Размер файла — 249344 байта. Упакован при помощи ASPack. Размер распакованного файла — около 553 КБ.

Деструктивная активность

При запуске троянская программа запрашивает у пользователя настройки, необходимые для генерации нового троянца.

Основными запрашиваемыми параметрами являются:

* почтовый ящик злоумышленника и пароль к нему;

* SMTP-сервер, логин и пароль для отправки почты;

* интервал отправки перехваченных данных (в минутах);

* интервал, по истечении которого троянец удалит себя с компьютера жертвы (в днях) и пароль на удаление из системы;

* вести ли журнал перехваченных данных на компьютере жертвы и имя файла журнала;

* имя устанавливаемого в систему троянца (в каталоге %System%);

* имя устанавливаемой в систему библиотеки перехвата сообщений от клавиатуры (в каталоге %System%);

* имя параметра ключа реестра используемого для автозапуска установленного троянца.

Троянец может быть сгенерирован и сохранен под заданным именем в заданной папке.

Другие названия

Trojan-Spy.Win32.GWGhost.35 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.GWGhost.35 («Лаборатория Касперского»), PWS-GWGhost.cfg (McAfee), Backdoor.GWGhost (Symantec), TrojanSpy:Win32/GWGhost.3_5 (RAV), Trojan.Spy.GWGhost.3.5 (SOFTWIN)

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:
%System%\SYSTEMKS.EXE

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (11776 байт):
%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (4096 байт):
%System%\sysadks.dll

И прописывает себя в системном реестре:
[HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32]
"default"="sysadks.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"sysadks"="<произвольный сгенерированный номер>"

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.dat

Другие названия

Trojan-Spy.Win32.Dks.131.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.131.a («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Trojan.Dks.131 (Doctor Web), Troj/DKS-131 (Sophos), TrojanSpy:Win32/Dks.131.A (RAV), TROJ_DKS131.A (Trend Micro), TR/DKS.Spy.131.C.3 (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.DKS.1.3.1.A (SOFTWIN), Trojan.DKS.131.a (ClamAV), Trojan Horse (Panda), Win32/Spy.Dks.131.A (Eset)

Инсталляция

После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл имеет атрибут «скрытый».

Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll"
"Startup"="arm32reg"
"Impersonate"="dword: 0x00000001"

Троянец непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления.

Деструктивная активность

Троян загружает с сайта злоумышленника файл конфигурации, необходимый для своей работы и сохраняет его в следующую папку:
%Documents and Settings%\%All Users%\%Common Documents%\Settings\desktop.ini

После этого троянец запускает процесс iexplore.exe и внедряет в него свой код. Данный процесс открывает произвольный TCP-порт в системе. После чего номер открытого порта троянец отправляет злоумышленнику.

Таким образом злоумышленник получает возможность работать в сети от имени зараженного компьютера без ведома пользователя.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\memorium.exe

Для автоматического запуска при каждом следующем запуске Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="memorium.exe"

Так же добавляет параметр в файл конфигурации wininit.ini:
мemorium=memorium.exe

Деструктивная активность

Запускает веб-браузер и открывает в нем следующую ссылку:

http://www.miskatonic.net/pickman/mythos/****/vermiis1.jpg

Запускает процесс:
shutdown.exe –l

Что приводит к завершению работы Windows.

Другие названия

Trojan.Win32.Pandora.l («Лаборатория Касперского») также известен как: W32.Thonic@mm (Symantec), Trojan.Snakebyte.4096 (Doctor Web), Trojan:Win32/Pandora.L (RAV), TROJ_PANDORA.L (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Pandora.L (SOFTWIN), Trojan Horse.AP (Panda), Win32/Pandora.L (Eset)

Инсталляция

После запуска вирус копирует свой исполняемый файл в системный каталог Windows:
%System%\ole16.dll

После чего изменяет значения следующих параметров ключей реестра на:
[HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@ = "ole16.dll"
ThreadingModel="both"

[HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@ = "ole16.dll"
ThreadingModel="both"

Деструктивная активность

Вирус заражает файлы с расширением .exe на случайно выбранном разделе жесткого диска. Вирус не заражает файлы в папках, имена которых содержат следующие строки:
program files
documents and
_restore
music

При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым.

При запуске зараженного файла тело вируса выделяется и корректируется в библиотеку DLL и в таком виде сохраняется во временную папку Windows с временным именем. После этого запускается процесс : rundll32 %Temp%\<временное имя DLL-файла>,a <путь и имя запущенного файла>

После этого вирусный компонент удаляет свое тело из зараженного файла и распаковывает запакованное в CAB архив тело программы, тем самым полностью восстанавливает его в исходное состояние и запускает.

