Главная страница           Поиск по сайту
Файловый обменник       Онлайн игры
Интересное чтиво +        Музыка
IT-Новости                     Фото-свалка
Форум
Доска объявлений
Полезные сайты
Универсальный поиск

Добавить свою рекламу на сайт


[ Новые сообщения · Участники · Правила форума · Поиск · Мои сообщения · ]
  • Страница 4 из 6
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • »
Модератор форума: liS  
Разновидности вирусов
liS Дата: Четверг, 08.01.2009, 18:59:23 | Сообщение # 46
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Spy.Win32. GWGhost.35
Троянская программа. Предназначена для генерации троянцев — клавиатурных шпионов. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Создана в Китае.

Размер файла — 249344 байта. Упакован при помощи ASPack. Размер распакованного файла — около 553 КБ.

Деструктивная активность

При запуске троянская программа запрашивает у пользователя настройки, необходимые для генерации нового троянца.

Основными запрашиваемыми параметрами являются:

* почтовый ящик злоумышленника и пароль к нему;

* SMTP-сервер, логин и пароль для отправки почты;

* интервал отправки перехваченных данных (в минутах);

* интервал, по истечении которого троянец удалит себя с компьютера жертвы (в днях) и пароль на удаление из системы;

* вести ли журнал перехваченных данных на компьютере жертвы и имя файла журнала;

* имя устанавливаемого в систему троянца (в каталоге %System%);

* имя устанавливаемой в систему библиотеки перехвата сообщений от клавиатуры (в каталоге %System%);

* имя параметра ключа реестра используемого для автозапуска установленного троянца.

Троянец может быть сгенерирован и сохранен под заданным именем в заданной папке.

Другие названия

Trojan-Spy.Win32.GWGhost.35 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.GWGhost.35 («Лаборатория Касперского»), PWS-GWGhost.cfg (McAfee), Backdoor.GWGhost (Symantec), TrojanSpy:Win32/GWGhost.3_5 (RAV), Trojan.Spy.GWGhost.3.5 (SOFTWIN)

 
liS Дата: Четверг, 08.01.2009, 18:59:42 | Сообщение # 47
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Spy.Win32. Dks.131.a
Троянская программа - клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 6144 байта. Упакован при помощи UPX. Размер распакованного файла — около 31 КБ.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:
%System%\SYSTEMKS.EXE

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (11776 байт):
%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (4096 байт):
%System%\sysadks.dll

И прописывает себя в системном реестре:
[HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32]
"default"="sysadks.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"sysadks"="<произвольный сгенерированный номер>"

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.dat

Другие названия

Trojan-Spy.Win32.Dks.131.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.131.a («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Trojan.Dks.131 (Doctor Web), Troj/DKS-131 (Sophos), TrojanSpy:Win32/Dks.131.A (RAV), TROJ_DKS131.A (Trend Micro), TR/DKS.Spy.131.C.3 (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.DKS.1.3.1.A (SOFTWIN), Trojan.DKS.131.a (ClamAV), Trojan Horse (Panda), Win32/Spy.Dks.131.A (Eset)

 
liS Дата: Четверг, 08.01.2009, 19:00:02 | Сообщение # 48
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Proxy.Win32. Xorpix.ar
Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер около 17 КБ. Упакована при помощи UPack, размер распакованного файла — около 258 КБ.

Инсталляция

После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл имеет атрибут «скрытый».

Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll"
"Startup"="arm32reg"
"Impersonate"="dword: 0x00000001"

Троянец непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления.

Деструктивная активность

Троян загружает с сайта злоумышленника файл конфигурации, необходимый для своей работы и сохраняет его в следующую папку:
%Documents and Settings%\%All Users%\%Common Documents%\Settings\desktop.ini

После этого троянец запускает процесс iexplore.exe и внедряет в него свой код. Данный процесс открывает произвольный TCP-порт в системе. После чего номер открытого порта троянец отправляет злоумышленнику.

