Главная страница           Поиск по сайту
Файловый обменник       Онлайн игры
Интересное чтиво +        Музыка
IT-Новости                     Фото-свалка
Форум
Доска объявлений
Полезные сайты
Универсальный поиск

Добавить свою рекламу на сайт


[ Новые сообщения · Участники · Правила форума · Поиск · Мои сообщения · ]
  • Страница 1 из 6
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • »
Модератор форума: liS  
Форум » ОБщение по тематикам » Интернет » Разновидности вирусов (Название вируса и что он делает)
Разновидности вирусов
liS Дата: Четверг, 08.01.2009, 18:04:59 | Сообщение # 1
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-PSW.Win32. Fente.15
Троянская программа, предназначенная для создания других троянцев, похищающих пароли. Является приложением Windows (PE-EXE файл). Имеет размер 460228 байт.

Деструктивная активность

При запуске троянец отображает на экране свое главное окно.

В этом окне в поле ввода необходимо указать адрес для отправки отчетов троянца. При нажатии на левую кнопку конструктор спросит пользователя, под каким именем следует сохранить сгенерированный вирус, после чего создаст троянца и запишет в него введенный адрес электронной почты.

Размер созданного файла — 32968 байт. Упакован с помощью UPX, распакованный размер — около 70 КБ.

При запуске данный файл копирует себя в корневой каталог Windows под различными именами (с расширением .exe) и добавляет ссылку на скопированный файл в параметр ключа автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe <имя исполняемого файла трояна>"

Троянская программа сканирует существующие в системе окна и ищет в них поля для ввода паролей. Если находит, похищает введенный в них текст.

Также троян собирает краткую информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.

Собранные данные хранятся в файле отчета:
%WinDir%\userfile.dll

Содержимое данного файла периодически отсылает на заложенный внутрь с помощью конструктора адрес электронной почты.

Другие названия

Trojan-PSW.Win32.Fente.15 («Лаборатория Касперского») также известен как: Trojan.PSW.Fente.15 («Лаборатория Касперского»), PWS-Fantast.d (McAfee), Hacktool.PWS.QQPass (Symantec), Win32.HLLM.Fantast.15 (Doctor Web), W32/Fanta-B (Sophos), Win32/Fanta.1_5@mm (RAV), TROJ_FANTA.A (Trend Micro), W32/Fanta.A (FRISK), Win32:Trojan-gen. (ALWIL), I-Worm/Fanta (Grisoft), Win32.Fanat.1.5.A@mm (SOFTWIN), Trojan Horse (Panda), Win32/Fanta.15 (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:05:55 | Сообщение # 2
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-PSW.Win32. Coced.219
Программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE-EXE файл). Имеет размер 11269 байт. Написана на Visual C++.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системную папку Windows под именем:
%System%\msrun16.exe

Также извлекает из своего тела следующий файл:
%Temp%\Conf219.exe

Деструктивная активность

Троянец изменяет значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning" = "No"

Похищает значения параметров подключей ключа реестра:
[HKCU\Software\Mirabilis\ICQ\Owners]

С помощью функции WNetEnumCachedPasswords данный вирус похищает сведения о существующих в системе модемных соединениях для доступа к сети Интернет, а также пароли к ним. Собранные сведения отправляются на электронный адрес злоумышленника — ***ihvseh@iname.com. В качестве сервера для отправки исходящей почты используется mail.compuserve.com.

Другие названия

Trojan-PSW.Win32.Coced.219 («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.219 («Лаборатория Касперского»), PWS-AI.cfg (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.219 (Doctor Web), Troj/Coced (Sophos), PWS:Coced (RAV), TROJ_COCED.219 (Trend Micro), TR/PSW.Coced.220 (H+BEDV), Win95:RedPower (ALWIL), Trojan.Naebi.2.1.9 (SOFTWIN), Trojan.Coced.Family.A (ClamAV), Trj/PSW.Coced.219 (Panda), Naebi.2_19.Config (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:06:22 | Сообщение # 3
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Clicker. Win32.Small.ae
Троянская программа, созданная для открытия в окне Internet Explorer интернет-страницы без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 43488 байт.