Вирус извлекает во временную папку с временным именем библиотеку DLL (размер 7168 байт). Также просматривает все окна на рабочем столе пользователя и внедряет в процессы, которым принадлежат эти окна, извлеченную DLL.

Извлеченная библиотека DLL будучи подгруженной к какому-либо процессу периодически делает скриншоты активного окна в системе, после чего шифрует их и публикует на сайте x***e.ru.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:
%System%\SYSTEMKS.EXE

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (5120 байт):
%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (3072 байта):
%System%\sysadks.dll

И прописывает себя в системном реестре:
[HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32]
"default"="sysadks.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"sysadks"="<произвольный сгенерированный номер>"

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.dat

Другие названия

Trojan-Spy.Win32.Dks.13.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.13.a («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Troj/DKS13-A (Sophos), TrojanSpy:Win32/Dks.13.A (RAV), TROJ_DKS.A (Trend Micro), TR/DKS.13.a (H+BEDV), Trojan.Spy.DKS.1.3.A (SOFTWIN), Trojan Horse.LC (Panda), Win32/Spy.Dks.13.A (Eset)

Инсталляция

Данный бэкдор инсталлируется в систему при помощи другой вредоносной программы.

При загрузке бэкдор извлекает из ресурсов своего исполняемого файла библиотеку DLL и сохраняет её в корневом каталоге Windows: %WinDir%\G_Server2006Key.DLL

Данная библиотека определяется Антивирусом Касперского как Backdoor.Win32.Hupigon.bxb.

Деструктивная активность

Бэкдор имеет следующие функции:

* полный доступ к файлам на жестком диске;
* полный доступ к общим ресурсам локальной сети пользователя;
* полный доступ к системному реестру;
* загрузка из интернета файлов на компьютер пользователя и их запуск;
* удаленный командный терминал;
* получение информации о системе пользователя;
* полный доступ к рабочему столу пользователя и перехват управления.

Другие названия

Backdoor.Win32.Hupigon.bns («Лаборатория Касперского») также известен как: BackDoor-AWQ (McAfee), BackDoor.Pigeon.99 (Doctor Web), Troj/Feutel-AC (Sophos), BDS/Hupigon.MT (H+BEDV), BackDoor.Generic.SRR (Grisoft), Backdoor.Hupigon.E (SOFTWIN), Win32/Hupigon (Eset)

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe:
%System%\systemks.exe

После чего регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"systemks"="systemks.exe"

Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (9728 байт):
%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет язык ввода, следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.txt

Другие названия

Trojan-Spy.Win32.Dks.12.b («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.12.b («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Trojan.Dks.12 (Doctor Web), Troj/KeySpy-DKS (Sophos), TrojanSpy:Win32/Dks.1_2.B (RAV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.Dks.1.2.B (SOFTWIN), Trj/Spy.Dks.12.B (Panda), Win32/Spy.Dks.12.B (Eset)

Инсталляция

Данная библиотека инсталлируется в систему при помощи других троянских программ. При этом создаются следующие ключи реестра:
[HKCR\TIBSLoaderAXDLL.TIBSLoader.4]
[HKCR\TIBSLoaderAXDLL.TIBSLoader]
[HKCR\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}]
[HKCR\TypeLib\{C4855F24-2FEE-4253-AF26-24D539508AB1}]
[HKCR\Interface\{DB767162-0D30-4181-9ED6-8019F6452FFF}]

Деструктивная активность

Троянец извлекает из своих ресурсов файл и помещает его во временную папку Windows с именем вида:
%Temp%\tibs<произвольный набор символов>

Данный файл детектируется Антивирусом Касперского как not-a-virus:Porn-Downloader.Win32.TibSystems.

После этого происходит запуск данного файла на исполнение.

Далее троянец выполняет следующие действия:

* создает ключ реестра, в котором хранит свои настройки [HKCU\Software\WebSiteViewer\Settings]

* собирает информацию о версии установленной операционной системы и системного языка;

* отправляет собранную информацию на сайт злоумышленника:
http://www.dialer****n.com/cgi-bin/err3.....

