрация, конечно же без регистрации программа работать не будет. Регистрационный ключ для активации программы стоит 18$. (раздел регистрация) С помощью демо-версии вы сможете набрать 300WMZ для покупки полной версии программы FlyWM (FlyWM - Real). Также Вы можете остановиться на достигнутом и забрать сгенерированные 300WMZ, но смысла в этом мало, т.к. с помощью приобретённой программы FlyWM — Real Вы сможете генерировать 50WMZ за раз, никаких ограничений на программе не стоит, Вы сможете генерировать деньги хоть каждую минуту: Гарантии! Подумайте сами, какие гарантии мы Вам можем дать. Мы вам можем сказать что "Программа работает" и "Мы вам ее вышлем" остальное - ваши проблемы. Мы не ставим для себя цели распространить эту программу по «всему инету». Естественно, что после оплаты регистрации обещанный функционал лишь имитируется. Данная программа ничего не генерирует и является программой-подделкой. Trojan-Downloader.Win32.Small.bpz [/b]Троянская программа, загружающая из интернета файлы без ведома пользователя. Представляет из себя исполняемый PE EXE-файл. Работает на операционных системах Windows. Написана на языке C. Упакована FSG. Размер зараженных файлов незначительно варьируется в пределах от 2800 до 5600 байт. После запуска троянец пытается загрузить файл с различных URL, которые содержатся в теле троянца. Скаченный из интернета файл сохраняется с именем 1213.4516.exe во временном каталоге Windows: %Temp%\1213.4516.exe Если такой файл уже существовал, он удаляется. Затем загруженный файл копируется в системный каталог Windows с именем split.exe: %System%\split.exe После этого файл запускается на исполнение. В случае существования данного файла он просто запускается, при этом он заново из интернета не загружается. В случае неудачной попытки загрузить файл, происходит задержка на 5 минут, затем попытка повторяется. Другие названия Trojan-Downloader.Win32.Small.bpz («Лаборатория Касперского») также известен как: Generic Downloader.h (McAfee), Trojan Horse (Symantec), Trojan.DownLoader.4472 (Doctor Web), TR/Dldr.Small.bpz (H+BEDV), Downloader.Generic.GIB (Grisoft), Trojan.Downloader.Small.BPZ (SOFTWIN), Trojan.Downloader.Small-811 (ClamAV), Trj/Downloader.FEQ (Panda), Win32/TrojanDownloader.Small.AWA (Eset) Trojan-Dropper.Win32.Mixus.b [/b]Троянская программа, созданная для скрытой установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер 23072 байта. Упакован FSG. Размер распакованного файла — около 54 КБ. Троянская программа при запуске скрыто устанавливает в систему следующие файлы: * %Windir%\svchost32.exe (25131 байт) — детектируется Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.fi; * %Windir%\syskey.exe (10416 байт) — детектируется Антивирусом Касперского как Trojan-Spy.Win32.Banker.bs; * %System%\iesprt.sys (8784 байта) — детектируется Антивирусом Касперского как Trojan-Spy.Win32.Banker.bq; * %System%\lsd_f3.dll (14336 байт) — детектируется Антивирусом Касперского как Trojan-Spy.Win32.Banker.bs. Затем созданные файлы запускаются на исполнение. Другие названия Trojan-Dropper.Win32.Mixus.b («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Mixus.b («Лаборатория Касперского»), PWSteal.Banpaes (Symantec), Trojan.PWS.Banker (Doctor Web), TrojanDropper:Win32/Mixus.B (RAV), TROJ_MIXUS.B (Trend Micro), Trj/Multidropper.ER (Panda) Trojan-Downloader.JS.Small.au [/b]Троянская