форум | чат | почта | литератор | sms | аватары | доска объявлений | фотогалерея
Форум Твери город Тверь форум МультиПортал города Твери портал новости общение чат знакомства бизнес власть Тверская область
Главная

Здравствуйте Гость ( Вход | Регистрация )

 
Reply to this topicStart new topicStart Poll

Каскадный · [ Стандартный ] · Линейный

> Новые вирусы,черви,шпионы, последние вирусы,черви,программы шпионы

Ежов
post May 19 2005, 21:51
Отправлено #1


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Нучто ж начнемс.....
Посостаянию на 19.05.05г в "новинках" появились следующие гадости:
Читайте,запаминайте :rtfm: и потом не говорите, что не предупреждали ;)

not-a-virus:AdWare.Background

Not-A-Virus-программы из зоны риска!!!

Технические детали:

Программа с функционалом рекламного агента (AdWare). Используется во множестве продуктов компании разработчика — Broderbund. При старте продукта, данная программа скачивает картинки с сайта разработчика и демонстрирует их как заставки к продуктам (splash screens). Поддерживает автодозвон по модему.

Создает ключи реестра:

[Software\Broderbund Software]
[CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}]
Добавляет свой ключ для автозапуска:

[SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DSS"="<путь до>\Dssagent.exe"
Периодически подключается к своему головному серверу по адресу:

www.brodcast.net/perl/DSS/querySS.cgi
Содержит строки:

Broderbund DSS background agent
User-Agent: Broderbund Application DSS
DSS - IP connection went south in the middle of an image download

Trojan-Downloader.Win32.Tibser.c

Другие названия:
Trojan-Downloader.Win32.Tibser.с также известен как: Dialer.Tibs (Doctor Web), TROJ_TIBSER.C (Trend Micro), TR/Dldr.Tibser.c (H+BEDV), Downloader.Tibser.E (Grisoft), Trojan.Downloader.Tibser.C (SOFTWIN), Trojan.Downloader.Tibser-3 (ClamAV), Win32/TrojanDownloader.Tibser.C (Eset).

Trojan-Downloader - троянский загрузчик

Технические детали:

Размер файла программы — около 25 КБ. Упакован FSG.

Копирует себя в системную директорию под именем tibs*.exe. Добавляет запись автозагрузки в ключ реестра [HKLM/Software/Microsoft/CurrentVersion/Run].

Устанавливает в систему вредоносную программу Trojan-Proxy.Win32.Sobit.

з.ы. за остальное время я не стал приводить,т.к считаю, что раз начал тему с сегодняшнего дня,то и отсчет решил вести тоже с сегодняшнего...


--------------------
www.books.lc Скачать книги бесплатно
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post May 20 2005, 17:46
Отправлено #2


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Итак гадости на 20.05.05...

Trojan-Spy.Win32.Lydra.a

Другие названия:
Trojan-Spy.Win32.Lydra.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Lydra.a («Лаборатория Касперского»), BackDoor-CFJ (McAfee), BackDoor.Voron (Doctor Web), Troj/Lydra-A (Sophos), TrojanSpy:Win32/Lydra.A (RAV), TROJ_LYDRA.A (Trend Micro), TR/Win32.Lydra.A (H+BEDV), Win32:Trojan-gen. (ALWIL), PSW.Lydra.A (Grisoft), Trojan.Spy.Lydra.A (SOFTWIN), Trojan.Lydra.A (ClamAV), Win32/Spy.Lydra.A (Eset).

Технические детали:
Вредоносная программа написана на Delphi, упакована UPX. Размер файла составляет примерно 26 КБ.

Инсталляция:
При запуске копирует себя в директорию Windows под именами INTERNAT.EXE и MDM.EXE.

Добавляет записи для автозагрузки в реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_USERS\S-1-5-21-583907252-764733703-839522115-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"INTERNAT"="%WINDIR%\INTERNAT.EXE"

[HKEY_USERS\S-1-5-21-583907252-764733703-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run]
"MDM"="%WINDIR%\mdm.exe"

Также копирует себя в папку автозагрузки меню «Пуск» под именем msoffice.exe.

На NT-системах дополнительно добавляет запись об автозагрузке в список сервисов (под именем INTERNAT).

Создает папку IME в директории Windows и хранит в ней лог-файл с именем err.dat.

Скрывает свой процесс на Win9x-системах.

Если год текущей даты старше, чем 2004, то программа завершается и деинсталлируется, оставляя в файле err.dat запись:

Period of validity expired. Look for new version the KI_Scaner programm in Internet or buy KI_Scaner Pro
Действия
Собирает различную системную информацию (имя компьютера, списки файлов, настройки системы, конфигурацию оборудования) и отсылает ее автору на несколько email-адресов.

Backdoor.Win32.Netbus.170

Другие названия:
Backdoor.Win32.Netbus.170 («Лаборатория Касперского») также известен как: NetBus (McAfee), BackDoor.NetBus.170 (Doctor Web), Troj/Netbus-A (Sophos), Backdoor:Win32/NetBus.1_70 (RAV), BKDR_NETBUS.C (Trend Micro), TR/NB/Patch-1.7 (H+BEDV), W32/NetBus.backdoor.494592.B (FRISK), Win32:NetBus-17 (ALWIL), BackDoor.Netbus.BC (Grisoft), Trojan.Netbus.A (SOFTWIN), Trojan.Netbus.KeyHook170 (ClamAV), Bck/Netbus.I (Panda), Netbus.170 (Eset)
Backdoor-троянская программа удаленного администрирования
Технические детали:
Программа предоставляет полный контроль над компьютером-жертвой, обеспечивает неограниченный доступ злоумышленнику для осуществления различных действий на компьютере пользователя, например, загрузки или скачивания файлов, запуска приложений, получения снимков экрана и т.п. Также имеет функционал keylogger, т.е. протоколирование ввода с клавиатуры для перехвата паролей и другой конфиденциальной информации.

Данная программа устанавливает свои файлы в следующие папки (имя файлов может отличаться):

%Windir%\KeyHook.dll
%Windir%\MSCOMCNFG.EXE
Mscomcnfg.exe — основной компонент, который обеспечивает доступ к компьютеру пользователя. KeyHook.dll — компонент, который ведет протокол ввода с клавиатуры.

Программа написана на Delphi, в ее полный состав может входить 5-7 файлов общим объемом около 5 МБ (размер основной компоненты — около 500 КБ).

Содержит текст:
Could not update NetBus server (probably running).
NetBus 1.70
NetBus server is running on at port
Set password on NetBus-server:
Subject: NetBus server is up and running.


Backdoor.Win32.Haxdoor.cn

Другие версии: .o
Другие названия:
Backdoor.Win32.Haxdoor.cn («Лаборатория Касперского») также известен как: BackDoor-BAC.gen.b (McAfee), Backdoor.Haxdoor.D (Symantec), Bck/Haxdoor.AW (Panda).

Backdoor-троянская программа удаленного администрирования.

Технические детали:
Программа упакована FSG, размер в упакованном виде — около 50 КБ. Скрывает свое пребывание в системе.

Инсталляция:
После запуска вирус переносит свой файл в системную директорию Windows под именем mszx23.exe. Далее на машину-жертву, в системную директорию, устанавливаются остальные модули программы:

cz.dll
drct16.dll
hz.sys
vdmt16.sys
winlow.sys
wz.sys
Модули скрываются от системных вызовов Windows, в связи с чем их невозможно увидеть ни на диске, ни в процессах при загруженной операционной системе.

Все файлы за исключением cz.dll, являющегося основным модулем бэкдора, устанавливаются только на операционных системах семейства Windows NT.

Программа регистрирует себя в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
"DllName"="drct16.dll"
"Startup"="MeMessager"
"Impersonate"="1"
"Asynchronous"="1"
"MaxWait"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VDMT16\0000\Control]
"ActiveService"="vdmt16"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOW\0000\Control]
"ActiveService"="winlow"

В том числе в списке сервисов под именами VIRTwin и SCNDmem. Соответствующие ключи реестра:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow]
Действия
Открывает несколько портов и ожидает подключения машин-клиентов, которые затем могут отдавать бэкдору команды с целью похищения паролей, системной информации и произведения других несанкционированных действий.

<Non-existant Process>:636 TCP win2k_105:10244 win2k_105:0 LISTENING
<Non-existant Process>:636 TCP win2k_105:17981 win2k_105:0 LISTENING
<Non-existant Process>:636 TCP win2k_105:23065 win2k_105:0 LISTENING
Сразу после запуска отправляет автору на заданный email-адрес электронное письмо с краткой системной информацией и IP-адресом зараженной машины.

Имеет в своем арсенале большой набор команд для удаленного администрирования. Может сохраняет логи нажатий клавиш и списки открытых окон. Сохраняет собранную информацию в файлах, находящихся в системной директории и так же сокрытых от системных вызовов операционной системы, как и исполняемые модули:

fltr.a3d
i.a3d
klogini.dll
p2.ini
redir.a3d
tnfl.a3d.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post May 25 2005, 23:51
Отправлено #3


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Итак черви и трояны на 25 число сего месяца.....

not-a-virus:RiskWare.PSWTool.Win32.PWDump.3

Технические детали:
Программа для получения хешей паролей (их контрольных сумм) с удаленных Windows NT/2000/XP машин. При подсоединеннии к удаленной машине (а для этого нужно знать хотя бы один рабочий пароль к аккаунту на ней) программа подключается к ресурсу ADMIN$, запрашивает доступ к реестру и из него получает временно хранящиеся там хеши.

Для этого на удаленную машину сначала копируются файлы LsaExt.dll и pwservice.exe. Последний запускается как сервис «PW Dumper». Он находит в памяти LSASS.EXE (Local Security Authority Service) и внедряет в него свою DLL (LsaExt.dll). Данная DLL-библиотека, находясь в одном контексте с системным сервисом авторизации, подобно последнему имеет полный доступ к интересующей злоумышленников информации.

Состав программы:
LsaExt.dll имеет размер около 50 КБ, содержит внедряемый в LSASS код. pwservice.exe имеет размер около 200 КБ, является программой-сервисом, исполняется также на удаленной машине. PwDump3e.exe имеет размер около 200 КБ, является клиентской программой, которая взаимодейчствует с сервисной (pwservice.exe).

Полученные хеш-коды паролей могут быть загружены в программу подбора паролей L0phtCrack. Тем самым можно «восстановить» пароль.

Программа создает ключ реестра:

[SOFTWARE\Ebiz\hash]

Вредоносных действий в программу не заложено. Она классифицирована как RiskWare, так как добывает всю информацию без использования каких либо уязвимостей ОС, а для ее работы нужен действующий пароль. Программа написана с использованием Visual Studio 6.

Trojan-Dropper.Win32.Agent.lg.]

Другие версии: ..bv, ..ed

Другие названия:
Trojan-Dropper.Win32.Agent.lg («Лаборатория Касперского») также известен как: Backdoor.Trojan (Symantec), Trojan.MulDrop.2224 (Doctor Web), Worm32/Bagz.J (H+BEDV), GenPack:Trojan.Small.EJ (SOFTWIN).

Trojan-Dropper- троянский контейнер

Технические детали:
Троянская программа, создана для скрытной установки в систему других троянских программ. Написана на языке C, имеет очень простой алгоритм. Основной файл упакован при помощи UPX.

Внутри своего кода хранит два EXE-файла, которые при старте сохраняются в системном каталоге под нижеприведенными именами и запускаются на исполнение.

%WINDIR%\System\scombo.exe
%WINDIR%\System\scombop.exe
Других вредоносных действий, рассматриваемая программа не производит.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post May 26 2005, 22:09
Отправлено #4


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Ну что сегодня 26.05 и вот что новенького:

Email-Worm.Win32.LovGate.g

Другие версии: .a, .ae,.ad,.ah, .w.