Таким образом злоумышленник получает возможность работать в сети от имени зараженного компьютера без ведома пользователя.

 
liS Дата: Четверг, 08.01.2009, 19:00:18 | Сообщение # 49
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan.Win32. Pandora.l
Троянская программа, которая выполняет нежелательные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 4096 байт.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\memorium.exe

Для автоматического запуска при каждом следующем запуске Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="memorium.exe"

Так же добавляет параметр в файл конфигурации wininit.ini:
мemorium=memorium.exe

Деструктивная активность

Запускает веб-браузер и открывает в нем следующую ссылку:

http://www.miskatonic.net/pickman/mythos/****/vermiis1.jpg

Запускает процесс:
shutdown.exe –l

Что приводит к завершению работы Windows.

Другие названия

Trojan.Win32.Pandora.l («Лаборатория Касперского») также известен как: W32.Thonic@mm (Symantec), Trojan.Snakebyte.4096 (Doctor Web), Trojan:Win32/Pandora.L (RAV), TROJ_PANDORA.L (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Pandora.L (SOFTWIN), Trojan Horse.AP (Panda), Win32/Pandora.L (Eset)

 
liS Дата: Четверг, 08.01.2009, 19:00:54 | Сообщение # 50
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Virus.Win32. Saburex.a
Файловый вирус, заражающий исполняемые файлы Windows. Является библиотекой Windows DLL, имеет размер 17 920 байт.

Инсталляция

После запуска вирус копирует свой исполняемый файл в системный каталог Windows:
%System%\ole16.dll

После чего изменяет значения следующих параметров ключей реестра на:
[HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@ = "ole16.dll"
ThreadingModel="both"

[HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@ = "ole16.dll"
ThreadingModel="both"

Деструктивная активность

Вирус заражает файлы с расширением .exe на случайно выбранном разделе жесткого диска. Вирус не заражает файлы в папках, имена которых содержат следующие строки:
program files
documents and
_restore
music

При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым.

При запуске зараженного файла тело вируса выделяется и корректируется в библиотеку DLL и в таком виде сохраняется во временную папку Windows с временным именем. После этого запускается процесс : rundll32 %Temp%\<временное имя DLL-файла>,a <путь и имя запущенного файла>

После этого вирусный компонент удаляет свое тело из зараженного файла и распаковывает запакованное в CAB архив тело программы, тем самым полностью восстанавливает его в исходное состояние и запускает.

Вирус извлекает во временную папку с временным именем библиотеку DLL (размер 7168 байт). Также просматривает все окна на рабочем столе пользователя и внедряет в процессы, которым принадлежат эти окна, извлеченную DLL.

Извлеченная библиотека DLL будучи подгруженной к какому-либо процессу периодически делает скриншоты активного окна в системе, после чего шифрует их и публикует на сайте x***e.ru.

 
liS Дата: Четверг, 08.01.2009, 19:01:25 | Сообщение # 51
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Spy.Win32. Dks.13.a
Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 6656 байт. Упакован при помощи UPX. Размер распакованного файла — около 27 КБ.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:
%System%\SYSTEMKS.EXE

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (5120 байт):
%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (3072 байта):
%System%\sysadks.dll

И прописывает себя в системном реестре:
[HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32]
"default"="sysadks.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"sysadks"="<произвольный сгенерированный номер>"

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.dat

Другие названия

Trojan-Spy.Win32.Dks.13.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.13.a («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Troj/DKS13-A (Sophos), TrojanSpy:Win32/Dks.13.A (RAV), TROJ_DKS.A (Trend Micro), TR/DKS.13.a (H+BEDV), Trojan.Spy.DKS.1.3.A (SOFTWIN), Trojan Horse.LC (Panda), Win32/Spy.Dks.13.A (Eset)

 
liS Дата: Четверг, 08.01.2009, 19:01:43 | Сообщение # 52
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Backdoor.Win32. Hupigon.bns
Бэкдор, позволяющий злоумышленнику удаленно получить полный доступ к компьютеру пользователя. Программа является библиотекой Windows (DLL-файл). Размер зараженный файлов значительно варьируется.

Инсталляция

Данный бэкдор инсталлируется в систему при помощи другой вредоносной программы.

При загрузке бэкдор извлекает из ресурсов своего исполняемого файла библиотеку DLL и сохраняет её в корневом каталоге Windows: %WinDir%\G_Server2006Key.DLL

Данная библиотека определяется Антивирусом Касперского как Backdoor.Win32.Hupigon.bxb.