Деструктивная активность

После запуска троянец отображает всплывающее окно веб-браузера и открывает в нем следующий URL:
http://www.captaincookscasino.com/default.asp***

Другие названия

Trojan-Clicker.Win32.Small.ae («Лаборатория Касперского») также известен как: TrojanClicker.Win32.Small.ae («Лаборатория Касперского»), Downloader-MF (McAfee), Trojan.Adclicker (Symantec), TROJ_MF.A (Trend Micro), Trojan.Clicker.Small-2 (ClamAV), NewHeur_PE (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:06:48 | Сообщение # 4
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Spy.Win32. KeyLogger.ab
Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE EXE-файл). Имеет размер около 30 КБ. Упакована ASPack. Размер распакованного файла – около 60 КБ. Написана на Visual Basic.

Инсталляция

Для автоматического запуска при последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Graphdics" = "<путь до файла троянца>"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Grgaphics" = "<путь до файла троянца>"

Деструктивная активность

После запуска программа следит за вводимой с клавиатуры информацией в окнах, с которыми работает пользователь. Собранные данные помещаются в файл отчета:
C:\Windows\Files.log

Данный файл троянец отсылает на электронную почту злоумышленника:
***ewdsw@peoplemail.com.cn

Другие названия

Trojan-Spy.Win32.KeyLogger.ab («Лаборатория Касперского») также известен как: TrojanSpy.Win32.KeyLogger.ab («Лаборатория Касперского»), Malware.d (McAfee), Keylogger.Trojan (Symantec), Troj/Keylogr-Z (Sophos), TROJ_KEYLOGGER.A (Trend Micro)

 
liS Дата: Четверг, 08.01.2009, 18:07:43 | Сообщение # 5
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Downloader. Win32.IstBar.ay
Троянская программа, которая скачивает файлы без ведома пользователя. Является библиотекой Windows (PE DLL-файл). Имеет размер 17920 байт. Упакована с помощью UPX, распакованный размер — 40960 байт.

Инсталляция

При регистрации библиотека устанавливает себя в систему как Browser Helper Object, при этом создаются следующие ключи реестра:
[HKCR\SearchWord.ExcelExport.1]

[HKCR\SearchWord.ExcelExport]

[HKCR\CLSID\{17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972}]

[HKCR\TypeLib\{FB19BC08-E664-462C-909B-3E9C3F4FF90E}]

[HKCR\Interface\{212552CF-D5B0-49F0-961D-95CA146CDE03}]

Также троянец создает ключ реестра, в котором хранит свои настройки:
[HKCU\Software\Microsoft\IEAK]

Деструктивная активность

Троянская программа скачивает файлы во временную папку с одного из следующих адресов:
http://**clickaire.com/
http://**clickaire.com/
http://**-host.com/

После успешной загрузки вирус запускает файлы на исполнение.

Другие названия

Trojan-Downloader.Win32.IstBar.ay («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.IstBar.ay («Лаборатория Касперского»), Trojan.Digits (Symantec), Trojan.Isbar (Doctor Web), TrojanDownloader:Win32/Istbar.E (RAV), TROJ_ISTBAR.M (Trend Micro), TR/Dldr.IstBar.AY (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Istbar.BV (Grisoft), Trojan.Downloader.ISTBar.BE (SOFTWIN), Spyware/ISTbar (Panda), Win32/TrojanDownloader.IstBar.AY (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:08:21 | Сообщение # 6
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Spy. Win32.MegaHard
Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 217088 байт.

Деструктивная активность

После запуска троянец следит за вводимой с клавиатуры информацией в окнах программ, где работает пользователь. Собранные данные помещаются в файл отчета, который хранится в рабочей папке вируса, имеющей имя "mshosts.dll".

В указанный файл отчета троян прописывает заголовки окон, с которыми работал пользователь, а также последовательности символов, веденных с клавиатуры.

