Деструктивная активность

После запуска троянец удаляет файл autoexec.bat в корневом каталоге диска C:
C:\autoexec.bat

Далее троянец производит попытку удаления файла explorer.exe в каталоге Windows:
%WinDir%\explorer.exe

Деструктивная активность

Данный троянец предназначен для отправки на электронный адрес злоумышленника информации, вводимой пользователем зараженного компьютера с клавиатуры и содержимого буфера обмена. Функции перехвата импортируются из динамической библиотеки cmd32.dll. Похищаемую информацию троянец сохраняет в следующем файле:
%WinDir%\sdsini.ini

Также троянец создает следующие ключи в системном реестре:
[HKLM\Software\Microsoft\Fosrt]
[HKLM\Software\Microsoft\Upeir]

При подключении зараженного компьютера к интернету троянец отправляет всю похищенную информацию на электронный адрес злоумышленника: b***oks@yandex.ru.

Также троянец скачивает и запускает из интернета следующие файлы:
* http://ass.rompl.net/***/file.php***mstasks1.exe сохраняется в %System%\
mstasks1.exe
* http://ass.rompl.net/***/file.php***mstasks2.exe сохраняется в %System%\
mstasks2.exe

Троянец сохраняет данные, полученные от сервера, в результате обращения по адресу http://www.ip2location.com/***.asp в файл %System%\sastem.ing.

На момент создания описания данные ссылки не работали.

Другие названия

Trojan-Spy.Win32.Small.r («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Small.r («Лаборатория Касперского»), Spy-Tofger.gen.a (McAfee), Download.Trojan (Symantec), Trojan.Tofger.12000 (Doctor Web), PWS:Win32/Small (RAV), TROJ_TOPGER.A (Trend Micro), Win32:Trojan-gen. (ALWIL), PSW.Small.B (Grisoft), Trj/Tofger.T (Panda), Win32/Spy.Small.R (Eset)

Инсталляция

При запуске программа копирует свой исполняемый файлы в системную папку Windows с именем:
%System%\win2k2.exe

Для автоматического запуска при следующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%System%\win2k2.exe"

Деструктивная активность

При запуске троянец выполняет следующие действия:

* получает все сохраненные в системе пароли с помощью вызова недокументированной функции WNetEnumCachedPasswords;

* следит за нажатиями на клавиши в окнах, с которыми работает пользователь, а также получает текст, вводимый пользователем в полях ввода. Собранные данные записывает в файл отчета:
%WinDir%\winlog.dat

Отчет является HTML-документом, в который записываются заголовки окон, с которыми работал пользователь и последовательности нажатых в них клавиш.

* все собранные троянцем данные отсылаются на электронную почту злоумышленника:
*****web@gem.net.pk

В отчет также помещается IP-адрес зараженного компьютера.

Другие названия

Trojan-Spy.Win32.Janet.420 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Janet.420 («Лаборатория Касперского»), Keylog-JanNet (McAfee), Trojan Horse (Symantec), Trojan.Jannet.42 (Doctor Web), Troj/KeyJanet-A (Sophos), TrojanSpy:Win32/Janet.4_20 (RAV), TROJ_PSWJANET.42 (Trend Micro), TR/JanetSpy.420.C (H+BEDV), Win32:Trojan-gen. (ALWIL), Janet (Grisoft), Trojan.Spy.Janet.4.20 (SOFTWIN), Trj/Spy.Janet.420 (Panda), Win32/Spy.Janet.420.A (Eset)

Более подробное описание одного из объектов данного семейства — result.exe (MD5: 67abb14646d81701af7d64721962dab8).

Является приложением Windows (PE EXE-файл). Имеет размер 402976 байт.

Деструктивная активность

После запуска троянец извлекает из своего тела во временную папку Windows четыре файла с временными именами:

* %Temp%\<временное_имя>.exe (17410 байт, детектируется Антивирусом Касперского как Trojan.Win32.OptixKill.20.a);

* %Temp%\<временное_имя>.jpg (9609 байт, чистый файл);

* %Temp%\<временное_имя>.exe (369990 байт, детектируется Антивирусом Касперского как Backdoor.Win32.SubSeven.21.b);

* %Temp%\<временное_имя>.vbs (741 байт, детектируется Антивирусом Касперского как Email-Worm.VBS.Spam.BRIEF).