Другие названия:
Email-Worm.Win32.LovGate.g («Лаборатория Касперского») также известен как: I-Worm.LovGate.g («Лаборатория Касперского»), W32/Lovgate.i@M (McAfee), W32.HLLW.Lovgate.H@mm (Symantec), Win32.HLLM.Lovgate.based (Doctor Web), W32/Lovgate-I (Sophos), Win32/Lovgate.G@mm (RAV), PE_LOVGATE.I-O (Trend Micro), Worm/Lovgate.G.2 (H+BEDV), W32/Lovgate.I@mm (FRISK), Win32:Lovgate-I (ALWIL), I-Worm/Lovgate.G (Grisoft), Win32.LovGate.H@mm (SOFTWIN), LoveGate.I (ClamAV), W32/Lovgate.I (Panda), Win32/Lovgate.I (Eset).
Поведение Email-Worm, почтовый червь.
Технические детали:
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена и открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 127 КБ, упакован при помощи ASPack. Размер распакованного файла — около 254 KБ. Написан на языке C++.

Червь содержит в себе бэкдор-функцию.

Инсталляция:
При инсталляции червь копирует себя с различными именами в системный каталог Windows:

iexplore.exe
Kernel66.dll
Ravmond.exe
WinDriver.exe
winexe.exe
WinGate.exe
Winhelp.exe
Winrpc.exe

В системном каталоге Windows червь создает свои бэкдор-компоненты:

%System%\ily668.dll
%System%\Reg678.dll
%System%\Task688.dll
%System%\Win32vxd.dll

Lovgate.g регистрирует несколько своих копий в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Program in Windows"="%system%\iexplore.exe
"Remote Procedure Call Locator"="rundll32.exe reg678.dll ondll_reg"
"WinGate initialize"="%system%\WinGate.exe -remoteshell"
"winhelp"="%system%\winhelp.exe"


Также червь создает следующий ключ реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\]
"run"="RAVMOND.exe"

Червь изменяет ключи системного реестра, таким образом, чтобы при открытии текстовых (*.txt) и исполняемых (*.exe) файлов червь получал управление:

[HKCR\txtfile\shell\open\command]
"default"="winrpc.exe %1"

[HKCR\exefile\shell\open\command]
"default"="winexe.exe %1"

Червь создает уникальный идентификатор «I---WORM---IPC---20168» для определения своего присутствия в системе.

Распространение через email
Червь «отвечает» на входящие письма, находящиеся в папке «Входящие» Microsoft Outlook или Outlook Express.

Также он ищет адреса для рассылки себя через email в файлах с расширениям html.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
При автоматическом «ответе» на входящие письма зараженное письмо имеет следующие характеристики:

Тема письма:
Re: <оригинальная тема>
Текст письма:
<оригинальный текст письма>

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.


Имя файла-вложения:
Выбирается из списка:

[I]Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif
В случае, когда червь сам рассылает себя, используя SMTP-сервера, зараженное письмо имеет следующие характеристики:


Тема письма:
Выбирается из списка:

Attached one Gift for u..
for you
Great
Help
Hi Dear
Last Update
Let's Laugh
Reply to this!
See the attachement


Текст письма:
Выбирается из списка:

Adult content!!! Use with parental advisory.
Copy of your message, including all the headers is attached.
For further assistance, please contact!
It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
Patrick Ewing will give Knick fans something to cheer about Friday night.
Send me your comments...
Send reply if you want to be official beta tester.
This is the last cumulative update.
This message was created automatically by mail delivery software (Exim).
Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)


Имя файла-вложения:
Выбирается из списка:

About_Me.txt.pif
Doom3 Preview!!!.exe
driver.exe
enjoy.exe
images.pif
Interesting.exe
Pics.ZIP.scr
README.TXT.pif
Source.exe
YOU_are_FAT!.TXT.pif


Размножение через локальные и файлообменные сети
Червь копирует себя на все доступные компьютеры, найденные в локальной сети, пытаясь подобрать пароли к найденным ресурсам для аккаунта «Administrator». При переборе паролей использует следующую таблицу:

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000000
00000000
007
110
111
111111
11111111
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2002
2003
2600
321
54321
654321
666666
888888
88888888
aaa
abc
abc123
abcd
abcdef
abcdefg
Admin
admin
admin123
administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
home
Internet
login
Login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
Password
password
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
xxx
yxcv
zxcv


При удачном соединении копирует себя в \admin$\system32\Net_Services.exe и запускает данный файл в качестве сервиса Windows NetWork FireWall Services.

Червь копирует себя на все доступные сетевые диски под именами:

100 free essays school.pif
Age of empires 2 crack.exe
AN-YOU-SUCK-IT.txt.pif
Are you looking for Love.doc.exe
autoexec.bat
CloneCD + crack.exe
How To Hack Websites.exe
Mafia Trainer!!!.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Panda Titanium Crack.zip.exe
Sex_For_You_Life.JPG.pif
SIMS FullDownloader.zip.exe
Star Wars II Movie Full Downloader.exe
The world of lovers.txt.exe
Winrar + crack.exe


Также червь делает папку %windir%\temp открытой для доступа из локальной сети под именем \\GAME и помещает туда свою копию с произвольным именем.

Удаленное администрирование:
Червь открывает на зараженной машине произвольный TCP порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Действие
Червь заражает exe-файлы, найденные на инфицированном компьютере. Червь ищет файлы-жертвы на всех доступных дисках компьютера.

Червь отправляет письмо-нотификацию злоумышленнику, в котором указаны имя пользователя, имя компьютера и сетевой адрес зараженного компьютера.

Также червь завершает процессы, содержащие в именах строки:

Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec
.


Backdoor.Win32.XControl.3730

Поведение Backdoor-троянская программа удаленного администрирования

Технические детали:
Троянская программа-бэкдор. Имеет функции сокрытия своего пребывания в системе.
Написана на языке ассемблера под Windows. Ничем не упакована. Код зашифрован. Размер файла 46592 байт.

Инсталляция:
При запуске копирует себя в системную директорию под именем xflash.exe.
Регистрирует ссылку на этот файл в реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
Перехватывает функции поиска файлов, перечисления ключей реестра и процессов и добавляет к ним свой фильтр. Вследствие этого файл/процесс xflash.exe и ключ реестра, ссылающийся на него, становятся невидимыми для пользователя.
Завершив инсталляцию, отправляет информацию о зараженной системе по адресу http://xcuser.info/add.php в обход фаервола.

Действия:
Открывает порт 18081 и ждет команд от хозяина. Список поддерживаемых команд позволяет злоумышленнику осуществлять полный контроль над системой. Доступны такие команды, как получение информации о процессах, файлах, окнах, сети, запуск и модификация сервисов, закрытие программ, перезагрузка Windows и др.

not-a-virus:RiskWare.Tool.RegPatch.a

Другие названия:
not-a-virus:RiskWare.Tool.RegPatch.a («Лаборатория Касперского») также известен как: Trojan Horse (Symantec), TR/Small.CR (H+BEDV), Trojan.Small.CR (SOFTWIN), Trojan.Small-28 (ClamAV), Hacktool/RegPatch.A (Panda).

Технические детали:
Компактная программа размером около 5 КБ (в упакованном UPX виде). Создана для внесения изменений в системный реестр OC.

В оверлейной части ее файла содержится зашифрованный (xor 90h) REG-файл. При запуске он сохваняется в C:\ParaTemp.reg, и его данные добавляются в системный реестр командой «regedit.exe -s C:\ParaTemp.reg», после чего файл C:\ParaTemp.reg удаляется.

По завершению работы выдается окно с заголовком «Registry Patcher - Coded by ParaBytes» и сообщением - «All Worked. Registry patched.».

Содержит строки:

Bad Patch Data. Please contact this file supplyer.[/COLOR][/COLOR]
Других действий не производит.

Trojan.JS.Fav

Другие названия:
Trojan.JS.Fav («Лаборатория Касперского») также известен как: JS/IEstart.gen.c (McAfee), JS.Exception.Exploit (Symantec), JS/Seeker-based.gen* (RAV), JS_EXCEPTION.GEN (Trend Micro), JS/Seeker (FRISK), Startpage (Grisoft), Trojan.JS.Startpage.C (ClamAV).
Поведение Trojan, троянская программа.
Технические детали:
Семейство примитивных троянских программ, написанных на языке JS (JScript).

Эти троянские скрипты при загрузке HTML-страницы, в которой они содержатся, пытаются создать новые закладки (favorites) в пользовательском Internet Explorer. Также они могут изменять стартовые и поисковые страницы в системном реестре Windows.

Для осуществления подобных функций, троянцами используются возможности ActiveX.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post May 30 2005, 18:42
Отправлено #5


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Трояны на 30.05

Trojan-Proxy.Win32.Sobit.e

Другие названия:
Trojan-Proxy.Win32.Sobit.e («Лаборатория Касперского») также известен как: Dialer.Tibs (Doctor Web), Dial/Tibsys-A (Sophos), Tool:PornDialer.BP (RAV), DIAL/301182 (H+BEDV), Dialer (Grisoft), Trojan.PornDialer.BP (SOFTWIN), Dialer.gen-30 (ClamAV), Dialer.BB (Panda), Win32/TrojanDownloader.Tibser.A (Eset).
Поведение: Trojan-Proxy- троянский proxy-сервер

Технические детали:
Троянская программа — компонент обновления по сети от другой троянской программы. Имеет размер около 30 КБ, упакована при помощи UPX.
При запуске для предотвращения повторного запуска создает объект синхронизации (mutex) с именем «TIBS128329».

Пытается инсталлировать и обновлять программы, которые размещает в каталоге:

C:\Program Files\WebSiteViewer

Свои настройки хранит в разделе системного реестра:

[Software\WebSiteViewer\Settings]

Периодически пытается скачивать свои компоненты с адреса:

http://download.tibsystems.com/d4.fcgi?v=4.000&act=%s&aid=%s&skid=%s&langid=%s%s%s

При этом вместо «%s» подставляются различные параметры системы пользователя, такие как язык, страна и т.д. Использует идентификатор HTTP-агента: «TIBS Loader 4.000 ('OS Name')».

В случае неудачи создает специльный HTTP-запрос и отправляет отчет об ошибках по адресу:

http://www.dialeradmin.com/cgi-bin/err4.cgi?prog=ldr&ver=4.000&code=%d&info=%s&aid=%s&skid=%s&langid=%s&winver=%s&ci=%d-%lx

«%s» и «%d» здесь также заменяются различными параметрами системы.

Других вредоносных действий не производит.

Trojan-Downloader.Win32.Small.aon

Другие названия:
Trojan-Downloader.Win32.Small.aon («Лаборатория Касперского») также известен как: Downloader-WS (McAfee), Download.Trojan (Symantec), Trojan.DownLoader.1914 (Doctor Web), Troj/Small-DQ (Sophos), TrojanDropper:Win32/Small.gen (RAV), TROJ_DLOADER.ER (Trend Micro), TR/Dldr.Small.aon.3 (H+BEDV), Downloader.Small.30.BD (Grisoft), Trojan.Downloader.Small.AON (SOFTWIN), Trojan.Dropper.Small.AON (ClamAV), Trj/Small.GQ (Panda).

Поведение Trojan-Downloader-троянский загрузчик.

Технические детали:
Программа написана на ассемблере, упакована FSG. Размер файла — около 1,1 КБ.

Загружает другие вредоносные программы с нескольких интернет-адресов, сконструированных из единого базового адреса путем замены в нем одного байта. Сохраняет загруженный код в файлы c:\boot.bak, c:\459\.exe и запускает.