Деструктивная активность

Бэкдор имеет следующие функции:

* полный доступ к файлам на жестком диске;
* полный доступ к общим ресурсам локальной сети пользователя;
* полный доступ к системному реестру;
* загрузка из интернета файлов на компьютер пользователя и их запуск;
* удаленный командный терминал;
* получение информации о системе пользователя;
* полный доступ к рабочему столу пользователя и перехват управления.

Другие названия

Backdoor.Win32.Hupigon.bns («Лаборатория Касперского») также известен как: BackDoor-AWQ (McAfee), BackDoor.Pigeon.99 (Doctor Web), Troj/Feutel-AC (Sophos), BDS/Hupigon.MT (H+BEDV), BackDoor.Generic.SRR (Grisoft), Backdoor.Hupigon.E (SOFTWIN), Win32/Hupigon (Eset)

 
liS Дата: Четверг, 08.01.2009, 19:02:06 | Сообщение # 53
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Spy.Win32. Dks.12.b
Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 13824 байта.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe:
%System%\systemks.exe

После чего регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"systemks"="systemks.exe"

Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (9728 байт):
%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет язык ввода, следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.txt

Другие названия

Trojan-Spy.Win32.Dks.12.b («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.12.b («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Trojan.Dks.12 (Doctor Web), Troj/KeySpy-DKS (Sophos), TrojanSpy:Win32/Dks.1_2.B (RAV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.Dks.1.2.B (SOFTWIN), Trj/Spy.Dks.12.B (Panda), Win32/Spy.Dks.12.B (Eset)

 
liS Дата: Четверг, 08.01.2009, 19:02:30 | Сообщение # 54
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Downloader.Win32. Tibser.a
Троянская программа. Является библиотекой Windows (DLL-файл). Имеет размер 39688 байт. Упакована с помощью UPX. Распакованный размер — около 70 КБ. Написана на С++.

Инсталляция

Данная библиотека инсталлируется в систему при помощи других троянских программ. При этом создаются следующие ключи реестра:
[HKCR\TIBSLoaderAXDLL.TIBSLoader.4]
[HKCR\TIBSLoaderAXDLL.TIBSLoader]
[HKCR\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}]
[HKCR\TypeLib\{C4855F24-2FEE-4253-AF26-24D539508AB1}]
[HKCR\Interface\{DB767162-0D30-4181-9ED6-8019F6452FFF}]

Деструктивная активность

Троянец извлекает из своих ресурсов файл и помещает его во временную папку Windows с именем вида:
%Temp%\tibs<произвольный набор символов>

Данный файл детектируется Антивирусом Касперского как not-a-virus:Porn-Downloader.Win32.TibSystems.

После этого происходит запуск данного файла на исполнение.

Далее троянец выполняет следующие действия:

* создает ключ реестра, в котором хранит свои настройки [HKCU\Software\WebSiteViewer\Settings]

* собирает информацию о версии установленной операционной системы и системного языка;

* отправляет собранную информацию на сайт злоумышленника:
http://www.dialer****n.com/cgi-bin/err3.....

Другие названия

Trojan-Downloader.Win32.Tibser.a («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Tibser.a («Лаборатория Касперского»), Dialer.Tibs (Doctor Web), TrojanDownloader:Win32/Tibser.A (RAV), TROJ_TIBSER.A (Trend Micro), TR/Dldr.Tibser.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Tibser.A (Grisoft), Trojan.Downloader.Tibser.A (SOFTWIN), Trojan.Downloader.Small-92 (ClamAV), Dialer.MZ (Panda), Win32/TrojanDownloader.Tibser.A (Eset)

 
liS Дата: Четверг, 08.01.2009, 19:02:58 | Сообщение # 55
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Clicker.Win32. Glocker.a
Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 28672 байт. Написана на Visual Basic.

Деструктивная активность

Троянец запускает процесс IEXPLORE.EXE и открывает в нем следующие ссылки:
http://www.teenager*****.com/join.....
http://www.japper*****.com/join.....
http://www2.teenicu*****.com/cgi/click.....
http://www.teenager******.com/join.....
http://www.japper*****.com/join.....