После чего запускает их на выполнение.

Другие названия

Trojan-Dropper.Win32.Small.o («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.o («Лаборатория Касперского»), MultiDropper-CE (McAfee), Backdoor.Optix (Symantec), Trojan.MulDrop.1284 (Doctor Web), Troj/Mdrop-CE (Sophos), TrojanDropper:Win32/Small.O (RAV), TROJ_SMALL9.O (Trend Micro), BDS/Optix.03.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Dropper.Small.BR (Grisoft), Trojan.Win32.Dropper.Small.O9.1 (SOFTWIN), Trojan.Dropper.B-2 (ClamAV), Trojan Horse (Panda), Win32/TrojanDropper.Small.o9 (Eset)

Программа является приложением Windows (PE EXE-файл). Имеет размер 4608 байт. Упакована при помощи UPX. Распакованный размер — около 20 КБ. Написана на C++.

Деструктивная активность

После запуска троянец производит чтение последних 250 байт своего тела. В них в зашифрованном виде расположена ссылка на файл для скачивания.

После расшифровки происходит скачивание файла по указанному адресу и сохранение его во временный каталог Windows под именем $fd$.exe:
%TEMP%\$fd$.exe

После этого происходит скрытый запуск загруженного файла на исполнение и завершение работы троянца.

Другие названия

Trojan-Downloader.Win32.ZombGet.02.c («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.ZombGet.02.c («Лаборатория Касперского»), Downloader-AA (McAfee), Download.Trojan (Symantec), Trojan.DownLoader (Doctor Web), Troj/WebDL (Sophos), TrojanDownloader:Win32/ZombGet.02.C (RAV), TROJ_ZOGET.02.C (Trend Micro), TR/ZombGet.02.C2 (H+BEDV), Downloader.Zomget (Grisoft), Trojan.Downloader.ZombGet.0.2.C (SOFTWIN), Trojan Horse.LC (Panda), Win32/TrojanDownloader.ZombGet.02.C (Eset)

После запуска троянец посылает следующий HTTP-запрос:
http://wwww.ne***.com/rankboost.php?0

Результатом этого запроса является страница, содержащая текст следующего скрипта JavаScript, который будет выполнен сразу же после выполнения запроса:

В этом скрипте происходит получение содержимого веб-страницы, генерируемой скриптом cs.php по адресу http://www.ne***.com/deliver/cs.php через 99 секунд после выполнения предыдущего скрипта. На этой странице размещено два других скрипта. В первом происходит анализ размера окна браузера, и если оно больше или равно 300 пикселям, то происходит перенаправление на сайт http://www.ne***.com. В противном случае выполняется скрипт, посылающий поисковый запрос на один из следующих поисковиков:
http://www.bit***.com
http://www.xit***.com

При каждом вызове скрипта cs.php для поискового запроса генерируется новое слово. Новый вызов повторяется через определенный промежуток времени для следующего слова поиска.

При загрузке страницы, браузер автоматически начинает открывать бесконечное количество окон, пытающихся загрузить локальный ресурс die.htm, что приводит к нарушению работы компьютера. Рекомендации по удалению

Trojan.JS.WindowBomb.b («Лаборатория Касперского») также известен как: JS/Winbomb (McAfee), Trojan Horse (Symantec), Trojan.Winbomb (Doctor Web), JS/Winbomb.B* (RAV), JS_WINBOMB.B (Trend Micro), JS/WinBomb.J (FRISK), VBS:Malware (ALWIL), JS.Winbomb.B (SOFTWIN), JS.TailTap.WindowBomb.B (ClamAV), Trojan Horse (Panda), JS/WindowBomb.B (Eset)

Если обнаруживает в буфере текст, похожий на номера кошельков (как правило это Z,R,E,U и двенадцати значное число), то заменяет их на заданные при компиляции кошельки. Также позволяет подменять E-Gold и Yandex.money.

