Trojan.JS. WindowBomb.f Троянская программа. Написана на языке JavaScript. Является документом HTML. Имеет размер 317 байт.
Деструктивная активность
При загрузке страницы браузер автоматически начинает открывать 1000 окон, пытающихся загрузить локальный ресурс «kill.htm». Это приводит к нарушению работы компьютера.
Email-Worm.Win32. Zhelatin.t Червь, распространяющийся через интернет в виде вложений в электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Является приложением Windows (PE EXE-файл). Имеет размер 50582 байта. Упакован при помощи UPX.
Инсталляция
При инсталляции червь копирует себя в системный каталог Windows с именем "alsys.exe": %System%\alsys.exe
Вредоносная программа создает в своем рабочем каталоге файл с произвольным именем (с расширением .exe) и запускает его.
Далее производятся следующие записи в системном реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Agent" = "%System%\alsys.exe"
Таким образом, при каждой последующей загрузке Windows автоматически запускает исполняемый файл червя.
Также данная версия Zhelatin’а создает следующие файлы в системном каталоге Windows: %System%\wincom32.ini %System%\wincom32.sys
Вирус изменяет запись системного реестра с целью блокировки «Windows Firewall/Internet Connection Sharing (ICS)»: [HKLM\System\CurrentControlSet\Services\SharedAccess] "Start" = "4"
Распространение через e-mail
Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска компьютера, начиная с последнего.
При отправке зараженных сообщений червь пытается осуществить прямое подключение к SMTP-серверам.
Письма не отсылаются на адреса, содержащие следующие слова: microsoft .gov .mil
Характеристики зараженных писем
Имя отправителя.
Выбирается произвольным образом из списка: * Anita * April * Ara * Aretina * Amorita * Alysia * Aldora * Barbra * Becky * Bella * Briana * Bridget * Blenda * Bettina * Caitlin * Chelsea * Clarissa * Carmen * Carla * Cara * Camille * Damita * Daria * Danielle * Diana * Doris * Dora * Donna * Ebony * Eden * Eliza * Erika * Eve * Evelyn * Emily * Faith * Gale * Gilda * Gloria * Haley * Holly * Helga * Ivory * Ivana * Iris * Isabel * Idona * Ida * Julie * Juliet * Joanna * Jewel * Janet * Katrina * Kacey * Kali * Kyle * Kassia * Kara * Lara * Laura * Lynn * Lolita * Lisa * Linda * Myra * Mimi * Melody * Mary * Maia * Nadia * Nova * Nina * Nora * Natalie * Naomi * Nicole * Olga * Olivia * Pamela * Peggy * Queen * Rachel * Rae * Rita * Ruby * Rosa * Silver * Sharon * Uma * Ula * Valda * Vanessa * Valora * Violet * Vivian * Vicky * Wendy * Willa * Xandra * Xylia * Xenia * Zilya * Zoe * Zenia
Тема письма.
Выбирается произвольным образом из списка: * Magic of Flowers * Sending You My Love * Together You and I * Window of Beauty * Doing It for You * Evening Romance * Wrapped Up * Most Beautiful Girl * Touched by Love * If I Knew * Heart of Mine * Til the End of Time * With This Ring * Tender Whispers * Soul Partners * With All of My Heart * I Always Knew * Awaiting Your Love * Want to Meet? * So in Love * This Feeling * Red Rose * Until the Day * My Invitation * Worthy of You * You're the One * So in Love * You and I Forever * Words I Write * The Candle's Light * True Love * My Perfect Love * Waiting for You * This Day Forward * Without Your Love * Now and Forever * Thanks...Love * Just You * A Sweet Love * Search for One * A Song to You * If I Could * Hand in Hand * I Win with You * Wine and Roses * Back Together * I Give to You * That Special Love * Our Love * Old Together * Cyber Love * Against All Odds * Hey Cutie * Our Wedding Day * My Eye on You * Unique Love * Full Heart * Forever in Love * To New Spouse * For Better of For Worse * All For You * When I'm With You * Everyone Needs Someone * Heart is Breaking * With All My Love * Cuddle Up * Safe and Sound * Made for Each Other Brand New Love * Someone at Last * You and I * Hold On * All That Matters * Our Two Hearts * You Asked Me Why * Wish Upon a Star * For You * Brand New Love * You're so Far Away * Together Again * I wish * The Long Haul * Love You Deeply * In Love * It's Your