Другие названия

Trojan-Spy.Win32.MegaHard («Лаборатория Касперского») также известен как: TrojanSpy.Win32.MegaHard («Лаборатория Касперского»), Keylog-Megahard (McAfee), Keylogger.Trojan (Symantec), Troj/Spyghost-A (Sophos), TrojanSpy:Win32/MegaHard (RAV), TROJ_MEGAHARD.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Spy.Megahard.A (SOFTWIN), Trojan Horse (Panda), Win32/Spy.MegaHard (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:08:39 | Сообщение # 7
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-PSW. Win32.Fente.14
Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Размер различных модификаций варьируется в пределах от 47 до 215 КБ. Упакована с помощью UPX.

Инсталляция

При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами:
%WinDir%\dfhjl.exe
%System%\IKMOQ.exe

Для автоматической загрузки при каждом последующем старте Windows вредоносная программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shel" l= "Explorer.exe dfhjl.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msgserv_" = "%System%\IKMOQ.exe"

Также троянец задает следующие параметры в ключе реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"windows32_" = "%System32%\MOQSU.dll"
"system_" = "%System32%\IKMOQ.exe"
"userfile_" = "dfhjl.exe"

Деструктивная активность

Используя внешний компонент %System32%\MOQSU.dll, троянская программа устанавливает на клавиатурные события перехватчики, с помощью которых следит за вводом с клавиатуры в окнах, где работает пользователь.

Ещё троянец собирает информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.

Собранные данные отправляются на электронную почту злоумышленника.

Другие названия

Trojan-PSW.Win32.Fente.14 («Лаборатория Касперского») также известен как: Trojan.PSW.Fente.14 («Лаборатория Касперского»), PWS-Fantast.c (McAfee), Hacktool.PWS.QQPass (Symantec), Win32.HLLM.Fantast.14 (Doctor Web), W32/Fanta-A (Sophos), Win32/Fanat.1_4@mm (RAV), TROJ_FANTAST.14 (Trend Micro), Win32:Trojan-gen. (ALWIL), I-Worm/Fanta (Grisoft), Win32.Fanat.1.4.A@mm (SOFTWIN), Worm Generic (Panda), Win32/Fanta.C (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:09:01 | Сообщение # 8
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Dropper. Win32.Small.at
Троянская программа, которая устанавливает и запускает на исполнение другие вредоносные программы на компьютере пользователя без ведома последнего. Является приложением Windows (PE-EXE файл). Имеет размер 665120 байт.

Деструктивная активность

При запуске троянец извлекает из своего тела во временную папку Windows и запускает следующие файлы:

* %Temp%\~1.exe – имеет размер 18163 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Fearless.10

* %Temp%\~2.exe - имеет размер 68180 байт, детектируется Антивирусом Касперского как Backdoor.Win32.Beastdoor.192.h

* %Temp%\~3.exe - имеет размер 573952 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Wmbug.101

Другие названия

Trojan-Dropper.Win32.Small.at («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.at («Лаборатория Касперского»), Trojan dropper (Symantec), Trojan.Flobinder (Doctor Web), TROJ_SMALL.AT (Trend Micro), Win32:Trojan-gen. (ALWIL), Dropper.VB.CD (Grisoft)

 
liS Дата: Четверг, 08.01.2009, 18:09:49 | Сообщение # 9
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
VirTool. MSWord.TBJG
Программа является документом MSWord (DOC-файл). Имеет размер 33792 байта. Написана на макроязыке MSWord.

Деструктивная активность

Программа может использоваться как компонент других макро-вирусов. Реализует функции шифрования строковых выражений произвольным ключом.

Другие названия

VirTool.MSWord.TBJG («Лаборатория Касперского») также известен как: VirTool.Macro.Word97.TBJG («Лаборатория Касперского»),

 
liS Дата: Четверг, 08.01.2009, 18:10:08 | Сообщение # 10
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan.JS. WindowBomb.a
Троянская программа. Написана на языке JavaScript. Является документом HTML. Размер зараженных файлов существенно варьируется.

Деструктивная активность

При загрузке страницы браузер автоматически начинает открывать бесконечное количество пустых окон, что приводит к нарушению работы компьютера.