программа, написанная на языке JavaScript. Имеет размер около 1 КБ. Обычно содержится в HTML-страницах, размер которых может быть любым. Модифицирует HTML-страницу таким образом, чтобы при ее показе браузер Internet Explorer незаметно для пользователя скачивал какой-либо исполняемый файл и запускал его на выполнение. После запуска троянец открывает следующую интернет-страницу: ]]>http://zhir**.com/traf/panti]]> Email-Worm.Win32.Silly.e [/b]Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Размер зараженного файла 154624 байт. Инсталляция При инсталляции червь копирует себя в корневой каталог Windows в папку Fonts со случайным именем: %Windir%\Fonts\<случайное имя>.com Затем червь регистрирует себя в ключе автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "TempCom"="%Windir%\Fonts\<случайное имя>.com" При каждой следующей загрузке Windows автоматически запустит файл червя. Также червь изменяет следующие записи в системном реестре: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState] "fullpath"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "HideFileExt" = "1" "Hidden" = "0" Распространение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows. Рассылается по всем найденным в них адресам электронной почты. Характеристики зараженных писем Тема письма Document Имя файла-вложения Document.exe |
|
|
22.09.2007 - 21:11
Вставить ник | Быстрая цитата | Сообщение
#4
|
|
Звезда форума Группа: Участник Сообщений: 1620 Регистрация: 4.11.2006 Пользователь №: 16590 |
Этот вирус создает в папке файл с таким же названием папки. (в формате .exe) и файл folder.htt
Например /новая_папка/новая_папка.exe и там же folder.htt Что это за черв? Опасный ли или нет? Как я понимаю он не заражает файлы, а копирует себя куда только можно. Инета нету, поэтому хочу узнать инфу тут. Заранее спасибо. И Вашему компу не "болеть" P.S. На форуме читал про этот червяк, интересует вопрос - Изменился ли он за этот промежуток времени, т.к. антивир палить его начал после обновления.. Close topic. Удалил вирус, очистилось около 200метров дисака. Сообщение отредактировано Jeepers Creepers - 23.09.2007 - 16:50 |
|
|
31.10.2007 - 00:00
Вставить ник | Быстрая цитата | Сообщение
#5
|
|
Энтузиаст Группа: Участник Сообщений: 361 Регистрация: 12.11.2004 Пользователь №: 5343 |
[font size=4]Обзор вирусной активности, сентябрь 2007[/font]
Позиция Изменение позиции Вредоносная программа Вердикт PDM Доля, проценты 1. 0 Email-Worm.Win32.NetSky.q Trojan.generic 25,22 2. +1 Email-Worm.Win32.NetSky.aa Trojan.generic 10,83 3. +3 Email-Worm.Win32.Mydoom.l Trojan.generic 10,04 4. -2 Email-Worm.Win32.Bagle.gt Trojan.generic 7,62 5. Return Email-Worm.Win32.Nyxem.e Trojan.generic 6,03 6. -2 Net-Worm.Win32.Mytob.c Trojan.generic 5,18 7. -2 Worm.Win32.Feebs.gen Hidden Data Sending 4,69 8. -1 Email-Worm.Win32.NetSky.t Trojan.generic 3,03 9. New Trojan-Spy.HTML.Paylap.bg [HTML] 2,62 10. 0 Email-Worm.Win32.NetSky.b Trojan.generic 2,62 11. 0 Email-Worm.Win32.NetSky.x Trojan.generic 2,35 12. 0 Email-Worm.Win32.Scano.gen Trojan.generic 1,72 13. -5 Exploit.Win32.IMG-WMF.y [WMF] 1,58 14. -5 Net-Worm.Win32.Mytob.t Worm.P2P.generic 1,38 15. +3 Net-Worm.Win32.Mytob.dam [Damaged] 1,35 16. 