Move * Love Birds * Safe With You * Sending Kiss * You + Me * I Would Do Anything * Vacation Love * The Kiss * Hand in Hand * Now I Know * Live With Me * Pockets of Love * He Blessed Our Lives * Two of a Kind * Soul Mates * I Still Love You * Dancing With You * Forever and Ever * Twice Blest * Longing for You * Thinking of You * Twilight Paradise * Wish I Could Tell You * Teddy Bear & Roses * Let's Get Frisky * Cuddle Me Please * Solitary Beauty * Take My Hand * So Unique * P.M.S * We Have Walked * Fields Of Love * I Am Lost In You * Bewitching Moonlight * The Letter * Till Morning's Light * Trunk Full Of Love * Your Silly Smile * Till Morninig's Light * Just You & Me * A Special Flower for You * The Sweet Taste of Love * A Red Hot Kiss * Won't you dance with me * A Special Kiss * Our love is torn by miles * Every Inch of Your Body * My Heart belongs to you * Steamy Dream * Moonlit Waterfall * My Heart is Thinking * A Weekend Getaway * Summer Love * A Hug & Roses * How Much I Love You * Love for Granted * Thinking about you * Angel of Love * You're Soo kissable * From this day forward * In My Heart * Between Us * Hold Me (distant love) * I Would Give you Anything * A Bouquet of Love * I Think of You * Wild Nights--Wild Nights * Memories * You are out of this world * When I look at you * Last Night was Hot! * Peek-A-Boo * You Lucky Duck! * 5 Reasons I Love You * I Can't Function * Our Love Everyday * Emptiness Inside Me * Love is in the Air * We're a Perfect Fit * A Romantic Place * I Love You Mower * The Mood for Love * Love at First Sight * You Brighten My Day * You're My Hero * Can't Wait to See You! * Showers Of Love * You Were Worth the Wait * Crazy way to say I Luv U * Times Are Hard, I Luv U * You Rock Me! * Puppy Love * You Are My Guiding Star * We Are Different * I Woof You * A Monkey Rose for You * A Kiss for You * A Little (sex) Card * The Love Bugs * Kisses, Hugs & Roses * Feeling Horny? * A Day in Bed Coupon * Dream Date Coupon * Bubble Bath Coupon * Steamy Sex Coupon * A Relaxing Coupon * Massage Coupon * Dinner Coupon * Romantic Picnic Coupon * Breakfast in Bed Coupon * Kiss Coupon * Passionate Kiss * Only You * Internet Love * Want You to Know * Will You? * I'll Be Your Man * I Love Thee * I Love You So * Rose for my Love * Baby, I'll Be There * Unmatchable Beauty * I Believe * Dream Girl * I Dream of you * I am Complete * Love Remains * When I'm With You * Our Love is Strong * The Miracle of Love * Inside My Heart * Our Love Will Last * For You....My Love * The Mood for Love * A Token of My Love * Miracle of Love * A Kiss So Gentle * Why I Love You * Falling In Love with You * The Dance of Love * Sending You My Love * Hugging My Pillow * Our Love Nest * Wrapped in Your Arms * I Love You Soo Much * Eternity of Your Love * Our Love is Free * My Love * Your Love Has Opened * When You Fall in Love * The Time for Love * I Love Thee * I Love You with All I Am * Miracle of Love
Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки: * alsys * anti * viru * troja * avp * nav * rav * reged * nod32 * spybot * zonea * vsmon * avg * blackice * firewall * msconfig * lockdown * f-pro * hijack * taskmgr * mcafee
Также программа завершает процесс, который управляет окном с заголовком «Registry Editor».
В ходе деструктивной деятельности червь использует rootkit-библиотеку %System%\wincom32.sys для сокрытия своих файлов на жестком диске и записей в системном реестре.
Trojan-Downloader.Win32. Small.crd Троянская программа, загружающая из интернета файлы без ведома пользователя. Является библиотекой Windows DLL. Имеет размер 4096 байт. Написана на Ассемблере.
Деструктивная активность
При загрузке библиотека создает в системе уникальный идентификатор с именем «hacks_work_» для определения своего присутствия в системе.
После чего запускает поток, который скачивает из интернета файл по следующей ссылке: http://***w.info/backup.exe
И сохраняет его в системный каталог Windows (%System%) со случайным именем и расширением EXE, после чего запускает его на выполнение и завершает свою работу.