Другие названия

Trojan.JS.WindowBomb.a («Лаборатория Касперского») также известен как: JS/Winbomb (McAfee), JS.WindowBomb (Symantec), Trojan.Winbomb (Doctor Web), Troj/WinBomb-A (Sophos), JS/Winbomb.D* (RAV), JS_WINDOWBOMB.A (Trend Micro), TR/WinBomb.Crash (H+BEDV), JS/WinBomb.K (FRISK), VBS:Malware (ALWIL), JS.Trojan.Winbomb.D (SOFTWIN), JS/Trj.WindowBomb (Panda), JS/WindowBomb.A (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:10:28 | Сообщение # 11
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Spy. Win32.KeyHunter[color=red]
Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры и операции с курсором мыши. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована с помощью UPX, распакованный размер – около 15 КБ.

Инсталляция

Для автоматического запуска при каждом последующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"@" = "<путь и имя исполняемого файла троянца>"

Деструктивная активность

Троянская программа устанавливает перехватчик событий клавиатуры, с помощью которого следит за клавиатурным вводом в окнах программ, где работает пользователь. Собранные данные сохраняются в файл отчета, который помещается в рабочую папку вируса с тем же именем, что и его исполняемый файл (имеющий расширение .DLL).

В отчет троянец помещает также заголовки окон, с которыми работал пользователь, и последовательности введенных с клавиатуры символов.

Созданный файл отчета троянец периодически загружает на FTP-сервер.

Другие названия

Trojan-Spy.Win32.KeyHunter («Лаборатория Касперского») также известен как: TrojanSpy.Win32.KeyHunter («Лаборатория Касперского»), Keylogger.Trojan (Symantec), Trojan.KeyHunt (Doctor Web), TrojanSpy:Win32/KeyHunter (RAV), TROJ_KEYHUNTER.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.PWS.Keyhunter.A (SOFTWIN), Trojan Horse.LC (Panda), Win32/Spy.KeyHunter.A (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:11:02 | Сообщение # 12
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-PSW. Win32.Fantast.30
Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Имеет размер около 40 КБ. Ничем не упакована.

Инсталляция

При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами:
%WinDir%\winns.exe
%System%\sys.exe

Для автоматической загрузки при каждом последующем старте Windows троянская программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe winns.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msgserv16_" = "%System%\sys.exe"

Деструктивная активность

Используя внешний компонент %WinDir%\wins.dll, троянец устанавливает на клавиатурные события перехватчики, с помощью которых следит за данными, вводимыми с клавиатуры в окнах, где работает пользователь. Собранные данные помещаются в файл отчета:
%WinDir%\userfile.dll

Туда же поступает краткая информация о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти, называние операционной системы.

Кроме того, троянец сканирует систему в поисках окон, предназначенных для ввода паролей, и похищает заносимый в них текст.

Похищенные сведения вредоносная программа отправляет на электронную почту злоумышленнику по адресу firewall****@21cn.com.

Другие названия

Trojan-PSW.Win32.Fantast.30 («Лаборатория Касперского») также известен как: Trojan.PSW.Fantast.30 («Лаборатория Касперского»), PWS-Fantast.a (McAfee), Backdoor.Trojan (Symantec), Win32.HLLM.Fantast.30 (Doctor Web), Troj/Fantast (Sophos), PWS:Win32/Fantast.3_0 (RAV), TROJ_FANTAST.30 (Trend Micro), TR/Fantast.30 (H+BEDV), Win32:Fantast-B (ALWIL), Trojan.PSW.Fantast.30 (SOFTWIN), Trojan Horse (Panda), Win32/PSW.Fantast.30 (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:11:55 | Сообщение # 13
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Backdoor.Win32. Hupigon.cpu
Бекдор, выполняющий деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер около 730 КБ. Написана на Borland Delphi.

Инсталляция

Функционал вредоносной программы зависит от опций, заданных при её генерации.

После запуска троянец производит сравнение своего имени со строкой "IEXPLORE.EXE". Если вредоносный код не расположен внутри зараженного процесса, то выполняются следующие действия.

