Trojan-Spy.Win32. GWGhost.35 Троянская программа. Предназначена для генерации троянцев — клавиатурных шпионов. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Создана в Китае.
Размер файла — 249344 байта. Упакован при помощи ASPack. Размер распакованного файла — около 553 КБ.
Деструктивная активность
При запуске троянская программа запрашивает у пользователя настройки, необходимые для генерации нового троянца.
Основными запрашиваемыми параметрами являются:
* почтовый ящик злоумышленника и пароль к нему;
* SMTP-сервер, логин и пароль для отправки почты;
* интервал отправки перехваченных данных (в минутах);
* интервал, по истечении которого троянец удалит себя с компьютера жертвы (в днях) и пароль на удаление из системы;
* вести ли журнал перехваченных данных на компьютере жертвы и имя файла журнала;
* имя устанавливаемого в систему троянца (в каталоге %System%);
* имя устанавливаемой в систему библиотеки перехвата сообщений от клавиатуры (в каталоге %System%);
* имя параметра ключа реестра используемого для автозапуска установленного троянца.
Троянец может быть сгенерирован и сохранен под заданным именем в заданной папке.
Другие названия
Trojan-Spy.Win32.GWGhost.35 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.GWGhost.35 («Лаборатория Касперского»), PWS-GWGhost.cfg (McAfee), Backdoor.GWGhost (Symantec), TrojanSpy:Win32/GWGhost.3_5 (RAV), Trojan.Spy.GWGhost.3.5 (SOFTWIN)
Trojan-Spy.Win32. Dks.131.a Троянская программа - клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 6144 байта. Упакован при помощи UPX. Размер распакованного файла — около 31 КБ.
Инсталляция
После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE: %System%\SYSTEMKS.EXE
Также троянец создает в системном каталоге Windows файл с именем systemks.dll (11776 байт): %System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.
Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (4096 байт): %System%\sysadks.dll
И прописывает себя в системном реестре: [HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32] "default"="sysadks.dll"
Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».
Деструктивная активность
Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл: %System%\kslog.dat
Trojan-Proxy.Win32. Xorpix.ar Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер около 17 КБ. Упакована при помощи UPack, размер распакованного файла — около 258 КБ.
Инсталляция
После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл имеет атрибут «скрытый».
Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы): [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg] "Asynchronous"="dword: 0x00000001" "DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll" "Startup"="arm32reg" "Impersonate"="dword: 0x00000001"
Троянец непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления.
Деструктивная активность
Троян загружает с сайта злоумышленника файл конфигурации, необходимый для своей работы и сохраняет его в следующую папку: %Documents and Settings%\%All Users%\%Common Documents%\Settings\desktop.ini
После этого троянец запускает процесс iexplore.exe и внедряет в него свой код. Данный процесс открывает произвольный TCP-порт в системе. После чего номер открытого порта троянец отправляет злоумышленнику.
Таким образом злоумышленник получает возможность работать в сети от имени зараженного компьютера без ведома пользователя.
Trojan.Win32. Pandora.l Троянская программа, которая выполняет нежелательные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 4096 байт.
Инсталляция
При запуске троянец копирует свой исполняемый файл в корневой каталог Windows: %WinDir%\memorium.exe
Для автоматического запуска при каждом следующем запуске Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="memorium.exe"
Так же добавляет параметр в файл конфигурации wininit.ini: мemorium=memorium.exe
Деструктивная активность
Запускает веб-браузер и открывает в нем следующую ссылку:
Virus.Win32. Saburex.a Файловый вирус, заражающий исполняемые файлы Windows. Является библиотекой Windows DLL, имеет размер 17 920 байт.
Инсталляция
После запуска вирус копирует свой исполняемый файл в системный каталог Windows: %System%\ole16.dll
После чего изменяет значения следующих параметров ключей реестра на: [HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32] @ = "ole16.dll" ThreadingModel="both"
Вирус заражает файлы с расширением .exe на случайно выбранном разделе жесткого диска. Вирус не заражает файлы в папках, имена которых содержат следующие строки: program files documents and _restore music
При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым.
При запуске зараженного файла тело вируса выделяется и корректируется в библиотеку DLL и в таком виде сохраняется во временную папку Windows с временным именем. После этого запускается процесс : rundll32 %Temp%\<временное имя DLL-файла>,a <путь и имя запущенного файла>
После этого вирусный компонент удаляет свое тело из зараженного файла и распаковывает запакованное в CAB архив тело программы, тем самым полностью восстанавливает его в исходное состояние и запускает.
Вирус извлекает во временную папку с временным именем библиотеку DLL (размер 7168 байт). Также просматривает все окна на рабочем столе пользователя и внедряет в процессы, которым принадлежат эти окна, извлеченную DLL.
Извлеченная библиотека DLL будучи подгруженной к какому-либо процессу периодически делает скриншоты активного окна в системе, после чего шифрует их и публикует на сайте x***e.ru.
Trojan-Spy.Win32. Dks.13.a Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 6656 байт. Упакован при помощи UPX. Размер распакованного файла — около 27 КБ.
Инсталляция
После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE: %System%\SYSTEMKS.EXE
Также троянец создает в системном каталоге Windows файл с именем systemks.dll (5120 байт): %System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.
Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (3072 байта): %System%\sysadks.dll
И прописывает себя в системном реестре: [HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32] "default"="sysadks.dll"
Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».
Деструктивная активность
Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл: %System%\kslog.dat
Backdoor.Win32. Hupigon.bns Бэкдор, позволяющий злоумышленнику удаленно получить полный доступ к компьютеру пользователя. Программа является библиотекой Windows (DLL-файл). Размер зараженный файлов значительно варьируется.