Скачанный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.cqs.
Trojan.Win32. Patched.e Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 190976 байт.
Деструктивная активность
Данный троянец является измененным системным файлом winlogon.exe, в который злоумышленник добавил код, который пытается загрузить библиотеку DLL: C:\WINNT\System32\msdb32.dll
После попытки загрузить библиотеку троянец возвращает управление исходному файлу.
Email-Worm.Win32. Zhelatin.v Червь, распространяющийся через Интернет в виде вложений в электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Программа является приложением Windows (PE EXE-файл). Размер компонентов варьируется в пределах от 5 до 50 КБ. Упакована с помощью UPX.
Инсталляция
При инсталляции червь копирует себя в системный каталог Windows с именем «alsys.exe»: %System%\alsys.exe
Червь создает в своем рабочем каталоге файл с произвольным именем (с расширением .exe) и запускает его.
После этого создаются следующие записи в системном реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Agent" = "%System%\alsys.exe"
Таким образом, при каждой последующей загрузке Windows автоматически запускает исполняемый файл вируса.
Также червь изменяет запись системного реестра с целью блокировки «Windows Firewall/Internet Connection Sharing (ICS)»: [HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start" = "4"
Распространение через email
Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Поиск адресов ведется во всех файлах на всех разделах жесткого диска компьютера, начиная с последнего.
При рассылке сообщений червь пытается осуществить прямое подключение к SMTP-серверам.
Письма не отсылаются на адреса, содержащие следующие строки: microsoft .gov .mil Характеристики зараженных писем
Имя отправителя.
Выбирается произвольным образом из списка: Anita April Ara Aretina Amorita Alysia Aldora Barbra Becky Bella Briana Bridget Blenda Bettina Caitlin Chelsea Clarissa C armen Carla Cara Camille Damita Daria Danielle Diana Doris Dora Donna Ebony Eden Eliza Erika Eve Evelyn Emily Faith Gale G ilda Gloria Haley Holly Helga Ivory Ivana Iris Isabel Idona Ida Julie Juliet Joanna Jewel Janet Katrina Kacey Kali Kyle K assia Kara Lara Laura Lynn Lolita Lisa Linda Myra Mimi Melody Mary Maia Nadia Nova Nina Nora Natalie Naomi Nicole Olga O livia Pamela Peggy Queen Rachel Rae Rita Ruby Rosa Silver Sharon Uma Ula Valda Vanessa Valora Violet Vivian Vicky Wendy W illa Xandra Xylia Xenia Zilya Zoe Zenia
Тема письма.
Выбирается произвольным образом из списка: Magic of Flowers Sending You My Love Together You and I Window of Beauty Doing It for You Evening Romance Wrapped Up Most Beautiful Girl Touched by Love If I Knew Heart of Mine Til the End of Time With This Ring Tender Whispers Soul Partners With All of My Heart I Always Knew Awaiting Your Love Want to Meet? So in Love This Feeling Red Rose Until the Day My Invitation Worthy of You You're the One So in Love You and I Forever Words I Write The Candle's Light True Love My Perfect Love Waiting for You This Day Forward Without Your Love Now and Forever Thanks...Love Just You A Sweet Love Search for One A Song to You If I Could Hand in Hand I Win with You Wine and Roses Back Together I Give to You That Special Love Our Love Old Together Cyber Love Against All Odds Hey Cutie Our Wedding Day My Eye on You Unique Love Full Heart Forever in Love To New Spouse For Better of For Worse All For You When I'm With You Everyone Needs Someone Heart is Breaking With All My Love Cuddle Up Safe and Sound Made for Each Other Brand New Love Someone at Last You and I Hold On All That Matters Our Two Hearts You Asked Me Why Wish Upon a Star For You Brand New Love You're so Far Away Together Again I wish The Long Haul Love You Deeply In Love It's Your Move Love Birds Safe With You Sending Kiss You + Me I Would Do Anything Vacation Love The Kiss Hand in Hand Now I Know Live With Me Pockets of Love He Blessed Our Lives Two of a Kind Soul Mates I Still Love You Dancing With You Forever and Ever Twice Blest Longing for You Thinking of