Бекдор получает букву логического диска (%SysChar%), на котором расположен системный каталог Windows. Используя эту букву, троян формирует такую строку:
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe

Далее производится сравнение имени запущенной программы с данной строкой.

Если имена не совпали, происходит инсталляция вредоносной программы в систему; в противном случае бекдор переходит к деструктивной деятельности.

Процесс инсталляции заключается в следующем. Создается копия файла вредоносной программы с именем "Ahntdce.exe" в папке
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe

Если такой файл уже существует, то перед копированием он удаляется. Скопированному файлу устанавливаются файловые атрибуты "только чтение" и "системный".

После этого производится проверка семейства, к которому относится текущая ОС, что определяет метод регистрации автозапуска копии вредоносной программы.

Для семейства Windows NT выполняется создание системной службы, которая видна в списке служб под именем

"AhnLab Tdce Scheduler"

Запускается автоматически вместе с системой и является интерактивной службой.

Для семейства Windows 9X выполняется регистрация автозапуска в реестре:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Ahntdce.exe" = "%SysChar%:\Program Files\Common Files\
Microsoft Shared\MSINFO\Ahntdce.exe"

Далее (независимо от типа ОС) происходит запуск копии вредоносной программы.

Затем в каталоге с копией бекдора создается и запускается пакетный файл командного интерпретатора с именем "Delet.bat", выполняющий удаление оригинального файла вируса и самого себя:
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Delet.bat

Деструктивная активность

Если вредоносная программа обнаружила, что она является установленной копией, производится вызов браузера Internet Explorer:

%SysChar%:\Program Files\Internet Explorer\IEXPLORE.EXE

Выполняется считывание в память вирусного файла, его корректировка и внедрение в процесс "IEXPLORE.EXE" целиком.

После чего бекдор проверяет наличие сети, и если она доступна, производит анализ Internet-адреса, заданного в коде вредоносной программы. Если это ссылка на файл, то происходит его чтение и получение строки, в которой будут находиться имя сервера и порт. Либо имя сервера и порт могут быть заданы изначально. В данном случае это:
sx.code***.org:8080

Далее устанавливается соединение с этим удаленным сервером.

Бекдор осуществляет формирование строки, содержащей информацию о компьютере пользователя:
%SomeString1%%IsCaptureDriver%%ComputerName%
%DefaultNetworkPassword%%OsName%%CpuSpeed% MHz
%MemorySize%MB%SomeString2%%SomeString3%

Строка эта зашифровывается и отправляется на удаленный сервер.

После создается поток, в котором происходит прослушивание команд, поступающих с сервера.

Вредоносной программой может быть устанавлен перехват оконных сообщений для ведения клавиатурного лога, создание снимков экрана.

Бекдор может изменять домашнюю страницу браузера:
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"

Есть опасность того, что троянец разрешит запуск терминалов для получения удаленного доступа компьютеру пользователя:
[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections" = 0x00000000

Также Backdoor.Win32.Hupigon.cpu имеет возможность получать список процессов, завершать выбранный процесс, производить поиск файлов, получать список файлов и передавать указанные файлы, создавать и удалять указанные файлы, загружать дополнительные модули и работать с ними и многое другое.

 
liS Дата: Четверг, 08.01.2009, 18:12:29 | Сообщение # 14
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Clicker. Win32.Mobs
Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\service.exe

Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MyApp" = "%System%\service.exe"

Деструктивная активность

Троянец изменяет значения следующих ключей реестра:

* [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKCU\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKEY_USERS\S-1-5-21-606747145-1060284298-839522115- 1003\.DEFAULT\
Software\ Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKEY_USERS\S-1-5-21-606747145-1060284298-839522115-1003\Software\
Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"

Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:
* http://www.countering.de/***2000/click.exe?a200639+1
* http://213.221.***.59/in.php?id=Daniel20gera
* http://213.221.***.42/rankem.cgi?id=daniel20
* http://520009810531-****.bei.t-online.de/index.htm
* http://www.countering.de/***2000/counter.exe?a200639+1

На момент создания описания данные ссылки не работали.