Скрывает свой процесс на Win9x-системах.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post Jun 2 2005, 22:19
Отправлено #6


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Иткак сегодня уже 2.06. и вот новенькие трояны и черви из всемирной сети Интернет...;)

[B][I]Trojan-Dropper.Win32.Agent.mc

Другие версии: .bv, .ed, .lg

Другие названия:
Trojan-Dropper.Win32.Agent.mc («Лаборатория Касперского») также известен как: PWS-Banker.dr.i (McAfee), PWSteal.Bancos.W (Symantec), Trojan.PWS.Banker.689 (Doctor Web), Troj/Dropper-AL (Sophos), TROJ_DROPPER.FN (Trend Micro), BDS/Bancodor.X.ab (H+BEDV), Trojan.Dropper.AL (SOFTWIN), Trj/Banker.QZ (Panda), Win32/Bancodor.NAC (Eset)

Поведение Trojan-Dropper-троянский контейнер

Технические детали:
Троянская программа, создана для скрытной установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер около 40 КБ. Упакован FSG. Размер распакованного файла около 98 КБ.
Внутри своего кода троянец хранит EXE-файл, который при старте сохраняется в корневом каталоге Windows со случайным именем:

%Windir%\<случайные символы>srv.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<случайные символы>srv.exe"="%Windir%\<случайные символы>srv.exe"


После чего данный файл запускается на исполнение.

Trojan.Win32.Erase2002.a

Другие названия:
Trojan.Win32.Erase2002.a («Лаборатория Касперского») также известен как: QZap38 (McAfee), Trojan Horse (Symantec), Troj/Erase (Sophos), Trojan:Win32/HDDKill (RAV), TROJ_HDDKILL.DOS (Trend Micro), TR/Win32.HDDKill (H+BEDV), Erase2002 (ALWIL), Trojan.Win32.HDDKill (SOFTWIN), Trojan.Win32.HDDKill (ClamAV), Hdkill.512 (Panda), _MX (Eset)

Поведение Trojan-троянская программа.

Технические детали:
Программа состоит из трех компонентов:
Windows EXE-файла длиной 32768 байт, написанного на С и содержащего в себе код остальных двух файлов:
Win9x VXD-файла длиной 4275 байт, написанного на ассеблере;
DOS COM-файла длиной 224 байта, написанного на ассемлере (win.com).
Распространяется в виде первого файла (Windows EXE), который при запуске копирует себя в системную директорию. Туда же он копирует VXD-драйвер, код которого извлекает из себя.
Драйвер, расположенный в системной директории, загружается при старте Windows автоматически и запускает EXE-файл. Далее программа проверяет текущую дату, и если она превышает 01.01.2002, то в системной директории создается третий компонент трояна — COM-файл с именем win.com. Им перезаписывается системный файл загрузки Windows, исполняющийся автоматически при старте компьютера. После этого компьютер перезагружается.
Программа win.com содержит в себе код, удаляющий всю информацию на всех жестких дисках. Эта программа вызывается при первой же перезагрузке компьютера.

Trojan.Win32.Revop.a

Другие названия:
Trojan.Win32.Revop.a («Лаборатория Касперского») также известен как: AdClicker-O (McAfee), BackDoor.Generic.665 (Doctor Web), Troj/Winpup-C (Sophos), Win32/HLLW.Jitux (RAV), TROJ_REVOP.A (Trend Micro), PMS/Winpup.3 (H+BEDV), Win32:Trojano-025 (ALWIL), Revop.A (Grisoft), Trojan.Winpup.C (SOFTWIN), Spyware/AdClicker (Panda), Win32/Revop.A (Eset)

Поведение Trojan-троянская программа.

Технические детали:
Программа является приложением Windows (PE EXE-файл), имеет размер около 65 КБ.
Данный троянец мог быть загружен и запущен на компьютере с помощью другого трояна.
Revop.a будет выполнять заложенные в него действия только в том случае, если в системе будет найден файл msinet.ocx. В противном случае троянец выдаст oшибку.

Если файл msinet.ocx присутствует на зараженном компьютере, то троянец совершает следующие действия.

При запуске троянец создает свою копию с произвольным именем в системном каталоге Windows:

%System%\<произвольное имя>.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"mremotes"="%System%\<произвольное имя>.exe
"

Затем троянец создает файл с именем pup.exe в корневом каталоге Windows:

%Windir%\pup.exe

Также троян создает следующую запись в реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\pup]
Время от времени троян выдает рекламные сообщения в окне Internet Explorer.

Trojan.Win32.TopAntiSpyware.l

Другие названия:
Trojan.Win32.TopAntiSpyware.l («Лаборатория Касперского») также известен как: Spyre (McAfee), Trojan.Click.438 (Doctor Web), TROJ_TOPANTSPY.C (Trend Micro), Spyre.A (Grisoft), Trojan.Startpage-309 (ClamAV), Adware/TopSpyware (Panda), Win32/TopAntiSpyware.L (Eset)

Поведение Trojan-троянская программа
Технические детали:
Программа является приложением Windows (PE EXE-файл), имеет размер около 36 КБ.

При инсталляции троянец копирует себя в системный каталог Windows с именем winnook.exe:

%System%\winnook.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool"="%System%\winnook.exe"


При запуске троянец создает свою иконку в системном трее и через случайный промежуток времени на экране появляется сообщение о том, что Ваш компьютер заражен вирусом.
Также троянец создает файл desktop.html в корневом каталоге Windows и периодически открывает его в окне браузера.

При нажатии на данную ссылку или на созданную иконку троянец открывает следующий интернет сайт:

http://www.antivirus-gold.com/***

Backdoor.Win32.Haxdoor.a
Другие версии: .cn, .o

Другие названия:
Backdoor.Win32.Haxdoor.a («Лаборатория Касперского») также известен как: Backdoor.Haxdoor.a («Лаборатория Касперского»), BackDoor-BAC.gen (McAfee), Backdoor.Trojan (Symantec), BackDoor.Prodex (Doctor Web), Troj/Haxdoor-B (Sophos), Backdoor:Win32/Haxdoor (RAV), BKDR_HAXDOOR.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Haxdoor.L (Grisoft), Backdoor.Haxdoor.A (SOFTWIN), Backdoor Program (Panda), Win32/Haxdoor.A (Eset)

Поведение Backdoor-троянская программа удаленного администрирования.
Технические детали:
Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.
При запуске создает на диске файлы (они хранятся внутри основного):
pdx.dll — размер около 20 КБ, упакован UPX; основной компонент;
pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов.

Пытается воровать пароли из следующих приложений и служб:
EDialer;
Miranda (ICQ);
MuxaSoft Mdialer;
SAM-файлы;
кешированные сетевые пароли.

Всю собранную информацию, отправляет по электронной почте (протокол SMTP). При подключении выдает строку «A-311 Death welcome».

Добавляет ключи в системный реестр:

[System\CurrentControlSet\Control\MPRServices\TestService]
"DLLName"="pdx.dll"
"EntryPoint"="CorpseProc"
"StackSize"=0x1000

[SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"DllName"="pdx.dll"
"Startup"="CorpseProc"
"Impersonate"=1
"Asynchronous"=0
"MaxWait"=1
/[I]

[I]Trojan-PSW.Win32.PdPinch.gen


Другие названия:
Trojan-PSW.Win32.PdPinch.gen («Лаборатория Касперского») также известен как: TROJ_PDPINCH.GEN (Trend Micro)

Поведение Trojan-PSW-кража паролей.
Технические детали:
Семейство троянских программ, похищающих с компьютера пользователя конфиденциальную информацию, такую как, файлы настроек различных программ и хранящиеся в них пароли. Хотя пароли, обычно, хранятся в зашифрованном виде, часто для этого используется очень слабая криптография.

Размер исполняемого файла, обычно, менее 20 КБ.

Похищают они файлы, содержащие настройки ниже перечисленных программ и сервисов:
&RQ(IRQ)
Becky! Internet Mail
Cute FTP
EDialer
FAR (ftp plugin info)
Microsoft Outlook
Mirabilis ICQ
Miranda ICQ
Mozilla
Opera
The Bat!
Total Commander
Trillian Messenger
WS_FTP
Информация RAS службы Windows

В итоге, создается временный файл — C:\out.bin, в который упаковывается и зашифровывается вся собранная информация. После этого данный файл отправляется по электронной почте на адрес elkapalka123@mail.ru с темой письма «Passes from Pinch 2(<host name>)».

Других вредоносных действий программа не производит.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post Jun 3 2005, 18:25
Отправлено #7


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Ну что,вот и еще один червячок на 3.06

not-a-virus:Tool.Win32.Gendel.a

Другие названия^
not-a-virus:Tool.Win32.Gendel.a («Лаборатория Касперского») также известен как: not-a-virus:RiskWare.Tool.Gendel («Лаборатория Касперского»),

Поведение Not-A-Virus-программы из зоны риска

Технические детали:
Программный компонент. Вероятно, часть инсталлятора или подобной ему системы.

Размер программы — около 57 КБ, написана на Delphi.

При запуске, удаляет файлы указанные в строке запуска, причем зацикливается на этом до тех пор, пока удаление не будет успешно завершено. После чего проверяет наличие «задания» для себя в ключе системного реестра:

[HKLM\Software\ds\CopyFiles]

Если он присутствует, производит манипуляции по перемещению (или переименованию) указанных там файлов, после чего данный ключ удаляется.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post Jun 15 2005, 23:42
Отправлено #8


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Да уж и про этот то раздел тоже подзабыл....

Ну да ладно не будем о грусном,а поговорим о наболевшем....;)

Итак Вирусы,черви и прочая ерунда на 16.06...

Virus.Win9x.Boza.c

Другие версии:

Другие названия:
Virus.Win9x.Boza.c («Лаборатория Касперского») также известен как: Win95.Boza.c («Лаборатория Касперского»), W95/Boza.c.intd (McAfee), W95.Boza (Symantec), Win95.Boza (Doctor Web), W95/Boza-A (Sophos), Win95/Boza.C.int (RAV), PE_BOZA.C.INTD (Trend Micro), WIN/BIZATCA (H+BEDV), W32/Boza.C (FRISK), Win95:Boza (ALWIL), W95/Boza (Grisoft), Win32.Boza.C (SOFTWIN), BIZATCA (ClamAV), W95/Boza.C (Panda), Win95/Boza.C.Intended (Eset).
Поведение Virus- компьютерный вирус.

Технические детали:
Примитивный нерезидентный вирус. Является одним из первых вирусов, написанных для ОС Windows.

Заражает EXE (PE) файлы и работает только в семействе ОС Windows 9x. Является модифицированной версией Virus.Win9x.Boza.a

Содержит строки:

Bizatch by Quantum / VLAD activated
VLAD inc - 1995, peace through superior virus power..




Trojan-Spy.Win32.Banker.a

Другие версии: .ju, .u

Другие названия:
Trojan-Spy.Win32.Banker.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.a («Лаборатория Касперского»), Trojan.PWS.Pentas (Doctor Web), Troj/Banker-Fam (Sophos), TrojanSpy:Win32/Agent.D (RAV), TR/Bytever.A.DLL (H+BEDV), PSW.Agent.B (Grisoft), Trojan.Spy.Agent.D (SOFTWIN), TrojanSpy.Agent.D-dll (ClamAV), Win32/Spy.Agent.D (Eset)

Поведение Trojan-Spy- программа-шпион.

Технические детали:
Троянская программа-шпион, написана на ассемблере под Windows, упакована FSG. Размер файла — 4736 байт.

Инсталляция:
Копирует себя в директорию Windows. Добавляет соответствующий ключ в реестр для автозагрузки:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"OLE"=<имя файла>
Создает в директории Windows динамическую библиотеку с именем HookerDll.Dll и длиной файла 5120 байт.