You Twilight Paradise Wish I Could Tell You Teddy Bear & Roses Let's Get Frisky Cuddle Me Please Solitary Beauty Take My Hand So Unique P.M.S We Have Walked Fields Of Love I Am Lost In You Bewitching Moonlight The Letter Till Morning's Light Trunk Full Of Love Your Silly Smile Till Morninig's Light Just You & Me A Special Flower for You The Sweet Taste of Love A Red Hot Kiss Won't you dance with me A Special Kiss Our love is torn by miles Every Inch of Your Body My Heart belongs to you Steamy Dream Moonlit Waterfall My Heart is Thinking A Weekend Getaway Summer Love A Hug & Roses How Much I Love You Love for Granted Thinking about you Angel of Love You're Soo kissable From this day forward In My Heart Between Us Hold Me (distant love) I Would Give you Anything A Bouquet of Love I Think of You Wild Nights--Wild Nights Memories You are out of this world When I look at you Last Night was Hot! Peek-A-Boo You Lucky Duck! 5 Reasons I Love You I Can't Function Our Love Everyday Emptiness Inside Me Love is in the Air We're a Perfect Fit A Romantic Place I Love You Mower The Mood for Love Love at First Sight You Brighten My Day You're My Hero Can't Wait to See You! Showers Of Love You Were Worth the Wait Crazy way to say I Luv U Times Are Hard, I Luv U You Rock Me! Puppy Love You Are My Guiding Star We Are Different I Woof You A Monkey Rose for You A Kiss for You A Little (sex) Card The Love Bugs Kisses, Hugs & Roses Feeling Horny? A Day in Bed Coupon Dream Date Coupon Bubble Bath Coupon Steamy Sex Coupon A Relaxing Coupon Massage Coupon Dinner Coupon Romantic Picnic Coupon Breakfast in Bed Coupon Kiss Coupon Passionate Kiss Only You Internet Love Want You to Know Will You? I'll Be Your Man I Love Thee I Love You So Rose for my Love Baby, I'll Be There Unmatchable Beauty I Believe Dream Girl I Dream of you I am Complete Love Remains When I'm With You Our Love is Strong The Miracle of Love Inside My Heart Our Love Will Last For You....My Love The Mood for Love A Token of My Love Miracle of Love A Kiss So Gentle Why I Love You Falling In Love with You The Dance of Love Sending You My Love Hugging My Pillow Our Love Nest Wrapped in Your Arms I Love You Soo Much Eternity of Your Love Our Love is Free My Love Your Love Has Opened When You Fall in Love The Time for Love I Love Thee I Love You with All I Am Miracle of Love
Имя файла вложения.
Выбирается произвольным образом из списка: flash postcard.exe Flash Postcard.exe Greeting Card.exe greeting card.exe Greeting Postcard.exe greeting postcard.exe Postcard.exe postcard.exe
Деструктивная активность
Червь пытается выгрузить из системы различные процессы, содержащие в именах такие строки: alsys anti viru troja avp nav rav reged nod32 spybot zonea vsmon avg blackice firewall msconfig lockdown f-pro hijack t askmgr mcafee
Также вредоносная программа сканирует все разделы на жестком диске с целью поиска файлов, имеющих расширения: .wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb .tbb .sht .xls . oft .uin .cgi .mht .dhtm .jsp .dat .lst
В найденных файлах червь производит поиск адресов электронной почты и отсылает их злоумышленнику посредством HTTP-запроса по адресу 81.***.26.27.
Не отправляются адреса, содержащие следующие строки: @microsoft rating@ f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ kasp admin icr osoft support ntivi unix bsd linux listserv certific sopho @foo @iana free-av @messagelab winzip google winrar samples abus e panda cafee spam pgp @avp. noreply local root@ postmaster@
Trojan.Win32. Qhost.jl Троянская программа представляет собой модифицированный файл ОС Windows «%System%\drivers\etc\hosts», который используется для перевода доменных имен (DNS) в IP-адреса. Размер вируса составляет 124 байта.
Деструктивная активность
Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к определенным сайтам — в файл «hosts» добавлены следующие строки: 127.0.0.1 mail.ru 127.0.0.1 Yahoo.com 127.0.0.1 google.com 127.0.0.1 msn.com 127.0.0.1 live.com 127.0.0.1 microsoft.com
Таким образом, все запросы к данным серверам блокируются.