Другие названия

Trojan-Downloader.Win32.Tibser.a («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Tibser.a («Лаборатория Касперского»), Dialer.Tibs (Doctor Web), TrojanDownloader:Win32/Tibser.A (RAV), TROJ_TIBSER.A (Trend Micro), TR/Dldr.Tibser.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Tibser.A (Grisoft), Trojan.Downloader.Tibser.A (SOFTWIN), Trojan.Downloader.Small-92 (ClamAV), Dialer.MZ (Panda), Win32/TrojanDownloader.Tibser.A (Eset)

Деструктивная активность

Троянец запускает процесс IEXPLORE.EXE и открывает в нем следующие ссылки:
http://www.teenager*****.com/join.....
http://www.japper*****.com/join.....
http://www2.teenicu*****.com/cgi/click.....
http://www.teenager******.com/join.....
http://www.japper*****.com/join.....

Другие названия

Trojan-Clicker.Win32.Glocker.a («Лаборатория Касперского») также известен как: TrojanClicker.Win32.Glocker.a («Лаборатория Касперского»), AdClicker (McAfee), Trojan Horse (Symantec), Trojan.AddClick (Doctor Web), Troj/AdClicke (Sophos), TrojanClicker:Win32/Glocker (RAV), TROJ_GLOCKER.A (Trend Micro), TR/Click.Glocker.a (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Win32.Glocker (SOFTWIN), Trojan.Clicker.Glocker (ClamAV), Trj/Glocker (Panda), Win32/TrojanClicker.Glocker.A (Eset)

Технические детали:
Троянская программа, изменяющая стартовую страницу Internet Explorer. Является приложением Windows (PE EXE-файл). Имеет размер 60416 байт. Написана на Delphi.

Деструктивная активность:
При запуске троянец изменяет следующее значение ключа реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.im-software.co.uk"
Это приводит к изменению стартовой страницы браузера Microsoft Internet Explorer

Деструктивная активность
В файл hosts добавлены следующие строки:
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 www.f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com

Таким образом, все запросы к данным серверам будут заблокированы.
Все это — результат деятельности другой вредоносной программы.

Технические детали:
Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 14336 байт.

Инсталляция:
После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe:
%System%\systemks.exe
После чего регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"systemks"="systemks.exe"
Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (9728 байт):
%System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.
Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность:
Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.txt

Деструктивная активность

Данная вредоносная программа шифрует исходный код тела макровируса, при этом сама она шифрованию не подвергается.

Программа может использоваться в других макровирусах.

Другие названия

VirTool.MSWord.ZSZPE («Лаборатория Касперского») также известен как: VirTool.Macro.Word97.ZSZPE («Лаборатория Касперского»), W97M/Generic (McAfee), MACRO.Virus (Doctor Web), W97M.AntiSocial.E (SOFTWIN)

Инсталляция

При инсталляции червь создает файлы в системном каталоге Windows:

* %System%\adirss.exe – имеет размер 6038 байт.
* %System%\taskdir.exe – имеет размер 54166 байт.
* %System%\zlbw.dll – имеет размер 46592 байта.
* %System%\adir.dll – имеет размер 4608 байт, определяется
Антивирусом Касперского как Email-Worm.Win32.Banwarum.f.

Для автоматической загрузки при каждой последующей загрузке Windows червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sysinter="%System%\adirss.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
taskdir="%System%\taskdir.exe"

Создает ключ реестра, который загружает библиотеку %System%\adir.dll при каждом следующем старте Windows:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\adir]

Червь добавляет в системный брандмауэр правило, разрешающее исполняемому файлу червя любую активность. Для этого выполняется команда:
netsh firewall set allowedprogram %System%\adirss.exe enable

Также создается служба с именем "Windows update Service", которая загружает исполняемый файл червя — %System%\taskdir.exe.

Деструктивная активность

Процесс adirss.exe запускает SMTP прокси-сервер на 25-ом TCP-порте и дает возможность злоумышленникам использовать зараженный компьютер как часть зомби-сети для рассылки спама.

После этого червь регистрируется на сайте злоумышленников и сообщает сетевой адрес компьютера.

Далее червь скачивает файл настроек зомби-сети с хакерского сайта и сохраняет его как %System%\log.txt. Данные из этого файла используются с целью получения параметров для отправки спама.

Компонент %System%\adir.dll является Rootkit-библиотекой, которая скрывает файлы червя на винчестере, запущенные процессы червя в системе, а так же ключи реестра, в которых хранятся настройки червя.

Вредоносная программа скачивает файл по ссылке http://***/cp/bin/lim и сохраняет его как %System%\taskdir~.exe, после чего запускает на исполнение.

В момент создания описания данная ссылка не работала.