Действия:
Собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из списка:

1mdc
1MDC
Banesto
Bank of America
bank of montreal
Bank of Montreal
Bank One
Bank West
bankwest
BankWest
bendigo
Bendigo
CAIXA
Chase
cibc
CIBC
Citibank
commbank
Commonwealth
desjardins
Discover Card
e-bendigo
e-Bendigo
e-bullion
e-Bullion
e-gold
evocash
EVOCash
EVOcash
goldgrams
goldmoney
GoldMoney
hyperwallet
HyperWallet
intgold
INTGold
INTgold
macquarie
Macquarie
National Internet Banking
NetBank
paypal
PayPal
Pecun!x
pecunix
Pecunix
President Choice
president's choice
President's Choice
Royal Bank
royalbank
RoyalBank
Scotia Bank
scotiabank
ScotiaBank
Sun Trust
Suncorp
suncorpmetway
SunTrust
TD Canada Trust
TD Waterhouse
TD Waterhouse
tdwaterhouse
Wachovia
Washington Mutual
Wells Fargo
Westpac
Сохраняет их в файл kgn.txt в директории Windows.

Время от времени отсылает лог-файл на e-mail pentasatan@mail.ru.


Email-Worm.Win32.Kipis.u

Другие версии: .

Другие названия:
Email-Worm.Win32.Kipis.u («Лаборатория Касперского») также известен как: Win32.HLLM.Dasha (Doctor Web), Worm/Kipis.U (H+BEDV), Worm.Kipis.U-1 (ClamAV), Suspect File (Panda), Win32/Kipis.U (Eset)

Поведение Email-Worm-почтовый червь.

Технические детали:
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows, имеет размер около 8 КБ.

Инсталляция
После запуска червь копирует себя в корневой каталог Windows с именем regedit.com:

%WinDir%\regedit.com
В результате при открытии системного реестра (regedit.exe) на компьютере запускается копия вируса.

Также червь создает свою копию с именем iexplore.exe в следующей папке:

%System%\Microsoft\iexplore.exe
Затем червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot]
"shell"="%System%\Microsoft\iexplore.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
dbx
dhtm
doc
eml
htm
msg
pab
php
shtm
tbb
txt
uin
wab
xls
Игнорируется отправка писем на адреса, содержащие строки:

@avp.
@bitdefen
@borlan
@drweb
@fido
@foo
@iana
@ietf
@kasper
@klamav
@license
@mcafee
@messagelab
@microsof
@mydomai
@nod3
@nodomai
@norman
@panda
@rfc-ed
@somedomai
@sopho
@symante
@usenet
@virusli
abuse@
accoun
admin@
antivir
anyone@
bsd
bugs@
contact@
contract@
free-av
f-secur
google
help@
info@
listserv
mailer-
mozzila
news@
newvir
nobody@
noone@
noreply
notice@
page@
pgp
podpiska@
postmaster@
privacy@
rar@
rating@
register@
root@
sales@
service@
site@
soft@
spm111@
suporte@
support@
technical@
the.bat
update@
virus@
webmaster@
winrar
winzip
you@
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем
Тема письма:
Выбирается из списка:

Access denied
Avec l'anniversaire
Chat notify!
Con el dia del nacimiento
Contracto
Den Vertrag
Hotmail password
Ich liebe dich
L'accord
Love you!
Me email
Re: 666
Re: Bugs
Re: Crack
Re: Die Begegnung geev
Re: El encuentro Chata
Re: el Encuentro de los gays
Re: Encuentro en 15:30
Re: Exploit for Outlook Express 6.0
Re: FUCK YOU!
Re: Gipfeltreffen
Re: I Gey
Re: I Love you
Re: Je t'aime
Re: La Rencontre CHata
Re: La rencontre des gays
Re: Love message
Re: Meeting of gays
Re: Meine Daten
Re: Mes donnees
Re: Mi dados
Re: Mit dem Geburtstag
Re: New Exploit for Windows XP
Re: rencontre a 15:30
Re: te amo
Re: V.I.P
Re: Встреча в 15:30
Re: Встреча геев
Re: Встреча лезбиянок
Re: Встреча Чата
Re: Мои данные
Re: С днём рождения
Re: Я тебя люблю
The Cannabis
Treffpunkt
Your Dead!
Текст письма:
Выбирается из списка:

>Thank you..!
Agreed...
All right..
Bien
Congrulate..!
Danke erreichen.
Danke..
De la chance, merci.
des Erfolges..
Est d'accord
esta bien..
Gracias Han acordado...
Gracias!
Gut werde ich.
Habel sich vereinbart..
I will come well.
Je viens bien...
los Aciertos..
Merci..
Ont convenu
Successes..
vendre Bien.
Договор
Договорились..
Ладно...
Согласен..
Спасибо..
Удачи, спасибо.
Хорошо приду..
Имя файла-вложения:
Выбирается из списка:

Dados
das Dokument
data
Daten
Den Text
des Einzelteil
die Mitteilung
Documento
Donnees
el Detalle
el mensaje
El texto
info
Information
la Info
le Document
le message
Le texte
Les details
Like
misk
Note
postmaster
price
readme
text
Данные
Детали
Документ
Инфо
Информация
сообщение
текст
Вложения могут иметь одно из расширений:

...sCR
.+.scR
_..ScR
+.sCR+.sCR
Размножение через файлообменные сети
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

Crack collection.scr
DDoS bot(src)..scr
Forum Hack.txt.scr
Hack Chat.exe
Hack Unix Server(info).scr
Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe
Land Attack(source and files).exe
NLP.scr
Screensaver for Hackers.scr
Winamp 6(plugins).exe
Windows 2000(source code).scr
Действие
Kipis.u выгружает из системы различные процессы, содержащие в именах следующие строки:

anvir
apv
avc
aveng
avg
avk
avp
avw
avx
bkacki
blackd
blss
cfi
clean
defwat
drweb
egedit.ex
ewall
fsa
fsm
guard
hijack
hxde
ilemon
kerio
klagent
klamav
luacomserv
minilog.
monitor
mooli
mosta
mpf
nav
neomon
netarm
netspy
nisse
nisum
nod3
nod3
norman
normis
norton
outpos
pav
pavsrv
pcc
protect
proxy.
rav
rfw
spider
svc.
syman
taskmgr
tmon
trojan
updat
upgrad
virus
vsmon
zapro.
zonalm
zonea


Ну вот покамись и все!
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post Jun 17 2005, 20:43
Отправлено #9


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Итак сегодня 17.06 и вот что у нас за черви,трояны и вирусы бродят по инету ;)

Virus.1C.Tanga.a

Поведение Virus-компьютерный вирус.

Технические детали:
Вирус распространяющийся в системе 1С:Предприятие 7.7 (см. «Фирма 1C»). Данные вирусы заражают один из типов пользовательских файлов системы 1С:Предприятие 7.7 (файлы внешних отчетов, имеют расширение имени ERT).

Вирус представляет из себя макро-модуль, встроенный в файл-отчет 1C. Способ расположения этого вирусов в файлах-отчетах 1C и его функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.

Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты),) что и используется вирусами данного типа для своего распространения.

В отличие от первых известных вирусов, работающих на платформе 1С (Virus.1C.Bonny.a и Virus.1C.Bonny.B) данный вирус является полноценным инфектором, способным записывать свой код в файлы *.ert.

Вирус содержит в себе текстовые комментарии автора:

// This is example virus
// Not destruction function
//
// Name: Tango.ERT.2622
//
// by sniper
// Togliatti, June 2005
//
// information for contact:
// not information
Для работы вирус использует специальную библиотеку — Compound.dll. В случае если данный файл отсутствует в системе, вирус выполняться не будет.

При запуске (открытии зараженного ert-файла), вирус проверяет наличие в системе файла Compound.dll. Вирус последовательно обходит все каталоги на текущем диске и ищет файлы с расширением ert.

В найденных файлах проверяется наличие строки:

Tango.ERT.2622
Если она найдена, значит файл уже был заражен ранее и повторного заражения не происходит. В противном случае вирус создает в файле модуль с именем «MD Programm text», в который записывает свой код.

Вирус не содержит никаких деструктивных функций.


Trojan-Downloader.Win32.IstBar.hx

Другие версии: .gen

Другие названия:
Trojan-Downloader.Win32.IstBar.hx («Лаборатория Касперского») также известен как: Trojan.Isbar.116 (Doctor Web), TR/Dldr.IstBar.HX (H+BEDV), Trojan.Downloader.Istbar-55 (ClamAV), Spyware/ISTbar (Panda).

Поведение Trojan-Downloader-троянский загрузчик.

Технические детали:
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), упакована UPX. Размер в пакованом виде — примерно 9 КБ, размер в распакованном виде — примерно 48 КБ.

После запуска троянец регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<случайное имя>"="<путь до троянской программы>"
При каждой следующей загрузке Windows автоматически запустит файл трояна.

Троянец создает уникальный идентификатор «ISTsvcMUTEX» для определения своего присутствия в системе.

Троянец загружает файлы со следующих адресов:

http://install.xx***olbar.com/ist/softwares/
http://install.xx***olbar.com/ist/scripts/
http://www.ys**eb.com/ist/scripts/
http://www.ys**eb.com/ist/softwares/


Trojan.Win32.StartPage.sp

Другие названия:
Trojan.Win32.StartPage.sp («Лаборатория Касперского») также известен как: TR/StartPage.sp (H+BEDV), Startpage.15.BH (Grisoft), Trojan.Startpage-198 (ClamAV).

Поведение Trojan-троянская программа.

Технические детали:
Программа представляет собой объект-компаньон для Internet Explorer (BHO). Является частью AdWare.ToolBar.Perez.

Программный файл IESearchToolbar.dll имеет размер 65 КБ, ничем не упакован.

Может изменять настройки браузера, прописывая туда адреса:

http://mult.ru
http://mozilla.org
http://www.microsoft.com
http://linux.org.ru/
http://rsdn.ru/
Других вредоностных действий не производит.

Содержит текст:

Windows маздай!!!!
Масяня forever!!!
Super-puper-mega site


Trojan.Win32.StartPage.sp


Другие названия:
Trojan.Win32.StartPage.sp («Лаборатория Касперского») также известен как: TR/StartPage.sp (H+BEDV), Startpage.15.BH (Grisoft), Trojan.Startpage-198 (ClamAV).

Поведение Trojan-троянская программа.

Технические детали:
Программа представляет собой объект-компаньон для Internet Explorer (BHO). Является частью AdWare.ToolBar.Perez.

Программный файл IESearchToolbar.dll имеет размер 65 КБ, ничем не упакован.

Может изменять настройки браузера, прописывая туда адреса:

http://mult.ru
http://mozilla.org
http://www.microsoft.com
http://linux.org.ru/
http://rsdn.ru/
Других вредоностных действий не производит.

Содержит текст:

Windows маздай!!!!
Масяня forever!!!
Super-puper-mega site


Worm.Win32.Small.b

Другие названия:
Worm.Win32.Small.b («Лаборатория Касперского») также известен как: BackDoor1b (McAfee), Hacktool (Symantec), WORM_MAGNA.A (Trend Micro), Worm/Small.P (Grisoft), Backdoor Program (Panda).

Поведение Net-Worm-интернет-червь.

Технические детали:
Программа написана на Visual C++, ничем не упакована. Размер файла — 193055 байт.

Инсталляция:
Добавляет в реестр два ключа для автозагрузки файла при старте Windows:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Exlorer"=(<путь к файлу>)
Действия
Копирует себя в корневые директории всех доступных дисков под именем readme.exe. Также копирует себя в каталоги, содержащие слово shared, и сетевые общие папки. К защищенным общим папкам пытается подобрать пароль.

Открывает UDP-порты 12345 и случайный.

Ворует пароли пользователей.

Пишет лог в открытое окно консоли.


Email-Worm.Win32.NetSky.x

Другие названия:
Email-Worm.Win32.NetSky.x («Лаборатория Касперского») также известен как: I-Worm.NetSky.x («Лаборатория Касперского»), W32/Netsky.w.eml!exe (McAfee), Win32.HLLM.Netsky.based (Doctor Web), Win32/Netsky.W@mm (RAV), Worm/Netsky.W.1 (H+BEDV), W32/Netsky.W@mm (FRISK), Win32.Netsky.W@mm (SOFTWIN), W32/Netsky.W.worm (Panda).

