Trojan-PSW.Win32. Fente.15 Троянская программа, предназначенная для создания других троянцев, похищающих пароли. Является приложением Windows (PE-EXE файл). Имеет размер 460228 байт.
Деструктивная активность
При запуске троянец отображает на экране свое главное окно.
В этом окне в поле ввода необходимо указать адрес для отправки отчетов троянца. При нажатии на левую кнопку конструктор спросит пользователя, под каким именем следует сохранить сгенерированный вирус, после чего создаст троянца и запишет в него введенный адрес электронной почты.
Размер созданного файла — 32968 байт. Упакован с помощью UPX, распакованный размер — около 70 КБ.
При запуске данный файл копирует себя в корневой каталог Windows под различными именами (с расширением .exe) и добавляет ссылку на скопированный файл в параметр ключа автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe <имя исполняемого файла трояна>"
Троянская программа сканирует существующие в системе окна и ищет в них поля для ввода паролей. Если находит, похищает введенный в них текст.
Также троян собирает краткую информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.
Собранные данные хранятся в файле отчета: %WinDir%\userfile.dll
Содержимое данного файла периодически отсылает на заложенный внутрь с помощью конструктора адрес электронной почты.
Trojan-PSW.Win32. Coced.219 Программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE-EXE файл). Имеет размер 11269 байт. Написана на Visual C++.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системную папку Windows под именем: %System%\msrun16.exe
Также извлекает из своего тела следующий файл: %Temp%\Conf219.exe
Деструктивная активность
Троянец изменяет значения следующих ключей реестра: [HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ] "Enable" = "yes" "Path" = "<путь к исполняемому файлу трояна>" "Startup" = "" "Parameters" = ""
Похищает значения параметров подключей ключа реестра: [HKCU\Software\Mirabilis\ICQ\Owners]
С помощью функции WNetEnumCachedPasswords данный вирус похищает сведения о существующих в системе модемных соединениях для доступа к сети Интернет, а также пароли к ним. Собранные сведения отправляются на электронный адрес злоумышленника — ***ihvseh@iname.com. В качестве сервера для отправки исходящей почты используется mail.compuserve.com.
Trojan-Clicker. Win32.Small.ae Троянская программа, созданная для открытия в окне Internet Explorer интернет-страницы без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 43488 байт.
Trojan-Spy.Win32. KeyLogger.ab Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE EXE-файл). Имеет размер около 30 КБ. Упакована ASPack. Размер распакованного файла – около 60 КБ. Написана на Visual Basic.
Инсталляция
Для автоматического запуска при последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Graphdics" = "<путь до файла троянца>"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Grgaphics" = "<путь до файла троянца>"
Деструктивная активность
После запуска программа следит за вводимой с клавиатуры информацией в окнах, с которыми работает пользователь. Собранные данные помещаются в файл отчета: C:\Windows\Files.log
Данный файл троянец отсылает на электронную почту злоумышленника: ***ewdsw@peoplemail.com.cn
Другие названия
Trojan-Spy.Win32.KeyLogger.ab («Лаборатория Касперского») также известен как: TrojanSpy.Win32.KeyLogger.ab («Лаборатория Касперского»), Malware.d (McAfee), Keylogger.Trojan (Symantec), Troj/Keylogr-Z (Sophos), TROJ_KEYLOGGER.A (Trend Micro)
Trojan-Downloader. Win32.IstBar.ay Троянская программа, которая скачивает файлы без ведома пользователя. Является библиотекой Windows (PE DLL-файл). Имеет размер 17920 байт. Упакована с помощью UPX, распакованный размер — 40960 байт.
Инсталляция
При регистрации библиотека устанавливает себя в систему как Browser Helper Object, при этом создаются следующие ключи реестра: [HKCR\SearchWord.ExcelExport.1]
Trojan-Spy. Win32.MegaHard Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 217088 байт.
Деструктивная активность
После запуска троянец следит за вводимой с клавиатуры информацией в окнах программ, где работает пользователь. Собранные данные помещаются в файл отчета, который хранится в рабочей папке вируса, имеющей имя "mshosts.dll".
В указанный файл отчета троян прописывает заголовки окон, с которыми работал пользователь, а также последовательности символов, веденных с клавиатуры.