0 Email-Worm.Win32.Womble.a Trojan.generic 1,06 17. Return Email-Worm.Win32.NetSky.d Trojan.generic 1,03 18. -5 Net-Worm.Win32.Mytob.u Worm.P2P.generic 0,97 19. Return Email-Worm.Win32.Mydoom.e Trojan.generic 0,93 20. Return Email-Worm.Win32.NetSky.y Trojan.generic 0,83 Остальные вредоносные программы 8,92 Trojan.Win32.KillFiles.ac Другие версии: .ki, .lm Другие названия Trojan.Win32.KillFiles.ac («Лаборатория Касперского») также известен как: Del-412 (McAfee), Trojan Horse (Symantec), Troj/KillFil (Sophos), Trojan:Win32/KillFiles.AC (RAV), TROJ_KILLFILE.AC (Trend Micro), TR/KillFiles.AC (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Killfiles.AC (SOFTWIN), Trojan Horse (Panda), Win32/KillFiles.AC (Eset) Описание опубликовано 29 окт 2007 Поведение Trojan, троянская программа Технические детали Деструктивная активность Рекомендации по удалению Технические детали Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 35328 байт. Деструктивная активность Троянец выполняет следующие команды в своей рабочей папке: echo del *.txt echo del *.doc echo del *.xls echo del *.com echo del *.dll echo del *.dot echo del *.bin echo del *.htm echo del *.ppt echo del *.avi echo del *.mp3 echo del *.src echo del *.bmp echo del *.cfg echo del *.mpg echo del *.drv echo del *.vxd echo del *.mdb Это приводит к удалению из рабочей папки троянца всех файлов с вышеуказанными расширениями. Trojan-AOL.Win32.Buddy.a Другие названия Trojan-AOL.Win32.Buddy.a («Лаборатория Касперского») также известен как: Trojan.AOL.Buddy.a («Лаборатория Касперского»), APStrojan.ob (McAfee), AOL.PWSteal.32512 (Symantec), Trojan.Buddy (Doctor Web), Troj/Aolps-OB (Sophos), Trojan:Win32/PennyTools.236544.A (RAV), TROJ_AOL.BUDDY (Trend Micro), TR/APS-Ob_#2 (H+BEDV), W32/PennyTools.trojan (FRISK), Win32:Trojan-gen. (ALWIL), Trojan.AOL.Buddy.A (SOFTWIN), Trojan.AOL.Buddy.A (ClamAV), Trojan Horse.LC (Panda), AOL.Buddy.A (Eset) Описание опубликовано 12 янв 2000 Поведение Trojan, троянская программа Технические детали текст написан Алексеем Подрезовым, Data Fellows Ltd. Троянский конь "Trojan.Aol.Buddy" (также известен под именем "PennyTools Trojan") ворует пароли входа в Интернет у пользователей известного провайдера America Online. На сегодняшний день (май 1999) известны две версии этого "троянца". Использует очень хитрый способ внедрения на компьютеры: применяются одновременно 5 различных уловок для создания дополнительных трудностей для удаления троянца. 1. При помощи системного реестра Windows, изменяя ключ RUN, для запуска скрытого файла C:\COMMAND.EXE, содержащего в себе тело этого троянца. 2. При помощи изменения файла SYSTEM.INI, добавляя в него ссылку на скринсэйвер C:\Windows\System\WINSAVER.EXE. Система заражается в момент запуска этого скринсэйвера. 3. При помощи изменения файла WIN.INI, добавляя в него запуск скрытого файла C:\America Online 4.0\BUDDYLIST.EXE в строку "LOAD=". Интересно то, что между самим именем файла и строкой "LOAD=" троянец ставит ровно 80 символов, так чтобы пользователь не смог сразу увидеть эту ссылку. 