Поведение Email-Worm, почтовый червь.

Технические детали:
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь представляет собой PE EXE-файл. Написан на языке Microsoft Visual C++. Упакован UPX. Размер в упакованном виде — примерно 24 КБ, размер в распакованном виде — примерно 138 КБ.

Инсталляция:
При инсталляции червь копирует себя в корневой каталог Windows с именем VisualGuard.exe:

%Windir%\VisualGuard.exe
Регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"NetDy"="%Windir%\VisualGuard.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующие файлы в корневом каталоге Windows:

%Windir%\base64.tmp
%Windir%\zip1.tmp
%Windir%\zip2.tmp
%Windir%\zip3.tmp
%Windir%\zip4.tmp
%Windir%\zip5.tmp
%Windir%\zip6.tmp
%Windir%\zipped.tmp
Червь создает уникальный идентификатор «NetDy_Mutex_Psycho» для определения своего присутствия в системе.

Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

adb
asp
cgi
dbx
dhtm
doc
eml
htm
html
jsp
msg
oft
php
pl
rtf
sht
shtm
tbb
txt
uin
vbs
wab
wsh
xml
Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты.

Для отправки писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем
Червь рассылает зараженные письма с вложением. Письма имеют следующие характеристики:


Тема письма:
Выбирается и составляется произвольным образом из следующего списка:

application
approved
bill
corrected
data
details
document
document_all
excel document
file
hello
here
hi
important
improved
information
letter
message
my
patched
product
Re:
read it immediately
screensaver
text
thanks!
website
word document
your
Текст письма:
Выбирается из списка:

Authentication required.
Get protected: www.symantec.com
I have attached your document.
I have received your document. The corrected document is attached.
No virus found
Please confirm the document.
Please read the attached file.
Please read the document.
Please read the important document.
Please see the attached file for details.
Powered by the new Norton OnlineScan
Requested file.
See the file.
Your details.
Your document is attached to this mail.
Your document is attached.
Your document.
Your file is attached.
Подпись к письму:
Имя файла-вложения:
Выбирается из списка:

application
approved
bill
data
details
document
document_all
excel document
file
important
improved
information
letter
message
product
screensaver
text
website
word document
Вложения могут иметь одно из расширений:

exe
pif
scr
zip
Прочее
Если в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
имеются следующие ключи и значения:

DELETE ME
Explorer
msgsvr32
Sentry
service
system
Taskmon
То червь удаляет их из системного реестра Windows.

Также из ключа:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
удаляются следующие ключи и значения:

au.exe
d3dupdate.exe
Explorer
gouday.exe
OLE
PINF
rate.exe
srate.exe
ssate.exe
sysmon.exe
Taskmon
Также удаляются следующие ключи:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"System"
[HKLM\System\CurrentControlSet\Services]
"WksPatch"
Данные ключи и значения реестра связаны с другими почтовыми червями (некотрыми модификациями семейств Email-Worm.Win32.Bagle и Email-Worm.Win32.Mydoom).

Email-Worm.Win32.NetSky.x содержит следующие строки:

<*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
<*>NetDy: We have rewritten NetSky.
<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
<*>NetDy: Our group will continue the war.
<*>NetDy: Malware writers 'End' comes true.
<*>NetDy: Our Social Engineering is the best *lol* (You have no virus
symantec says!).
<*>NetDy: ----------------------------------------------------------------------------
<*>NetDy: We are greeting all russia people!
USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU,
OSAMA BIN LADEN,
BURN IN THE DEVILS FIRE 2!!!
SHAME ON YOU MR. BUSH!!!



Берегите себя и будьте внимательней Дамы и Господа!!!!!! ;)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post Jun 22 2005, 19:24
Отправлено #10


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Ну что, вот черви,трояны и вирусы на 22.06


Trojan-Downloader.Win32.Mediket.z

Другие названия:
Trojan-Downloader.Win32.Mediket.z («Лаборатория Касперского») также известен как: Downloader-UZ (McAfee), TR/Dldr.Mediket.S.2 (H+BEDV), Adware/MediaTickets (Panda).

Поведение Trojan-Downloader-троянский загрузчик.

Технические детали:
Программа имеет размер 32 КБ, ничем не упакована. Файл программы часто имеет имя ied.exe.

Программа предназначена для закачивания из интернета различных программных компонентов и установки их на компьютере пользователя. Является частью программы AdWare.MediaTickets.

Других вредоносных действий не производит.

Содержит текст:

ied.exe
000=iu0m?000=0dsjqu?0000
jw000fYPc0fdu00N0d000sp0p
.


not-a-virus:Porn-Downloader.Win32.TibSystems

Другие названия:
not-a-virus:Porn-Downloader.Win32.TibSystems («Лаборатория Касперского») также известен как: not-a-virus:PornWare.Downloader.TibSystems («Лаборатория Касперского»), Downloader-IK (McAfee), Trojan.DownLoader.628 (Doctor Web), Troj/DownLdr-FC (Sophos), Trojan:Win32/Dialer.BC (RAV), TROJ_IK.A (Trend Micro), TR/Dldr.Small.JZ.7 (H+BEDV), Dialer.6.M (Grisoft), Trojan.Downloader.FC (SOFTWIN), Dialer-187 (ClamAV), Trj/Downloader.CD (Panda).

Поведение Not-A-Virus-программы из зоны риска.

Технические детали:
Программа написана на Visual C++. Может быть или не быть упакована. Размер файла варьируется и составляет в среднем 20-50 КБ.

Не содержит функций автозагрузки и копирования в системную директорию.

Загружает not-a-virus:Porn-Dialer.Win32.Tibs, а также открывает страницу статистики для него на сервере www.dialeradmin.com.



Trojan-Downloader.Win32.Small.awa

Другие названия:
Trojan-Downloader.Win32.Small.awa («Лаборатория Касперского») также известен как: Generic Downloader.f (McAfee), Download.Trojan (Symantec), Trojan.DownLoader.2489 (Doctor Web), TROJ_DLOADER.DG (Trend Micro), TR/Dldr.Small.agq.1 (H+BEDV), Trojan.Downloader.Small.AWA (SOFTWIN), Trojan.Downloader.Small-518 (ClamAV), Trj/Downloader.CTW (Panda).

Поведение Trojan-Downloader-троянский загрузчик.

Технические детали:
Троянская программа, загружающая файлы из интернета без ведома пользователя. Является приложением Windows (PE EXE-файл), упакована FSG. Размер в упакованном виде — примерно 3 КБ, размер в распакованном виде — примерно 28 КБ.

Скачивает другого троянца с адреса http://69.50.182.xx/, копирует его в системный каталог Windows с именем maxd.exe и запускает.


Email-Worm.Win32.Bagle.bi

Другие названия:
Email-Worm.Win32.Bagle.bi («Лаборатория Касперского») также известен как: W32/Bagle.dll.gen (McAfee), Trojan.Tooso.F (Symantec), Win32.HLLM.Beagle.37888 (Doctor Web), Troj/BagDl-Gen (Sophos), TrojanProxy:Win32/Mitglieder.CN (RAV), TROJ_BAGLE.BH (Trend Micro), TR/Bagle.AL (H+BEDV), I-Worm/Bagle (Grisoft), Win32.Bagle.BM@mm (SOFTWIN), Trojan.Dropper.Small-23 (ClamAV), W32/Bagle.CA.worm (Panda), Win32/TrojanDownloader.Small.ZL (Eset).

Поведение Email-Worm-почтовый червь.

Технические детали:

Практически идентичен вариантуEmail-Worm.Win32.Bagle.bj. Отличается от него только версией программы-упаковщика.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post Jun 27 2005, 18:37
Отправлено #11


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Итак на дворе уже 27.06 и вот новые вирусы,трояны и шпионы на сегодняшний день........

Trojan-Downloader.Win32.INService.gi

Другие названия:
Trojan-Downloader.Win32.INService.gi («Лаборатория Касперского») также известен как: Downloader-VS (McAfee), Download.Trojan (Symantec), Trojan.DownLoader.2568 (Doctor Web), Troj/Dowins-Gen (Sophos), TROJ_DLOADER.NI (Trend Micro), TR/Dldr.INService.fz (H+BEDV), Trojan.Downloader.INService.GI (SOFTWIN), Trojan.Downloader.INService-17 (ClamAV), Spyware/ISTbar (Panda).

Поведение Trojan-Downloader-троянский загрузчик.

Технические детали:
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), ничем не упакована. Имеет размер около 14 КБ.

Скачивает других троянцев с сервера ddl-help.info, копирует их во временный каталог Windows со следующими именами:

%TEMP%/mute<случайный номер>.exe
%TEMP%/volume<случайный номер>.exe
%TEMP%/bass<случайный номер>.exe


Например:

C:\Documents and Settings\user\Local Settings\Temp\volume18467.exe

После чего запускает их.

HackTool.Win32.Patcher.b

Другие названия:
HackTool.Win32.Patcher.b («Лаборатория Касперского») также известен как: BackDoor.NetCrack.13 (Doctor Web), Hacktool/Patcher (Panda), Win32/HackTool.Patcher.B (Eset).

Технические детали:
Программа для модификации другого ПО (patcher). Данный вариант написан для модификации файла EDITOR.EXE, предположительно, одного из вариантов редактора для Backdoor.Win32.NetCrack.

Размер программы — примерно 3 КБ, упакована при помощи FSG.

При запуске создает диалоговое окно с заголовком «Patch for NetCrack_Edit v 1.04», после чего предлагает пользователю выбрать входной файл.

Других действий не производит.

Содержит строки:

Patch by Death32
Troyan patched.



Virus.MSWord.Liar.c

Другие названия:
Virus.MSWord.Liar.c («Лаборатория Касперского») также известен как: Macro.Word97.Liar.c («Лаборатория Касперского»), W97M/Generic (McAfee), W97M.Liar.gen (Symantec), W97M.Liar (Doctor Web), WM97/Jtcmk-A (Sophos), W97M/Liar.C(poly) (RAV), W97M_LIAR.C (Trend Micro), W97M/Liar.C (H+BEDV), W97M/Liar.C (FRISK), MW97:Liar (ALWIL), W97M/Liar (Grisoft), W97M.Liar.C (SOFTWIN), W97M/Liar.C (Panda), MACRO (Eset).

Поведение Virus-макро-вирус.

Технические детали:
Вирус написан на Visual Basic для офисных приложений. Длина кода в среднем составляет 20 КБ (в частности, на столько увеличивается размер зараженного файла).

Данный вирус является полиморфным.

Механизм заражения типичен и состоит в том, что вирус, будучи единожды запущен, заражает файл шаблона normal.dot. Этот файл используется при открытии любого документа MSWord. Таким образом, любой документ, запущенный после первичного запуска вируса, будет им заражен через normal.dot.

В зараженных файлах может быть найдена строка:

[COLOR]-JAckiE TWofloWEr-[/COLOR]

Trojan-PSW.Win32.Delf.eo

Другие версии: .fz

Другие названия:
Trojan-PSW.Win32.Delf.eo («Лаборатория Касперского») также известен как: Trojan.PWS.Beefake (Doctor Web), Trojan.PWS.Delf.EO (SOFTWIN), Trojan Horse.AP (Panda).

Поведение Trojan-PSW-кража паролей

Технические детали:
Троянская программа, предназначеная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Написана на языке Delphi и имеет размер около 2761 КБ.

Программа не создает никаких файлов на диске.

Программа заявлена, как генератор паролей карт для телефонов, подключенных к БиЛайн GSM, и широко распространена в российском сегменте интернета.

На самом деле программа только запрашивает номер карты, пин-код и ее номинал, после чего отправляет данную информацию авторам троянца.