Trojan-PSW. Win32.Fente.14 Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Размер различных модификаций варьируется в пределах от 47 до 215 КБ. Упакована с помощью UPX.
Инсталляция
При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами: %WinDir%\dfhjl.exe %System%\IKMOQ.exe
Для автоматической загрузки при каждом последующем старте Windows вредоносная программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shel" l= "Explorer.exe dfhjl.exe"
Также троянец задает следующие параметры в ключе реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion] "windows32_" = "%System32%\MOQSU.dll" "system_" = "%System32%\IKMOQ.exe" "userfile_" = "dfhjl.exe"
Деструктивная активность
Используя внешний компонент %System32%\MOQSU.dll, троянская программа устанавливает на клавиатурные события перехватчики, с помощью которых следит за вводом с клавиатуры в окнах, где работает пользователь.
Ещё троянец собирает информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.
Собранные данные отправляются на электронную почту злоумышленника.
Trojan-Dropper. Win32.Small.at Троянская программа, которая устанавливает и запускает на исполнение другие вредоносные программы на компьютере пользователя без ведома последнего. Является приложением Windows (PE-EXE файл). Имеет размер 665120 байт.
Деструктивная активность
При запуске троянец извлекает из своего тела во временную папку Windows и запускает следующие файлы:
* %Temp%\~1.exe – имеет размер 18163 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Fearless.10
* %Temp%\~2.exe - имеет размер 68180 байт, детектируется Антивирусом Касперского как Backdoor.Win32.Beastdoor.192.h
* %Temp%\~3.exe - имеет размер 573952 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Wmbug.101
Trojan-Spy. Win32.KeyHunter[color=red] Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры и операции с курсором мыши. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована с помощью UPX, распакованный размер – около 15 КБ.
Инсталляция
Для автоматического запуска при каждом последующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "@" = "<путь и имя исполняемого файла троянца>"
Деструктивная активность
Троянская программа устанавливает перехватчик событий клавиатуры, с помощью которого следит за клавиатурным вводом в окнах программ, где работает пользователь. Собранные данные сохраняются в файл отчета, который помещается в рабочую папку вируса с тем же именем, что и его исполняемый файл (имеющий расширение .DLL).
В отчет троянец помещает также заголовки окон, с которыми работал пользователь, и последовательности введенных с клавиатуры символов.
Созданный файл отчета троянец периодически загружает на FTP-сервер.
Trojan-PSW. Win32.Fantast.30 Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Имеет размер около 40 КБ. Ничем не упакована.
Инсталляция
При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами: %WinDir%\winns.exe %System%\sys.exe
Для автоматической загрузки при каждом последующем старте Windows троянская программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe winns.exe"
Используя внешний компонент %WinDir%\wins.dll, троянец устанавливает на клавиатурные события перехватчики, с помощью которых следит за данными, вводимыми с клавиатуры в окнах, где работает пользователь. Собранные данные помещаются в файл отчета: %WinDir%\userfile.dll
Туда же поступает краткая информация о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти, называние операционной системы.
Кроме того, троянец сканирует систему в поисках окон, предназначенных для ввода паролей, и похищает заносимый в них текст.
Похищенные сведения вредоносная программа отправляет на электронную почту злоумышленнику по адресу firewall****@21cn.com.
Backdoor.Win32. Hupigon.cpu Бекдор, выполняющий деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер около 730 КБ. Написана на Borland Delphi.
Инсталляция
Функционал вредоносной программы зависит от опций, заданных при её генерации.
После запуска троянец производит сравнение своего имени со строкой "IEXPLORE.EXE". Если вредоносный код не расположен внутри зараженного процесса, то выполняются следующие действия.
Бекдор получает букву логического диска (%SysChar%), на котором расположен системный каталог Windows. Используя эту букву, троян формирует такую строку: %SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe
Далее производится сравнение имени запущенной программы с данной строкой.
Если имена не совпали, происходит инсталляция вредоносной программы в систему; в противном случае бекдор переходит к деструктивной деятельности.
Процесс инсталляции заключается в следующем. Создается копия файла вредоносной программы с именем "Ahntdce.exe" в папке %SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe
Если такой файл уже существует, то перед копированием он удаляется. Скопированному файлу устанавливаются файловые атрибуты "только чтение" и "системный".