Инсталляция
Данный бэкдор инсталлируется в систему при помощи другой вредоносной программы.
При загрузке бэкдор извлекает из ресурсов своего исполняемого файла библиотеку DLL и сохраняет её в корневом каталоге Windows: %WinDir%\G_Server2006Key.DLL
Данная библиотека определяется Антивирусом Касперского как Backdoor.Win32.Hupigon.bxb.
Деструктивная активность
Бэкдор имеет следующие функции:
* полный доступ к файлам на жестком диске; * полный доступ к общим ресурсам локальной сети пользователя; * полный доступ к системному реестру; * загрузка из интернета файлов на компьютер пользователя и их запуск; * удаленный командный терминал; * получение информации о системе пользователя; * полный доступ к рабочему столу пользователя и перехват управления.
Trojan-Spy.Win32. Dks.12.b Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 13824 байта.
Инсталляция
После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe: %System%\systemks.exe
После чего регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "systemks"="systemks.exe"
Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.
Также троянец создает в системном каталоге Windows файл с именем systemks.dll (9728 байт): %System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.
Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».
Деструктивная активность
Троянец перехватывает сообщения от клавиатуры, определяет язык ввода, следит за операциями над окнами, после чего записывает собранную информацию в следующий файл: %System%\kslog.txt
Trojan-Downloader.Win32. Tibser.a Троянская программа. Является библиотекой Windows (DLL-файл). Имеет размер 39688 байт. Упакована с помощью UPX. Распакованный размер — около 70 КБ. Написана на С++.
Инсталляция
Данная библиотека инсталлируется в систему при помощи других троянских программ. При этом создаются следующие ключи реестра: [HKCR\TIBSLoaderAXDLL.TIBSLoader.4] [HKCR\TIBSLoaderAXDLL.TIBSLoader] [HKCR\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}] [HKCR\TypeLib\{C4855F24-2FEE-4253-AF26-24D539508AB1}] [HKCR\Interface\{DB767162-0D30-4181-9ED6-8019F6452FFF}]
Деструктивная активность
Троянец извлекает из своих ресурсов файл и помещает его во временную папку Windows с именем вида: %Temp%\tibs<произвольный набор символов>
Данный файл детектируется Антивирусом Касперского как not-a-virus:Porn-Downloader.Win32.TibSystems.
После этого происходит запуск данного файла на исполнение.
Далее троянец выполняет следующие действия:
* создает ключ реестра, в котором хранит свои настройки [HKCU\Software\WebSiteViewer\Settings]
* собирает информацию о версии установленной операционной системы и системного языка;
Trojan-Clicker.Win32. Glocker.a Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 28672 байт. Написана на Visual Basic.
Технические детали: Троянская программа, изменяющая стартовую страницу Internet Explorer. Является приложением Windows (PE EXE-файл). Имеет размер 60416 байт. Написана на Delphi.
Деструктивная активность: При запуске троянец изменяет следующее значение ключа реестра: [HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.im-software.co.uk" Это приводит к изменению стартовой страницы браузера Microsoft Internet Explorer
Trojan.Win32.Qhost.it Технические детали: Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 964 байта. Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к данным сайтам.
Технические детали: Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 14336 байт.
Инсталляция: После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe: %System%\systemks.exe После чего регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "systemks"="systemks.exe" Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.
Также троянец создает в системном каталоге Windows файл с именем systemks.dll (9728 байт): %System%\systemks.dll Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала. Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».
Деструктивная активность: Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл: %System%\kslog.txt
Email-Worm.Win32. Zhelatin.u Почтовый червь. Является приложением Windows (PE EXE-файл). Размер компонентов варьируется в пределах от 6 до 54 кбайт. Упакован при помощи UPX.
Инсталляция
При инсталляции червь создает файлы в системном каталоге Windows:
* %System%\adirss.exe – имеет размер 6038 байт. * %System%\taskdir.exe – имеет размер 54166 байт. * %System%\zlbw.dll – имеет размер 46592 байта. * %System%\adir.dll – имеет размер 4608 байт, определяется Антивирусом Касперского как Email-Worm.Win32.Banwarum.f.
Для автоматической загрузки при каждой последующей загрузке Windows червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] sysinter="%System%\adirss.exe"
Создает ключ реестра, который загружает библиотеку %System%\adir.dll при каждом следующем старте Windows: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\adir]
Червь добавляет в системный брандмауэр правило, разрешающее исполняемому файлу червя любую активность. Для этого выполняется команда: netsh firewall set allowedprogram %System%\adirss.exe enable
Также создается служба с именем "Windows update Service", которая загружает исполняемый файл червя — %System%\taskdir.exe.
Деструктивная активность
Процесс adirss.exe запускает SMTP прокси-сервер на 25-ом TCP-порте и дает возможность злоумышленникам использовать зараженный компьютер как часть зомби-сети для рассылки спама.
После этого червь регистрируется на сайте злоумышленников и сообщает сетевой адрес компьютера.
Далее червь скачивает файл настроек зомби-сети с хакерского сайта и сохраняет его как %System%\log.txt. Данные из этого файла используются с целью получения параметров для отправки спама.
Компонент %System%\adir.dll является Rootkit-библиотекой, которая скрывает файлы червя на винчестере, запущенные процессы червя в системе, а так же ключи реестра, в которых хранятся настройки червя.
Вредоносная программа скачивает файл по ссылке http://***/cp/bin/lim и сохраняет его как %System%\taskdir~.exe, после чего запускает на исполнение.
В момент создания описания данная ссылка не работала.