Trojan-Downloader.Win32.Peerat.a

Другие названия:
Trojan-Downloader.Win32.Peerat.a («Лаборатория Касперского») также известен как: W32/Farack!p2p (McAfee).

Поведение Trojan-Downloader-троянский загрузчик.

Технические детали:
Программа написана на Visual C++, не упакована. Код зашифрован. Размер файла — 24051 байт.

При запуске загружает вредоносную программу с сервера updates.ms********.net. Обычно это инсталляционный пакет not-a-virus:AdWare.ToolBar.Visua.a.

Скачанную программу копирует в общие каталоги P2P-программ (eDonkey, Kazaa и др.)

Других вредных действий не производит.


Trojan-Downloader.Win32.WarSpy.g

Другие названия:
Trojan-Downloader.Win32.WarSpy.g («Лаборатория Касперского») также известен как: Trojan.Click.373 (Doctor Web), Downloader.Small.38.AX (Grisoft), Adware/Starpage.BBD (Panda).

Поведение Trojan-Downloader-троянский загрузчик.

Технические детали:
Программа является DLL-библиотекой размером в 15872 байта. Ничем не упакована.

Инсталляция:
Копирует себя в системную директорию, обычно под именем param32.dll. Прописывается в качестве BHO.

Действия:
Изменяет стартовую страницу Internet Explorer на:

http://www.new***look.info/ad/ad0058/

Время от времени выводит на экран сообщения рекламного характера:

Error #317 - Microsoft Windows Security Warning

Your Windows is corrupted with spyware virus.
You must patch your PC urgently to protect your system.
Private info is accessed by ports:
-8080
-3128
You can patch your PC for free now and delete all spyware viruses.
Click OK to choose and download free spyware removal using AntiSPY.

Warning! Network is under attack!

Protect your home or office network immediately!
It's under attack from your PC. Stop this dangerous trojan
Choose and download special software for network security.

Warning! Spyware on your system!

Windows analysis shows that your private infomation
is accessed by uknown server. Patch your PC immediately!
Click here to use special authorized list to remove spyware

Warning! Virus Detected!
Your system is attacked by stealth.Hjack virus!
Your Windows probably will not boot next time
Click here to choose and download authorized antivirus

Warning! Unknown popups detected!

Windows analysis shows that your system is in danger!
Popups leading to [unknown address] are opening on your PC.
Click here to choose and download authorized popup blocker

Attention! Desctop and homepage are authorized!

Desctop icons and homepage have passed Windows autorization
with the following description/certificate:
[One-day promotional offer on the best goods for random user
Use desctop icons to get the best deals on things you need!]


Время от времени открывает браузер со страницами:

http://www.new***look.info/***
http://antispy.new***look.info/***


Загружает и устанавливает Trojan.Win32.Dialer.

Добавляет ссылки в «Избранное».


Email-Worm.Win32.NetSky.af

Другие названия:
Email-Worm.Win32.NetSky.af («Лаборатория Касперского») также известен как: I-Worm.Netsky.af («Лаборатория Касперского»), W32/Netsky.gen@MM (McAfee), W32.Netsky.AD@mm (Symantec), Win32.HLLM.Netsky.based (Doctor Web), W32/Netsky-AD (Sophos), Win32/Netsky.B@mm (RAV), Possible_Virus (Trend Micro), Worm/NetSky.AD.2 (H+BEDV), W32/Netsky.AH@mm (FRISK), Win32:Netsky-AD (ALWIL), I-Worm/Netsky.B (Grisoft), Win32.Netsky.B@mm (SOFTWIN), Worm.SomeFool.AD (ClamAV), W32/Netsky.gen.worm (Panda), Win32/Netsky.B (Eset).

Поведение Email-Worm-почтовый червь.

Технические детали:
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Упакован UPX. Размер в упакованном виде — примерно 31 КБ, размер в распакованном виде — примерно 103 КБ.

Инсталляция:
После запуска червь выдает окно, содержащее следующую ошибку:

File Corrupted replace this!!

При инсталляции червь копирует себя в корневой каталог Windows с именем MsnMsgrs.exe:

%Windir%\MsnMsgrs.exe

Затем он регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="%Windir%\MsnMsgrs.exe -alev"


При каждой следующей загрузке Windows автоматически запустит файл червя.

Также в корневом каталоге Windows червь создает следующие zip-файлы, содержащие копию червя:

%Windir%\agua!.zip
%Windir%\AIDS!.zip
%Windir%\aqui.zip
%Windir%\banco!.zip
%Windir%\bingos!.zip
%Windir%\botao.zip
%Windir%\brasil!.zip
%Windir%\carros!.zip
%Windir%\circular.zip
%Windir%\contas!!.zip
%Windir%\criancas!.zip
%Windir%\dinheiro!!.zip
%Windir%\docs.zip
%Windir%\email.zip
%Windir%\festa!!.zip
%Windir%\flipe.zip
%Windir%\grana!!.zip
%Windir%\grana.zip
%Windir%\imposto.zip
%Windir%\impressao!!.zip
%Windir%\jogo!.zip
%Windir%\lantrocidade.zip
%Windir%\LINUSTOR.zip
%Windir%\loterias.zip
%Windir%\lulao!.zip
%Windir%\missao.zip
%Windir%\revista.zip
%Windir%\sampa!!.zip
%Windir%\sorteado!!.zip
%Windir%\tetas.zip
%Windir%\vaca.zip
%Windir%\vadias!.zip
%Windir%\vips!.zip
%Windir%\voce.zip
%Windir%\war3!.zip
%Windir%\zerado.zip


Червь создает уникальный идентификатор «MutexAninha22apr» для определения своего присутствия в системе.

Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

SCS
adb
asp
dbx
doc
eml
htm
html
oft
php
pl
rtf
sht
tbb
txt
uin
vbs
wab


Затем червь рассылает себя по всем найденным в этих файлах адресам электронной почты. Для отправки писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем:
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Зараженные письма имеют следующие характеристики:

Тема письма:
Выбирается из списка:

:(
:)
:-)
:D
???
0123456789
agradou
agua!
AIDS!
AninhaPutinha +55operado6992292246
aqui
banco!
bingos!
botao
brasil!
carros!
circular
contas!!
criancas!
diga
dinheiro!!
docs
email
festa!!
flipe
grana
grana!!
imposto
impressao!!
jogo!
lantrocidade
LINUSTOR
loterias
lulao!
massas!
missao
morto
pescaria por kilo
revista
robos!
sampa!!
sorteado!!
Sua saude esta bem?
tetas
vaca
vadias!
vips!
voce
war3!
zerado


Текст письма:
Выбирается из списка:

Abra rapido isso!!!!
acrdito que em voce!!!
algo a mais
AMA!
AmaVoce
amor me liga
arquivo zipado PGP???
Boleto Pague
campanhadafome
encontro voce!
estou doente veja!!!
falea verdade!!!
ferias nos E.U.A
ganhe muita grana
gostaria disso e voce???
grana
Hackers do Brasil
Lembra?
me diz o queacha?
me veja peladinha
Medical Labs Exames!!!
meu telefone liga
olha que isso!!!
parabens!
PizzaVeneza!
Policia SP
pq nao me liga??
preenche ai ta bom
promocao de viajens de fim de ano
Proposta de emprego!!
receitas de bolo!!
retorna logo isso!!
reza de sao tome!!!!
sinto voce!!
sua conta bancaria zerada
Sua Conta!!
Surto :(
te amo!
tudo sobre voce sabe
Vacina contra o HIV!!
ve ai logo ta
veja detalhes!!!
veja o que tem no zip e me liga
voce passou :D!!!


Имя файла-вложения:
Выбирается из списка:

agua!
AIDS!
aqui
banco!
bingos!
botao
brasil!
carros!
circular
contas!!
criancas!
dinheiro!!
docs
email
festa!!
flipe
grana
grana!!
imposto
jogo!
lantrocidade
LINUSTOR
loterias
lulao!
missao
revista
sampa!!
sorteado!!
tetas
vaca
vadias!
vips!
voce
war3!


Вложения могут иметь одно или несколько расширений, выбираемых из следующего списка:

bat
com
doc
htm
pif
rtf
scr
txt
zip


Распространение через файлообменный сети.
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слова «Share» или «Sharing» с именами, выбираемыми из списка:

aninha gatinha!.zip.scr
barrio.scr
cafe!!.zip.scr
Canaval2004!.jpg.pif
Carnaval em Salvador!!.zip.scr
caspa.scr
celulares!!.zip.scr
clica ai logo meu.scr
comoserrico!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
MulataDandoOcujpg.scr
multas.pif
paula!.scr
puteiros!!.scr
receitas de bolo!!.zip.scr
rede globo tv!.zip.scr
ResidentEvil2.zip.scr
rocha.scr
traficoemSP!.scr
vadias peladas!!.scr
vida!!.zip.scr
VivaNaBaia!.scr
vota!.zip.scr


Прочее:
Если в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
имеются следующие ключи и значения:

Explorer
KasperskyAv
system
Taskmon


То червь удаляет их из системного реестра Windows.

Также из ключа:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

удаляются следующие ключи и значения:

Explorer
Taskmon



Rootkit.Win32.Agent.a

Поведение Virus-компьютерный вирус.

Технические детали:
Программа предназначена для обеспечения скрытной работы других программ. Выполнена в виде драйвера ядра NT (kernel mode driver).

Файл программы имеет размер 5760 байт и часто называется msdirect.sys. Является частью троянской программы Backdoor.Win32.ForBot.t.

При загрузке перехватывает системные сервисы путем замены обработчика в KeServiceDescriptorTable:

ZwQueryDirectoryFile, для сокрытия наличия файлов на диске;
ZwQuerySystemInformation, для сокрытия процессов;
ZwOpenFile, для блокирования доступа к своим файлам (не реализовано);
ZwQueryValueKey, для сокрытия занчений ключей реестра (не реализовано).
Под Windows XP и выше, вероятнее всего, будет инициировать системный сбой (BSOD). Никаких других действий не производит.

Содержит строки:

rootkit: detected file/directory query from _root_ process
rootkit: detected system query from _root_ process
rootkit: hiding process, pid: %d',9,'name: %s
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post Jun 28 2005, 20:38
Отправлено #12


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Сегодня 28.06 и вот Вам новенькие черви,вирусы и трояны......
Что-то уж очень быстро они начали плодиться, твари.... ;)

not-a-virus:AdWare.SaveNow.az

Другие названия:
not-a-virus:AdWare.SaveNow.az («Лаборатория Касперского») также известен как: Adware/WhenUSearch (Panda).

Поведение Not-A-Virus-программы из зоны риска.

Технические детали:
Программа — рекламный агент. Имеет в своем составе объект-компаньон (BHO) для Internet Explorer. Следит за действиями пользователя в сети Internet. Собирает различную информацию: посещаемые пользователем URL; то что, он ищет через поисковые машины и пр.

Имеет встроенные средства для автоматического обновления своих файлов.

Состоит из следующих файлов:

Search.dll — около 240 КБ, основной BHO объект;
search.exe — около 300 КБ, основной программный файл;
Uninst.exe — около 55 КБ, компонент самоудаления;
whse.exe — около 165 КБ, дополнительный функционал.

Создает ключи в системном реестре:

[SOFTWARE\WhenUSearch]
[SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearchBEST]
[Software\Microsoft\Internet Explorer\Explorer Bars\{715839CD-ABEC-45D8-A83C-1275F2D837CD}]


Содержит строки:

BEST Browser Plug-in [WhenUSearch]
http://www.whenusearch.com/about_browser.html
Side Finder [WhenUSearch]
WhenUSearch_UI_Mutex/



not-a-virus:AdWare.NavExcel.d

Другие названия:
not-a-virus:AdWare.NavExcel.d («Лаборатория Касперского») также известен как: Adware/NavHelper (Panda).