После этого производится проверка семейства, к которому относится текущая ОС, что определяет метод регистрации автозапуска копии вредоносной программы.
Для семейства Windows NT выполняется создание системной службы, которая видна в списке служб под именем
"AhnLab Tdce Scheduler"
Запускается автоматически вместе с системой и является интерактивной службой.
Для семейства Windows 9X выполняется регистрация автозапуска в реестре: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Ahntdce.exe" = "%SysChar%:\Program Files\Common Files\ Microsoft Shared\MSINFO\Ahntdce.exe"
Далее (независимо от типа ОС) происходит запуск копии вредоносной программы.
Затем в каталоге с копией бекдора создается и запускается пакетный файл командного интерпретатора с именем "Delet.bat", выполняющий удаление оригинального файла вируса и самого себя: %SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Delet.bat
Деструктивная активность
Если вредоносная программа обнаружила, что она является установленной копией, производится вызов браузера Internet Explorer:
Выполняется считывание в память вирусного файла, его корректировка и внедрение в процесс "IEXPLORE.EXE" целиком.
После чего бекдор проверяет наличие сети, и если она доступна, производит анализ Internet-адреса, заданного в коде вредоносной программы. Если это ссылка на файл, то происходит его чтение и получение строки, в которой будут находиться имя сервера и порт. Либо имя сервера и порт могут быть заданы изначально. В данном случае это: sx.code***.org:8080
Далее устанавливается соединение с этим удаленным сервером.
Бекдор осуществляет формирование строки, содержащей информацию о компьютере пользователя: %SomeString1%%IsCaptureDriver%%ComputerName% %DefaultNetworkPassword%%OsName%%CpuSpeed% MHz %MemorySize%MB%SomeString2%%SomeString3%
Строка эта зашифровывается и отправляется на удаленный сервер.
После создается поток, в котором происходит прослушивание команд, поступающих с сервера.
Вредоносной программой может быть устанавлен перехват оконных сообщений для ведения клавиатурного лога, создание снимков экрана.
Бекдор может изменять домашнюю страницу браузера: [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"
Есть опасность того, что троянец разрешит запуск терминалов для получения удаленного доступа компьютеру пользователя: [HKLM\System\CurrentControlSet\Control\Terminal Server] "fDenyTSConnections" = 0x00000000
Также Backdoor.Win32.Hupigon.cpu имеет возможность получать список процессов, завершать выбранный процесс, производить поиск файлов, получать список файлов и передавать указанные файлы, создавать и удалять указанные файлы, загружать дополнительные модули и работать с ними и многое другое.
Trojan-Clicker. Win32.Mobs Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows: %System%\service.exe
Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "MyApp" = "%System%\service.exe"
Деструктивная активность
Троянец изменяет значения следующих ключей реестра:
Email-Worm. Win32.Zhelatin.o Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Имеет размер 50583 байта. Упакован при помощи UPX.
Инсталляция
При инсталляции червь копирует себя с атрибутом скрытый (hidden) в системный каталог Windows с именем alsys.exe: %System%\alsys.exe
Червь создает в своем рабочем каталоге файл с произвольным именем и расширением EXE и запускает его.
После чего червь создает следующие записи в системном реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Agent"="%System%\alsys.exe"
То есть при каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает следующие файлы в системном каталоге Windows:
%System%\wincom32.ini %System%\wincom32.sys
Также червь изменяет следующую запись системного реестра с целью блокировки Windows Firewall/Internet Connection Sharing (ICS): [HKLM\System\CurrentControlSet\Services\SharedAccess] "Start"="4"
Распространение через email
Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска компьютера начиная с последнего.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Письма не отсылаются на адреса, содержащие в своем адресе следующие строки: microsoft .gov .mil
Деструктивная активность
Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки: alsys anti avg avp blackice firewall f-pro hijack lockdown mcafee msconfig nav nod32 rav reged regedit spybot taskmgr tr oja viru vsmon zonea
Червь использует руткит-библиотеку %System%\wincom32.sys для сокрытия своих файлов на жестком диске и записей в системном реестре.