Другие названия

Trojan-Clicker.Win32.Glocker.a («Лаборатория Касперского») также известен как: TrojanClicker.Win32.Glocker.a («Лаборатория Касперского»), AdClicker (McAfee), Trojan Horse (Symantec), Trojan.AddClick (Doctor Web), Troj/AdClicke (Sophos), TrojanClicker:Win32/Glocker (RAV), TROJ_GLOCKER.A (Trend Micro), TR/Click.Glocker.a (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Win32.Glocker (SOFTWIN), Trojan.Clicker.Glocker (ClamAV), Trj/Glocker (Panda), Win32/TrojanClicker.Glocker.A (Eset)

 
liS Дата: Четверг, 08.01.2009, 19:03:37 | Сообщение # 56
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan.Win32.ImSoft
Другие названия:
Trojan.Win32.ImSoft («Лаборатория Касперского») также известен как: TrojanSpy.Win32.ImSoft («Лаборатория Касперского»), Trojan-Spy.Win32.ImSoft («Лаборатория Касперского»), Generic.b (McAfee), Trojan Horse (Symantec), Trojan.MulDrop.3520 (Doctor Web), Troj/Imsoft (Sophos), Trojan:Win32/ImSoft (RAV), TROJ_IMSOFT.A (Trend Micro), TR/Spy.ImSoft (H+BEDV), Win32:Trojan-gen. (ALWIL), ImSoft (Grisoft), Trojan.Imsoft.A (SOFTWIN), Trojan Horse.LC (Panda), Win32/Spy.ImSoft (Eset)

Технические детали:
Троянская программа, изменяющая стартовую страницу Internet Explorer. Является приложением Windows (PE EXE-файл). Имеет размер 60416 байт. Написана на Delphi.

Деструктивная активность:
При запуске троянец изменяет следующее значение ключа реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.im-software.co.uk"
Это приводит к изменению стартовой страницы браузера Microsoft Internet Explorer

 
liS Дата: Четверг, 08.01.2009, 19:04:10 | Сообщение # 57
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan.Win32.Qhost.it
Технические детали:
Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 964 байта. Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к данным сайтам.

Деструктивная активность
В файл hosts добавлены следующие строки:
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 www.f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com

Таким образом, все запросы к данным серверам будут заблокированы.
Все это — результат деятельности другой вредоносной программы.

 
liS Дата: Четверг, 08.01.2009, 19:04:26 | Сообщение # 58
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Trojan-Spy.Win32.Dks.12.c
Другие названия:
Trojan-Spy.Win32.Dks.12.c («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.12.c («Лаборатория Касперского»), Trojan Horse (Symantec), Trojan.Dks.12 (Doctor Web), Troj/DKS12-C (Sophos), TrojanSpy:Win32/DKS.1_2.C (RAV), TROJ_DKS.C (Trend Micro), TR/DKSSpy.11.B.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Dks.1.2 (SOFTWIN), Trojan Horse.AP (Panda), Win32/Spy.DKS.12.C (Eset)

Технические детали:
Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 14336 байт.

Инсталляция:
После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe:
%System%\systemks.exe
После чего регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"systemks"="systemks.exe"
Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (9728 байт):
%System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.
Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность:
Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.txt

 
liS Дата: Четверг, 08.01.2009, 19:04:39 | Сообщение # 59
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
VirTool.MSWord. ZSZPE
Программа является документом MSWord (DOC-файл). Имеет размер 34816 байт. Написана на макроязыке MSWord.

Деструктивная активность

Данная вредоносная программа шифрует исходный код тела макровируса, при этом сама она шифрованию не подвергается.

Программа может использоваться в других макровирусах.

Другие названия

VirTool.MSWord.ZSZPE («Лаборатория Касперского») также известен как: VirTool.Macro.Word97.ZSZPE («Лаборатория Касперского»), W97M/Generic (McAfee), MACRO.Virus (Doctor Web), W97M.AntiSocial.E (SOFTWIN)

 
liS Дата: Четверг, 08.01.2009, 19:05:34 | Сообщение # 60
ст.сержант
Группа: PR-moders
Сообщений: 199
Замечания:[0]
Добавить замечание
Бронзовая медаль за активность на форуме
Репутация: 1
Статус: Offline
Email-Worm.Win32. Zhelatin.u
Почтовый червь. Является приложением Windows (PE EXE-файл). Размер компонентов варьируется в пределах от 6 до 54 кбайт. Упакован при помощи UPX.