Поведение Not-A-Virus-программы из зоны риска.

Технические детали:
Потенциально нежелательная программа.

Состоит из трех файлов:

nhelper.dl — размер 126976;
nhinstall.ex — размер 143360;
nhuninstaller.ex — размер 110592.
Инсталляция
Инсталлируется как Browser Helper Object.

Действия:
Следит за содержимым строки адреса в Internet Explorer, перенаправляя оттуда все, что не является адресом, на поисковые сайты.
Устанавливает перенаправление со страницы 404 ("Страница не найдена") на поисковой сайт www.webservicehost.com.
Скачивает к себе апдейты без уведомления пользователя.
Официальная информация — http://www.navexcel.com/live/about.html.



Trojan.Win32.StartPage.vk

Другие названия:
Trojan.Win32.StartPage.vk («Лаборатория Касперского») также известен как: TR/Proxy.Agent.dr.B (H+BEDV), Startpage.18.BQ (Grisoft), Trojan.Clicker.Agent-12 (ClamAV).

Поведение Trojan-троянская программа.

Технические детали:
Программа является приложением Windows (PE EXE-файл). Упакована UPX. Размер в упакованном виде — примерно 33 КБ, размер в распакованном виде — примерно 166 КБ.

После запуска троянец регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"bootpd.exe"=<путь до зараженного файла>


При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец создает следующую папку:

%Program Files%\Google

Также во временном каталоге Windows троянец создает dll, jpg, gif и html-файлы с произвольными именами.

Например:

C:\Documents and Settings\user\Local Settings\Temp\slcpkxmjgzm.dll

Троянец изменяет стартовую страницу Internet Explorer на созданный html-файл. Также добавляет различные ссылки в меню «Избранное».

Троянец изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на 66.180.173.39:

66.180.173.39 ar.search.yahoo.com
66.180.173.39 au.search.yahoo.com
66.180.173.39 beta.search.msn.co.in beta.search.msn.com.sg auto.search.msn.com
66.180.173.39 beta.search.msn.com beta.search.msn.at beta.search.sympatico.msn.ca beta.search.msn.co.za
66.180.173.39 beta.search.msn.dk beta.search.msn.fi beta.search.msn.fr beta.search.msn.de beta.search.msn.it
66.180.173.39 beta.search.msn.nl beta.search.msn.no beta.search.msn.es beta.search.msn.se beta.search.msn.ch
66.180.173.39 beta.search.ninemsn.com.au beta.search.xtramsn.co.nz beta.search.msn.co.uk beta.search.msn.be
66.180.173.39 br.search.yahoo.com
66.180.173.39 ca.search.yahoo.com
66.180.173.39 cf.search.yahoo.com
66.180.173.39 ct.search.yahoo.com
66.180.173.39 de.search.yahoo.com
66.180.173.39 espanol.search.yahoo.com
66.180.173.39 fr.search.yahoo.com
66.180.173.39 google.ae
66.180.173.39 google.am
66.180.173.39 google.as
66.180.173.39 google.at
66.180.173.39 google.az
66.180.173.39 google.be
66.180.173.39 google.bi
66.180.173.39 google.ca
66.180.173.39 google.cd
66.180.173.39 google.cg
66.180.173.39 google.ch
66.180.173.39 google.ci
66.180.173.39 google.cl
66.180.173.39 google.co.cr
66.180.173.39 google.co.hu
66.180.173.39 google.co.il
66.180.173.39 google.co.in
66.180.173.39 google.co.je
66.180.173.39 google.co.jp
66.180.173.39 google.co.ke
66.180.173.39 google.co.kr
66.180.173.39 google.co.ls
66.180.173.39 google.co.nz
66.180.173.39 google.co.th
66.180.173.39 google.co.ug
66.180.173.39 google.co.uk
66.180.173.39 google.co.ve
66.180.173.39 google.com
66.180.173.39 google.com.ag
66.180.173.39 google.com.ar
66.180.173.39 google.com.au
66.180.173.39 google.com.br
66.180.173.39 google.com.co
66.180.173.39 google.com.cu
66.180.173.39 google.com.do
66.180.173.39 google.com.ec
66.180.173.39 google.com.fj
66.180.173.39 google.com.gi
66.180.173.39 google.com.gr
66.180.173.39 google.com.gt
66.180.173.39 google.com.hk
66.180.173.39 google.com.ly
66.180.173.39 google.com.mt
66.180.173.39 google.com.mx
66.180.173.39 google.com.my
66.180.173.39 google.com.na
66.180.173.39 google.com.nf
66.180.173.39 google.com.ni
66.180.173.39 google.com.np
66.180.173.39 google.com.pa
66.180.173.39 google.com.pe
66.180.173.39 google.com.ph
66.180.173.39 google.com.pk
66.180.173.39 google.com.pr
66.180.173.39 google.com.py
66.180.173.39 google.com.sa
66.180.173.39 google.com.sg
66.180.173.39 google.com.sv
66.180.173.39 google.com.tr
66.180.173.39 google.com.tw
66.180.173.39 google.com.ua
66.180.173.39 google.com.uy
66.180.173.39 google.com.vc
66.180.173.39 google.com.vn
66.180.173.39 google.de
66.180.173.39 google.dj
66.180.173.39 google.dk
66.180.173.39 google.es
66.180.173.39 google.fi
66.180.173.39 google.fm
66.180.173.39 google.fr
66.180.173.39 google.gg
66.180.173.39 google.gl
66.180.173.39 google.gm
66.180.173.39 google.hn
66.180.173.39 google.ie
66.180.173.39 google.it
66.180.173.39 google.kz
66.180.173.39 google.li
66.180.173.39 google.lt
66.180.173.39 google.lu
66.180.173.39 google.lv
66.180.173.39 google.mn
66.180.173.39 google.ms
66.180.173.39 google.mu
66.180.173.39 google.mw
66.180.173.39 google.nl
66.180.173.39 google.no
66.180.173.39 google.off.ai
66.180.173.39 google.pl
66.180.173.39 google.pn
66.180.173.39 google.pt
66.180.173.39 google.ro
66.180.173.39 google.ru
66.180.173.39 google.rw
66.180.173.39 google.se
66.180.173.39 google.sh
66.180.173.39 google.sk
66.180.173.39 google.sm
66.180.173.39 google.td
66.180.173.39 google.tm
66.180.173.39 google.tt
66.180.173.39 google.uz
66.180.173.39 google.vg
66.180.173.39 it.search.yahoo.com
66.180.173.39 mx.search.yahoo.com
66.180.173.39 search.msn.com search.msn.at search.sympatico.msn.ca search.msn.co.za search.ninemsn.com.au
66.180.173.39 search.msn.de search.msn.it search.msn.nl search.msn.no search.msn.es uk.search.msn.com
66.180.173.39 search.msn.se search.msn.ch search.msn.co.in search.msn.com.sg toolbar.search.msn.com
66.180.173.39 search.xtramsn.co.nz search.msn.co.uk search.msn.be search.msn.dk search.msn.fi search.msn.fr
66.180.173.39 search.yahoo.com
66.180.173.39 uk.search.yahoo.com
66.180.173.39 www.alexa.com alexa.com
66.180.173.39 www.google.ae
66.180.173.39 www.google.am
66.180.173.39 www.google.as
66.180.173.39 www.google.at
66.180.173.39 www.google.az
66.180.173.39 www.google.be
66.180.173.39 www.google.bi
66.180.173.39 www.google.ca
66.180.173.39 www.google.cd
66.180.173.39 www.google.cg
66.180.173.39 www.google.ch
66.180.173.39 www.google.ci
66.180.173.39 www.google.cl
66.180.173.39 www.google.co.cr
66.180.173.39 www.google.co.hu
66.180.173.39 www.google.co.il
66.180.173.39 www.google.co.in
66.180.173.39 www.google.co.je
66.180.173.39 www.google.co.jp
66.180.173.39 www.google.co.ke
66.180.173.39 www.google.co.kr
66.180.173.39 www.google.co.ls
66.180.173.39 www.google.co.nz
66.180.173.39 www.google.co.th
66.180.173.39 www.google.co.ug
66.180.173.39 www.google.co.uk
66.180.173.39 www.google.co.ve
66.180.173.39 www.google.com
66.180.173.39 www.google.com.ag
66.180.173.39 www.google.com.ar
66.180.173.39 www.google.com.au
66.180.173.39 www.google.com.br
66.180.173.39 www.google.com.co
66.180.173.39 www.google.com.cu
66.180.173.39 www.google.com.do
66.180.173.39 www.google.com.ec
66.180.173.39 www.google.com.fj
66.180.173.39 www.google.com.gi
66.180.173.39 www.google.com.gr
66.180.173.39 www.google.com.gt
66.180.173.39 www.google.com.hk
66.180.173.39 www.google.com.ly
66.180.173.39 www.google.com.mt
66.180.173.39 www.google.com.mx
66.180.173.39 www.google.com.my
66.180.173.39 www.google.com.na
66.180.173.39 www.google.com.nf
66.180.173.39 www.google.com.ni
66.180.173.39 www.google.com.np
66.180.173.39 www.google.com.pa
66.180.173.39 www.google.com.pe
66.180.173.39 www.google.com.ph
66.180.173.39 www.google.com.pk
66.180.173.39 www.google.com.pr
66.180.173.39 www.google.com.py
66.180.173.39 www.google.com.sa
66.180.173.39 www.google.com.sg
66.180.173.39 www.google.com.sv
66.180.173.39 www.google.com.tr
66.180.173.39 www.google.com.tw
66.180.173.39 www.google.com.ua
66.180.173.39 www.google.com.uy
66.180.173.39 www.google.com.vc
66.180.173.39 www.google.com.vn
66.180.173.39 www.google.de
66.180.173.39 www.google.dj
66.180.173.39 www.google.dk
66.180.173.39 www.google.es
66.180.173.39 www.google.fi
66.180.173.39 www.google.fm
66.180.173.39 www.google.fr
66.180.173.39 www.google.gg
66.180.173.39 www.google.gl
66.180.173.39 www.google.gm
66.180.173.39 www.google.hn
66.180.173.39 www.google.ie
66.180.173.39 www.google.it
66.180.173.39 www.google.kz
66.180.173.39 www.google.li
66.180.173.39 www.google.lt
66.180.173.39 www.google.lu
66.180.173.39 www.google.lv
66.180.173.39 www.google.mn
66.180.173.39 www.google.ms
66.180.173.39 www.google.mu
66.180.173.39 www.google.mw
66.180.173.39 www.google.nl
66.180.173.39 www.google.no
66.180.173.39 www.google.off.ai
66.180.173.39 www.google.pl
66.180.173.39 www.google.pn
66.180.173.39 www.google.pt
66.180.173.39 www.google.ro
66.180.173.39 www.google.ru
66.180.173.39 www.google.rw
66.180.173.39 www.google.se
66.180.173.39 www.google.sh
66.180.173.39 www.google.sk
66.180.173.39 www.google.sm
66.180.173.39 www.google.td
66.180.173.39 www.google.tm
66.180.173.39 www.google.tt
66.180.173.39 www.google.uz
66.180.173.39 www.google.vg



Virus.Win32.Gpcode.f

Другие версии: .b

Поведение Virus-компьютерный вирус.

Платформа Win32.

Технические детали:
Вирус является приложением Windows (PE EXE-файл). Упакован UPX. Размер в упакованном виде — примерно 56 КБ, размер в распакованном виде — примерно 122 КБ.

После запуска вирус шифрует найденные на диске зараженного компьютера файлы со следующими расширениями:

arj
cdr
cgi
css
csv
db
dbf
dbt
dbx
doc
flb
frm
frt
frx
gtd
gz
htm
html
kwm
mdb
mmf
pak
pdf
pl
pst
pwa
pwl
pwm
rar
rmr
rtf
sar
tar
tbb
txt
xls
xml
zip


Оригинальный файл вируса после запуска удаляется.