Деструктивная активность

Данная вредоносная программа используется как компонент других макро-вирусов. Реализует функции шифрования произвольным ключом строковых выражений. Для чего используется:
AntiSocial Poly-Encryption Engine v.1.0
By Lys Kovick For The Alcoholic Anarchists of America (AAA)

Другие названия

VirTool.MSWord.Aspee («Лаборатория Касперского») также известен как: VirTool.Macro.Word97.Aspee («Лаборатория Касперского»), W97M/Generic (McAfee), W97M.AntiSocial.I,K (Symantec), W97M.AntiSocial (Doctor Web), WM97/Aspee-A (Sophos), W97M/Antisocial (Grisoft), W97M/Generic (Panda)

Деструктивная активность

Троянец, используя Microsoft.XMLHTTP, загружает, с указанного в качестве параметра адреса, исполняемый файл и сохраняет его, используя ADODB.Stream, в папку C:\Program Files\Internet Explorer\.

После этого файл запускается на исполнение одной из функций, в зависимости от версии Windows.

Другие названия

Trojan-Downloader.JS.Weis.b («Лаборатория Касперского») также известен как: TrojanDownloader.JS.Weis.b («Лаборатория Касперского»), VBS/Psyme (McAfee), Downloader.Trojan (Symantec), JS/Psyme (Grisoft), Exploit.ADODB.Stream.Gen (SOFTWIN), VBS/TrojanDownloader.Psyme.NAF (Eset)

Деструктивная активность

При выполнении скрипта происходит отправка письма с заголовком «your license», текстом «you bastard», адресом отправителя bill_gates@microsoft.com , адресом получателя support@avp.ru и копией по адресу id@drweb.ru .

Другие названия

Trojan.JS.MailBomb («Лаборатория Касперского») также известен как: JS/Mailbomb (McAfee), JS.Mailbomb.Trojan (Symantec), VBS/Mailbomb (Sophos), JS/MailBomb.A* (RAV), JS_MAILBOMB.A (Trend Micro), JS/MailBomb.A (FRISK), Html.235 (SOFTWIN), Trojan Horse (Panda), JS/MailBomb.A (Eset)

Деструктивная активность

Троянец действует по следующему сценарию:

1. Пытается загрузить файлы fgc32.exe и fgc64.exe с адреса www.***group.com

2. Сохраняет скачанные файлы:
%username%\fgc32.exe
%username%\fgc64.exe

3. Запускает скачанные файлы на исполнение.

Другие названия

Trojan-Downloader.Java.OpenConnection.d («Лаборатория Касперского») также известен как: TrojanDownloader.Java.OpenConnection.d («Лаборатория Касперского»), JV/Shinwow (McAfee), Trojan.ByteVerify (Symantec), TrojanDownloader:Java/OpenConnection.D (RAV), JS:OpenConnection (ALWIL), Trojan Horse (Panda), Java/TrojanDownloader.OpenConnection.D (Eset)

Инсталляция

Данный троянец инсталлируется в систему при помощи других вредоносных программ.