Инсталляция

При инсталляции червь создает файлы в системном каталоге Windows:

* %System%\adirss.exe – имеет размер 6038 байт.
* %System%\taskdir.exe – имеет размер 54166 байт.
* %System%\zlbw.dll – имеет размер 46592 байта.
* %System%\adir.dll – имеет размер 4608 байт, определяется
Антивирусом Касперского как Email-Worm.Win32.Banwarum.f.

Для автоматической загрузки при каждой последующей загрузке Windows червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sysinter="%System%\adirss.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
taskdir="%System%\taskdir.exe"

Создает ключ реестра, который загружает библиотеку %System%\adir.dll при каждом следующем старте Windows:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\adir]

Червь добавляет в системный брандмауэр правило, разрешающее исполняемому файлу червя любую активность. Для этого выполняется команда:
netsh firewall set allowedprogram %System%\adirss.exe enable

Также создается служба с именем "Windows update Service", которая загружает исполняемый файл червя — %System%\taskdir.exe.

Деструктивная активность

Процесс adirss.exe запускает SMTP прокси-сервер на 25-ом TCP-порте и дает возможность злоумышленникам использовать зараженный компьютер как часть зомби-сети для рассылки спама.

После этого червь регистрируется на сайте злоумышленников и сообщает сетевой адрес компьютера.

Далее червь скачивает файл настроек зомби-сети с хакерского сайта и сохраняет его как %System%\log.txt. Данные из этого файла используются с целью получения параметров для отправки спама.

Компонент %System%\adir.dll является Rootkit-библиотекой, которая скрывает файлы червя на винчестере, запущенные процессы червя в системе, а так же ключи реестра, в которых хранятся настройки червя.

Вредоносная программа скачивает файл по ссылке http://***/cp/bin/lim и сохраняет его как %System%\taskdir~.exe, после чего запускает на исполнение.

В момент создания описания данная ссылка не работала.

 
  • Страница 4 из 6
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • »
Поиск:




Добавить свою рекламу на сайт
ххх


Статистика Форума
Последнии темы Популярные темы Рейтинг пользователей Новички
  • Что вы думаете о п...
  • Поздравления с нас...
  • Зеленый баннер от ...
  • заработай на своём...
  • Заработок на токен...
  • Где получить инвай...
  • псинэтика...псилек...
  • USerbar псинетика
  • Терминатор: Да при...
  • Мисс Март / Miss M...
  • Девять / 9 [2009 г...
  • Красивый информер ...
  • Новый Топ пользова...
  • Граббер/парсер для...
  • Продвинутые коммен...
  • Разновидности виру...
  • Новый вид фотогале...
  • Заказ баннеров
  • Прогон сайта по ка...
  • Вопрос - ответ
  • какои жанр игры вы...
  • The InstallShield ...
  • Какая у вас ОС?
  • У кого какой телеф...
  • Ассоциации
  • Облом
  • Какои браузер вы и...
  • Каким антивирусом ...
  • Предложения по улу...
  • Заработок на файла...
  • Ник Ранг (форум\статьи\коментарии)

  • liSly
  • (218\67\12)
  • liS
  • (199\67\8)
  • zanoza
  • (108\0\0)
  • Мурзик
  • (102\1\0)
  • SPACKZ
  • (101\0\0)
  • AHD
  • (100\0\0)
  • Freema[N]
  • (99\0\0)
  • SparcO
  • (83\0\0)
  • ALEX172041
  • (60\0\0)
  • kentavrik
  • (49\0\0)
  • grafensteink
  • makskolesnikov49
  • aleko141
  • volkoveduard193
  • televolgograd21
  • feokpistolva
  • xgamerspb
  • kuzoden58
  • daryaanchuhina
  • Надя1083
  • ragimovbahtiar096
  • usluginazakaz
  • ken019t
  • adenesik471
  • пантерка

  • Рейтинг@Mail.ru Используются технологии uCoz