В начале каждого зашифрованного файла можно обнаружить следующую строку:

PGPcoder

Кроме того, в папках с зашифрованными файлами появляются файлы readme.txt примерно следующего содержания:

Some files are coded.
To buy decoder mail: md56@mail.ru
with subject: PGPcoder md56


Версия шифровальщика и адрес email могут различаться в различных модификациях данного вируса.

При обращении по указанному адресу пострадавшим предлагается заплатить определенную сумму за расшифровку необходимых им файлов.



Trojan.Win32.Qhost.bs

Другие версии: .ac

Другие названия:
Trojan.Win32.Qhost.bs («Лаборатория Касперского») также известен как: QHosts-1!hosts (McAfee), TR/NoAvHost.A (H+BEDV), Trojan.Qhost.BS (SOFTWIN), Trojan.Qhost.V (ClamAV), Trj/Qhost.AF (Panda), Win32/Qhosts (Eset).

Поведение Trojan-троянская программа.

Технические детали:
Программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Файл модифицирован таким образом, чтобы сделать недоступным пользователю сервера различных антивирусных компаний.

В файл hosts добавлены следующие строки:

127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-us2.kaspersky-labs.com
127.0.0.1 downloads-us3.kaspersky-labs.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.avp.ch
127.0.0.1 ftp.downloads2.kaspersky-labs.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.kasperskylab.ru
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates4.kaspersky-labs.com
127.0.0.1 updates5.kaspersky-labs.com
127.0.0.1 us.mcafee.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com


Таким образом, все запросы к данным серверам будут заблокированы.

Все это — результат деятельности другой троянской программы.


Trojan-Dropper.Win32.Small.hq

Другие названия:
Trojan-Dropper.Win32.Small.hq («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.hq («Лаборатория Касперского»), StartPage-DU (McAfee), Trojan.DownLoader.365 (Doctor Web), TROJ_STARTPAG.DU (Trend Micro), TR/Dldr.Delf.CB.3 (H+BEDV), Win32:Trojano-198 (ALWIL), Startpage.7.H (Grisoft), Trj/StartPage.FH (Panda).

Поведение Trojan-Dropper-троянский контейнер.

Технические детали:
Программа создана для скрытной установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер около 25 КБ.

Программа при запуске скрытно устанавливает в систему другую вредоносную программу, содержащуюся внутри ее исполняемого файла, после чего данный файл запускается на исполнение.

Также Small.hq пытается скачать и запустить другого троянца с адреса http://81.211.105.xx/.

После чего оригинальный запускаемый файл удаляется.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ежов
post Jul 5 2005, 19:02
Отправлено #13


местный падонок
**********

Группа: Banned
Сообщений: 5 339
Регистрация: 3-May 05
Из: Тверь-Москва
Пользователь №: 104
Пол: Мужской



Ну вот сегодня уже 5 июля,а я че то опять все запустил.....
Ладно вот что моно поймать из троянов,червей и вирусов на сегодняшний день(5.07.2005г).

Trojan.Win32.Qhost.bs

Другие версии: .ac

Другие названия:
Trojan.Win32.Qhost.bs («Лаборатория Касперского») также известен как: QHosts-1!hosts (McAfee), TR/NoAvHost.A (H+BEDV), Trojan.Qhost.BS (SOFTWIN), Trojan.Qhost.V (ClamAV), Trj/Qhost.AF (Panda), Win32/Qhosts (Eset).

Поведение Trojan-троянская программа.

Технические детали:
Программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Файл модифицирован таким образом, чтобы сделать недоступным пользователю сервера различных антивирусных компаний.

В файл hosts добавлены следующие строки:

127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-us2.kaspersky-labs.com
127.0.0.1 downloads-us3.kaspersky-labs.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.avp.ch
127.0.0.1 ftp.downloads2.kaspersky-labs.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.kasperskylab.ru
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates4.kaspersky-labs.com
127.0.0.1 updates5.kaspersky-labs.com
127.0.0.1 us.mcafee.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com


Таким образом, все запросы к данным серверам будут заблокированы.

Все это — результат деятельности другой троянской программы.


Trojan-Dropper.Win32.Small.hq

Другие названия:
Trojan-Dropper.Win32.Small.hq («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.hq («Лаборатория Касперского»), StartPage-DU (McAfee), Trojan.DownLoader.365 (Doctor Web), TROJ_STARTPAG.DU (Trend Micro), TR/Dldr.Delf.CB.3 (H+BEDV), Win32:Trojano-198 (ALWIL), Startpage.7.H (Grisoft), Trj/StartPage.FH (Panda).

Поведение Trojan-Dropper-троянский контейнер.

Технические детали:
Программа создана для скрытной установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер около 25 КБ.

Программа при запуске скрытно устанавливает в систему другую вредоносную программу, содержащуюся внутри ее исполняемого файла, после чего данный файл запускается на исполнение.

Антивирус Касперского детектирует создаваемый файл как Trojan.Win32.StartPage.is.

Также Small.hq пытается скачать и запустить другого троянца с адреса http://81.211.105.xx/.

После чего оригинальный запускаемый файл удаляется.

Trojan.Win32.Dialer.a

Другие названия:
Trojan.Win32.Dialer.a («Лаборатория Касперского») также известен как: AdClicker (McAfee), Trojan.Clikun (Doctor Web), Trojan:Win32/Dialer.A.dam#1 (RAV).

Поведение Trojan-троянская программа.

Технические детали:
Программа производит дозвон на международные телефонные номера для подключения к платным сервисам. Написана на языке C, имеет размер 12 КБ в упакованном (UPX) виде и 25 КБ в распакованном.

Никаких ключей в системный реестр не добавляет.

Содержит строки:

Connessione interrotta.Vuoi riconnetterti? In caso affermativo varranno le condizioni dell avviso precedentemente accettate.
Dentro RasDialFunc con RASCONNSTATE=%d
rtaYDjwLg#fCS4E9nqVkhscOHbvm3RJ56xpTZI7lXi+WGo2Mu8KQB1dPUANze0Fy
WM_USER_RASDIALERROR (%s)


Trojan-Downloader.JS.Psyme.n

Другие версии: .ap

Другие названия:
Trojan-Downloader.JS.Psyme.n («Лаборатория Касперского») также известен как: TrojanDownloader.JS.Psyme.n («Лаборатория Касперского»), VBS/Psyme (McAfee), Download.Ject.C (Symantec), Troj/Psyme-AW (Sophos), JS/Psyme.gen* (RAV), JS_PSYME.N (Trend Micro), TR/Dldr.JS.Psyme.N (H+BEDV), JS/SillyDownloader.T (FRISK), JS/Psyme (Grisoft), VBS.Trojan.Psyme.W (SOFTWIN), Trojan.Downloader.JS.Psyme.C (ClamAV), VBS/Psyme.R (Panda).

Поведение Trojan-Downloader-троянский загрузчик.

Технические детали:
Программа написана на скриптовом языке JavaScript. Производит скрытную загрузку из интернета другой троянской программы на компьютер пользователя. Сохраняет ее на диск, используя уязвимость в компоненте ActiveX ADODB.Stream. Размер скрипта обычно находится в пределах 2-5 КБ, он внедряется в HTML-страницу при ее создании.

Загружает из интернета другую троянскую программу (ее адрес формируется в процессе работы) и сохраняет по одному из следующих путей (производит попытку перезаписать Media Player):

C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program\Windows Media Player\wmplayer.exe
C:\Programas\Windows Media Player\wmplayer.exe
C:\Programfiler\Windows Media Player\wmplayer.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programmer\Windows Media Player\wmplayer.exe
C:\Programmi\Windows Media Player\wmplayer.exe


Других вредоносных действий не производит.

Backdoor.Win32.ForBot.t

Другие версии: .r

Другие названия:
Backdoor.Win32.ForBot.t («Лаборатория Касперского») также известен как: Win32.HLLW.ForBot.based (Doctor Web), Worm/ForBot.277504 (H+BEDV).

Поведение Backdoor-троянская программа удаленного администрирования.

Технические детали:
Программа написана на Visual C++ 6.0, ничем не упакована. Размер файла 277504 байт.

Инсталляция:
Копирует себя в системную директорию под именем winmonz32.exe.

Добавляет в реестр соответствующие записи для автозагрузки:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RunDLL32"="winmonz32.exe"


На NT-системах также создает сервис:

Logistics Manager
Allows the multiplexing of tasks and processes supplied by COM components.
Создает в системной директории файл msdirect.sys (5760 байт), который детектируется как Rootkit.Win32.Agent.a и служит для сокрытия активности бэкдора от пользователя.

Помимо этого, программа размещает в системной директории несколько библиотек из пакета WinPcap, необходимых ей для работы, но не являющихся вредными:

npf.sys — 32896 байт;
packet.dll — 29696 байт;
wanpacket.dll — 24064 байт;
wpcap.dll — 91136 байт.


Действия:
Подключается к серверу IRC и ожидает команд от автора-злоумышленника.

Перечень предусмотренных функций управления шире стандартного для IRC-backdoor'а и позволяет злоумышленнику не только управлять системой на уровне администратора, но и получить полный доступ к сетевой активности компьютера на низком уровне за счет использования бэкдором драйверов перехвата сетевых пакетов WinPcap.


Backdoor.Win32.Sinit.f

Другие названия:
Backdoor.Win32.Sinit.f («Лаборатория Касперского») также известен как: Backdoor.Sinit.f («Лаборатория Касперского»), BackDoor-BAM (McAfee), Backdoor.Sinit (Symantec), BackDoor.Sini (Doctor Web), Troj/Calyps-A (Sophos), Backdoor:Win32/Sinit (RAV), BKDR_SINIT.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Sinit.A (Grisoft), Backdoor.Sinit (SOFTWIN), Bck/Sinit.A (Panda), Win32/Sinit.A (Eset).

Поведение Backdoor-троянская программа удаленного администрирования.

Технические детали:
Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 59 КБ. Упакована UPX. Размер распакованного файла около 425 КБ.

При инсталляции троянец копирует себя в системный каталог Windows с именем svcinit.exe:

[%System%\svcinit.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра.

В случае Windows NT, 2000, XP:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%System%\userinit.exe,%System%\svcinit.exe"


В случае Windows 95, 98, ME:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"SVC Service"="%System%\svcinit.exe"


При каждой следующей загрузке Windows автоматически запустит зараженный файл.

Бэкдор открывает произвольный UDP порт для предоставления злоумышленнику удалённого доступа к заражённой машине.

Бэкдор имеет возможность загружать на заражённую машину любые файлы, запускать их и удалять, завершать различные процессы и получать информацию с зараженного компьютера.


Trojan-PSW.Win32.LdPinch.kw

Другие версии: .a

Другие названия:
Trojan-PSW.Win32.LdPinch.kw («Лаборатория Касперского») также известен как: PWSteal.Trojan (Symantec), TR/MultiJoiner.13.B (H+BEDV), Suspect File (Panda).

Поведение Trojan-PSW-кража паролей.

Технические детали:
Размер распакованного 160
Размер упакованного 11
Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер около 11 КБ, упакована FSG. Размер распакованного файла около 160 КБ.

При инсталляции троянец копирует себя в корневой каталог Windows с именем Pinch.exe:

%Windir%\Pinch.exe


Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"putil"="%Windir%\Pinch.exe"


При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Оригинальный файл троянца после запуска удаляется.

Троянец собирает сведения о системе, а также логины и пароли для различных сервисов и прикладных программ, в том числе AOL Instant Messenger и ICQ.

Собранная информация отправляется на электронный адрес злоумышленника.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Reply to this topicTopic OptionsStart new topic
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
 

Тверь.Форум © 2002-2010 Сейчас: 22nd October 2014 - 05:53