4. Также в файл WIN.INI добавляется запуск скрытого файла C:\Windows\System\NortonAntiVir\REGISTRYREMINDER.EXE в строку "RUN=" 5. В папку автозагрузки (\Windows\Start Menu\Programs\Startup) добавляется файл AIM REMINDER.EXE Также в каталоге \Windows\System создается файл VCLCNTL.DLL, содержащий отнюдь не DLL код, а определенные текстовые данные, необходимые самому троянцу. При запуске Windows он также запускается, используя один из описанных выше способов, и остается активным все время работы операционной системы. Программа находит и посылает имя и пароль пользователя системы America Online на адреса электронной почты qware4019@hotmail.com или ha015312@hotmail.com (зависит от версии троянца). Backdoor.Win32.Cocoazul.e Другие названия Backdoor.Win32.Cocoazul.e («Лаборатория Касперского») также известен как: Worm.Win32.Cocoazul.e («Лаборатория Касперского»), W32/Crowt.worm (McAfee), W32.Crowt.A@mm (Symantec), Win32.HLLW.Cocoazul (Doctor Web), W32/Crowt-A (Sophos), Worm:Win32/Cocoazul.E (RAV), WORM_CROWT.A (Trend Micro), Worm/Crowt.A.DLL (H+BEDV), W32/Cocoazul.C@mm (FRISK), Collected.2.B (Grisoft), Win32.Worm.Cocoazul.E (SOFTWIN), W32/Crowt.A.worm (Panda), Win32/Cocoazul.D (Eset) Детектирование добавлено 20 янв 2005 Описание опубликовано 10 мар 2005 Поведение Net-Worm, интернет-червь Технические детали Троянская программа-бэкдор. Файл программы называется services.exe, имеет размер 26624 байта, упакован UPX. Инсталляция При первом запуске программа извлекает из себя DLL-библиотеку и сохраняет ее в системной директории под именем services.dll (размер 19968 байт, упакован UPX). Также копирует себя под именем services.exe в директории C:\Program Files\Common Files и в директорию автозагрузки меню «Пуск». Прописывается для автозагрузки в реестр: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Services Logon" После чего открывает страницу ]]>http://www.cnn.com/WORLD/]]> в браузере по умолчанию, а также скрытно заходит на ]]>http://cocorosa.***.**/~uw/counter.php]]>. Отсылает своему автору уведомительное письмо о том, что компьютер заражен. Действия Предоставляет удаленный доступ к зараженному компьютеру, позволяя автору троянца выполнять такие действия, как операции с файлами, запись нажатий клавиш, сбор информации о компьютере, перезагрузка и др. Trojan.BAT.Simpsons Другие названия Trojan.BAT.Simpsons («Лаборатория Касперского») также известен как: Bat/dt108 (McAfee), Simpsons.Trojan (Symantec), Troj/Simpsons (Sophos), BAT/Simpson.A* (RAV), BAT_SIMPSONS (Trend Micro), BAT/Simpsons (H+BEDV), BAT/Simpson.A (FRISK), BV:Qo (ALWIL), BAT.Trojan.Simpsons (SOFTWIN), Trojan.Bat.Simpsons (ClamAV), BAT/Simpsons (Panda), BAT/Simpsons (Eset) Описание опубликовано 29 июн 2000 Поведение Trojan, троянская программа Технические детали Примитивный троянец, написанный на командном языке DOS (т.е. является BAT-файлом). При запуске уничтожает все файлы на дисках C:, A:, B:, D: (именно в такой последовательности); использует при этом DOS-команду "DELTREE /Y". Затем троянец уничтожает на тех же дисках файлы SIMPSONS.* (непонятно зачем - все файлы уже и так уничтожены). Троянец был обнаружен "в диком виде". Он распространялся неизвестным злоумышленником в виде инсталлятора SIMPSONS (формат: самораспаковывающийся архив WinZip). При запуске инсталлятор выводи стандартное сообщение WinZip, распаковывает троянца и запускает его на выполнение. Trojan.DOS.On4ever Другие названия Trojan.DOS.On4ever («Лаборатория Касперского») также известен как: Trojan.On4ever («Лаборатория Касперского»), Univ.worm (McAfee), ON4EVER.111 (Symantec), On4Ever.111 (Doctor Web), On4ever (Sophos), Trojan:On4ever (RAV), TROJ_ON4EVER (Trend Micro), VGEN/1789.11 (H+BEDV), On4ever-111 (ALWIL), Trojan.On4ever (SOFTWIN), Trojan.On4ever (ClamAV), Trj/On4ever (Panda) Описание опубликовано 12 янв 2000 Поведение Trojan, троянская программа Технические детали Длина - 111 байт. При запуске создает файл 00000001.COM, записывает свой код в этот файл, записывает в буфер клавиатуры строку 00000001.COM и выходит в DOS. В буфере клавиатуры находится имя вновь созданного файла, DOS реагирует на это как на команду запуска файла и запускает его. Файл 00000001.COM тем же способом создает и запускает файл 00000002.COM, затем 00000002.COM создает 00000003.COM и т.