Другие названия

Trojan-Clicker.Win32.Mobs («Лаборатория Касперского») также известен как: TrojanClicker.Win32.Mobs («Лаборатория Касперского»), Generic FDoS.b (McAfee), Hacktool.Flooder (Symantec), Trojan.SMSBomb.26624 (Doctor Web), Troj/Mobs (Sophos), TrojanClicker:Win32/Mobs (RAV), TROJ_MOBS.A (Trend Micro), BDS/Bomber.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Clicker.Mobs (SOFTWIN), Trj/W32.Clicker.B (Panda), Win32/TrojanClicker.Mobs.A (Eset)

 
liS Дата: Четверг, 08.01.2009, 18:13:06 | Сообщение # 15
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Email-Worm. Win32.Zhelatin.o
Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Имеет размер 50583 байта. Упакован при помощи UPX.

Инсталляция

При инсталляции червь копирует себя с атрибутом скрытый (hidden) в системный каталог Windows с именем alsys.exe:
%System%\alsys.exe

Червь создает в своем рабочем каталоге файл с произвольным именем и расширением EXE и запускает его.

После чего червь создает следующие записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

То есть при каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующие файлы в системном каталоге Windows:

%System%\wincom32.ini
%System%\wincom32.sys

Также червь изменяет следующую запись системного реестра с целью блокировки Windows Firewall/Internet Connection Sharing (ICS):
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start"="4"

Распространение через email

Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска компьютера начиная с последнего.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Письма не отсылаются на адреса, содержащие в своем адресе следующие строки:
microsoft
.gov
.mil

Деструктивная активность

Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
alsys
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
regedit
spybot
taskmgr
tr oja
viru
vsmon
zonea

Червь использует руткит-библиотеку %System%\wincom32.sys для сокрытия своих файлов на жестком диске и записей в системном реестре.

 
Форум » ОБщение по тематикам » Интернет » Разновидности вирусов (Название вируса и что он делает)
  • Страница 1 из 6
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • »
Поиск:




Добавить свою рекламу на сайт
ххх


Статистика Форума
Последнии темы Популярные темы Рейтинг пользователей Новички
  • Заработок на токен...
  • Где получить инвай...
  • псинэтика...псилек...
  • USerbar псинетика
  • Терминатор: Да при...
  • Мисс Март / Miss M...
  • Девять / 9 [2009 г...
  • Красивый информер ...
  • Новый Топ пользова...
  • Граббер/парсер для...
  • Продвинутые коммен...
  • Скрипт установки п...
  • заработок в интерн...
  • U.S.S. вопросы, пр...
  • Репутация на форум...
  • Разновидности виру...
  • Новый вид фотогале...
  • Заказ баннеров
  • Прогон сайта по ка...
  • Вопрос - ответ
  • какои жанр игры вы...
  • The InstallShield ...
  • У кого какой телеф...
  • Какая у вас ОС?
  • Облом
  • Ассоциации
  • Какои браузер вы и...
  • Предложения по улу...
  • Заработок на файла...
  • Каким антивирусом ...
  • Ник Ранг (форум\статьи\коментарии)

  • liSly
  • (218\67\12)
  • liS
  • (199\67\8)
  • zanoza
  • (108\0\0)
  • Мурзик
  • (102\1\0)
  • SPACKZ
  • (101\0\0)
  • AHD
  • (100\0\0)
  • Freema[N]
  • (99\0\0)
  • SparcO
  • (83\0\0)
  • ALEX172041
  • (60\0\0)
  • kentavrik
  • (49\0\0)
  • doctorkikilik
  • vzlom89602337537
  • LazyFiL
  • zzz234aaa
  • andryushenkaalistratov
  • nagal
  • ^•‡†§
  • bitardovicanton
  • mrchamchev
  • alexeiuslugivzloma
  • nelly-k4
  • CRACK
  • xakermaster
  • karlosdelluka
  • Луна

  • Рейтинг@Mail.ru Используются технологии uCoz