Деструктивная активность

Троянец завершает следующие процессы:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AckWin32.exe
ACKWIN32.EXE
ALERTSVC.EXE
ALOGSERV.EXE
Anti-Trojan.exe
ANTS.EXE
ATCON.EXE
A TCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
AutoDown.exe
AutoTrace.exe
AUTOUPDATE.EXE
AVCONSOL.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGSERV.EXE
AvkS erv.exe
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVSYNMGR.EXE
AVXMONITOR9X.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.E XE
blackd.exe
blackice.exe
Claw95.exe
Claw95cf.exe
cleaner.exe
cleaner3.exe
cpd.exe
DEFWATCH.EXE
DOORS.EXE
F-AGNT95.EXE
FAST.EXE
F -PROT95.EXE
FRW.EXE
FRW.EXE
GUARD.EXE
GUARD.EXE
iamapp.exe
IAMAPP.EXE
iamserv.exe
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICLOADNT. EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
ICSUPPNT.EXE
IFACE.EXE
IFACE.EXE
IOMON98.EXE
ISRV95.EXE
JEDI.EXE
LOCKDOWN200 0.EXE
LUCOMSERVER.EXE
MCAGENT.EXE
MCAGENT.EXE
Mcshield.exe
MCUPDATE.EXE
MCUPDATE.EXE
MINILOG.EXE
MONITOR.EXE
MOOLIVE.EXE
NAVAPW32. EXE
NAVAPW32.EXE
NAVAPW32.EXE
NavLu32.exe
NAVW32.EXE
Navw32.exe
NDD32.EXE
NeoWatchLog.exe
NeoWatchTray.exe
NISSERV
NISUM.EXE
NMAI N.EXE
NORMIST.EXE
notstart.exe
NPROTECT.EXE
NSCHED32.EXE
NTXconfig.exe
Nupgrade.exe
NVC95.EXE
NWService.exe
outpost.exe
PCCIOMON.E XE
PERSFW.EXE
POP3TRAP.EXE
POPROXY.EXE
REALMON95.EXE
Rescue.exe
RTVSCN95.EXE
Smc.exe
SPHINX.EXE
SPYXX.EXE
SPYXX.EXE
SS3EDIT.EXE
S S3EDIT.EXE
SWNETSUP.EXE
SymProxySvc.exe
SYNMGR.EXE
TAUMON.EXE
TC.EXE
tca.exe
TCA.EXE
TCM.EXE
TDS-3.EXE
TFAK.EXE
TFAK.EXE
TRJSCAN .EXE
VetTray.exe
VPTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSHWIN32.EXE
VSMON.EXE
VSSTAT.EXE
VSSTAT.EXE
WATCHDOG.EXE
WebScanX.exe
WEBSC ANX.EXE
WEBTRAP.EXE
WGFE95.EXE
WRADMIN.EXE
WrAdmin.exe
WRCTRL.EXE
WrCtrl.exe
WrCtrl.exe
ZATUTOR.EXE
ZAUINST.EXE
ZONEALARM.EXE

Т акже останавливает и удаляет службу с именем «anem».

Другие названия

Trojan.Win32.Killav.be («Лаборатория Касперского») также известен как: ProcKill-AS (McAfee), Trojan.KillAV (Symantec), Trojan.AVKill.5632 (Doctor Web), Trojan:Win32/Killav.BE (RAV), TROJ_PROCKILL.A (Trend Micro), TR/Small.CN.1 (H+BEDV), Win32:Trojan-gen. (ALWIL), Killav.F (Grisoft), Trojan.Killav.BE (SOFTWIN), Trojan.AVKill.5632 (ClamAV), Trj/Killav.I (Panda), Win32/KillAV.BE (Eset)

Деструктивная активность

При загрузке страницы браузер автоматически начинает открывать бесконечное количество пустых окон, что приводит к нарушению работы компьютера.

Другие названия

Trojan.JS.WindowBomb.c («Лаборатория Касперского») также известен как: JS/Winbomb (McAfee), Trojan Horse (Symantec), JS/Winbomb.C* (RAV), HTML_BOMB.B (Trend Micro), JS/WinBomb.R (FRISK), VBS:Malware (ALWIL), JS.Winbomb.C (SOFTWIN), Trj/JS.WindowBomb (Panda), JS/WindowBomb.H (Eset)

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microoft\Windows\CurrentVersion\Run]
"(Default)"="<Путь к исполняемому файлу троянца>"

Деструктивная активность

В своем рабочем каталоге троянец создает следующий файл:
<Рабочий каталог троянца>\<имя исходного файла троянца>.dll

Троянец перехватывает сообщения от клавиатуры и записывает собранную информацию в созданный файл. Собранная информация сохраняется в следующем виде:
Текущая дата
Время запуска троянца
Имя пользователя Имя компьютера
_________________________________________
Текущее время
Заголовок активного окна
Последовательность нажатых в этом окне клавиш

При подключении зараженного компьютера к интернету троянец отправляет всю похищенную информацию на FTP-сервер, адрес которого указан в теле троянца.

Непосредственно для файла троянца и файла, созданного для хранения похищеной информации, устанавливаются атрибуты «Скрытый» и «Системный».

Другие названия

Trojan-Spy.Win32.Small.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Small.a («Лаборатория Касперского»), Keylog-Small (McAfee), Trojan Horse (Symantec), Trojan.ASoft (Doctor Web), Troj/Keylog-H (Sophos), Trojan:Win32/Keylogger.H (RAV), TROJ_SMALL.A (Trend Micro), TR/Small.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Keylogger.Hunter (SOFTWIN), Trojan Horse (Panda), Win32/Spy.Small.A (Eset)