д. Nuker.Win32.Lsass.a Другие названия Nuker.Win32.Lsass.a («Лаборатория Касперского») также известен как: Exploit-MS04-011.gen (McAfee), Hacktool.LsassSba (Symantec), Win32:Sasdoor (ALWIL), NewHeur_PE (Eset) Описание опубликовано 11 май 2005 Поведение Nuker, утилиты для атак через уязвимости Технические детали Программа для тестирования сетевого компьютера на наличие уязвимости MS04-011. Данная уязвимость некоторых версий MS Windows заключается в возможности удаленного переполнения буфера RPC-сервиса (lsasrv.dll), что может повлечь за собой вторжение в систему и кражу конфиденциальной информации. Программа имеет функцию автоопределения операционной системы (OS) испытуемой машины. IRC-Worm.IRC.Edoc Другие названия IRC-Worm.IRC.Edoc («Лаборатория Касперского») также известен как: IRC-Worm.Edoc («Лаборатория Касперского»), IRC/Edo (McAfee), IRC.Family.Gen (Symantec), mIRC/Edoc-A (Sophos), IRC/Edoc* (RAV), TROJ_MAKEOP.A (Trend Micro), Worm/Edoc (H+BEDV), VBS:Malware (ALWIL), Backdoor.IRC.Edoc (SOFTWIN), Worm Generic (Panda), mIRC/Edoc.A (Eset) Описание опубликовано 16 янв 2002 Поведение IRC-Worm, червь для IRC-каналов Технические детали Достаточно простой сетевой вирус-червь. Размножается в IRC-каналах. Этот червь посылает следующее сообщение всем пользователям (кроме оператора канала), которые присоединяются к каналу, к которому подключен инфицированный пользователь: hey to get OPs use this hack in the chan but SHH! ////$decode(d3JpdG.................................................. .......................................................... .......................................................... .......................................................... ......................................................... .........................SkgLG0p,m) | $decode(Lmxv........IMQ= ,m) (точками заменено тело червя) В этом сообщении, линия, начинающаяся с "//" - является командой (скрипт) и содержит тело червя в MIME base64 кодировке. Если пользователь, который получил сообщение, запустит скрипт, червь создаст файл, который распространит червя далее в IRC каналах, и добавляет ссылку в "mirc.ini", на вирусный файл. Virus.Boot-DOS.Senda.4162 Другие названия Virus.Boot-DOS.Senda.4162 («Лаборатория Касперского») также известен как: Senda.4162 («Лаборатория Касперского»), Senda.mp (McAfee), Senda.4162 (Doctor Web), Senda-4162 (Sophos), Senda (RAV), SENDA.4162.A-B (Trend Micro), BOO/SENDA (H+BEDV), Senda (FRISK), Senda-4162 (ALWIL), Senda.4162.MBR (Panda) Описание опубликовано 12 янв 2000 Поведение Virus, компьютерный вирус Технические детали Опасный зашифрованный файлово-загрузочный резидентный вирус. Перехватывает INT 13h, 21h. Записывается в конец .COM-файлов, в MBR винчестера и boot-сектора дискет. По причине ошибки портит COMMAND.COM от Windows95, по этой причине вирус неработоспособен в этой ОС. Содержит строку: - Senda, dedicated to my love PL - |
|
|
Текстовая версия | Сейчас: 26.04.2024 - 10:55 |