Все это — результат деятельности другой вредоносной программы
Trojan-Downloader. VBS.Small.co Троянская программа, которая осуществляет загрузку из Интернета других файлов без ведома пользователя. Является сценарием VB Script. Имеет размер около 2,5 КБ.
Trojan-Proxy. Win32.Cidra.d Троянская программа, которая скрыто создает прокси-сервер на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 27136 байт. Упакована с помощью UPX, распакованный размер — около 60 КБ.
Инсталляция
Для автоматического запуска своего исполняемого файла троянец добавляет следующий параметр в ключ автозагрузки системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UsbD" = "<путь до исполняемого файла трояна>"
Деструктивная активность
Троянец создает SOCKS прокси-сервер на компьютере пользователя на случайно выбранном порту TCP. После этого номер открытого порта и сетевой адрес компьютера сообщаются на сайт злоумышленника. Последний получает возможность работать в сети от имени зараженной машины без ведома пользователя.
Также вирус периодически осуществляет HTTP-запросы к серверу o.cjdra.com, получая в ответ URL, по которым производит обращение с компьютера пользователя.
Trojan-PSW.Win32. Coced.215 Программа, относящаяся к семейству троянов, похищающих конфиденциальную информацию. Предназначена для кражи паролей. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на Visual C++.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системную папку Windows: %System%\msdll32.exe
Деструктивная активность
Вирус изменяет значения следующих ключей реестра: [HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ] "Enable" = "yes" "Path" = "<путь к исполняемому файлу трояна>" "Startup" = "" "Parameters" = ""
Похищаются значения параметров подключей ключа реестра:
[HKCU\Software\Mirabilis\ICQ\Owners]
С помощью функции WNetEnumCachedPasswords собираются сведения о существующих в системе модемных соединениях для доступа в Интернет, а также о паролях к ним.
Похищенная информация отправляется трояном на электронный адрес злоумышленника — lenin****@usa.net. В качестве сервера для отсылки почты используется mail.compuserve.com.
Trojan-Dropper.Win32. Small.aw Троянская программа, которая устанавливает и запускает другое троянское программное обеспечение на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер около 40 КБ.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows под именем:
%System%\scvhosts.exe
Деструктивная активность
Вирус извлекает из своего тела следующую DLL-библиотеку:
* %System%\rwtrisfg32.dll — имеет размер 78848 байт, детектируется Антивирусом Касперского как Backdoor.Win32.SpyBoter.aq.
Извлеченная библиотека погружается в адресное пространство процесса explorer.exe. На этом троян завершает свою работу.
Trojan-Downloader.Win32. Delf.bl Троянская программа, которая без ведома пользователя скачивает и запускает на исполнение другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 15360 байт.
Деструктивная активность
После запуска троянец загружает файл по следующей ссылке:
Trojan-Spy.Win32. Stonari Троянская программа-шпион. Похищает конфиденциальную информацию. Является приложением Windows (PE EXE-файл). Написана на Borland Delphi. Имеет размер 289280 байт. Упакована при помощи Aspack. Размер распакованного файла — около 704 KБ.
Инсталляция
Троянец создает следующие ключи в системном реестре: [HKCR\Software\Microsoft\microware] [HKLM\Software\stonari]
Для автоматического запуска при каждом последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
Также изменяется значение ключа системного реестра: [HKCR\exefile\shell\open\command] "путь к файлу трояна>%1 %*"
Деструктивная активность
Программа-шпион выполняет снимки с экрана компьютера и следит за нажатиями на кнопки мыши и клавиатурными операциями.
Собранную информацию троянец записывает в файл %System%\setpass.dat и отсылает на электронный почтовый ящик злоумышленника.
Для отправки похищенных сведений используется следующий smtp-сервер: smtp.163.net (Троянская программа содержит информацию на китайском языке.)
Trojan.Win32. Agent.afs Троянская программа, которая предназначена для отключения различных защитных компонентов операционной системы Windows. Является приложением Windows (PE-EXE файл). Имеет размер 4608 байт. Упакована с помощью UPX, распакованный размер — около 17 КБ.
Деструктивная активность
После запуска троянец изменяет значения параметров некоторых ключей системного реестра на: [HKLM\Software\Microsoft\Security Center] FirewallOverride=1
Trojan-Dropper.Win32. Small.auy Троянец, который устанавливает другие программы на компьютер без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 150016 байт. Написан на Delphi.
Деструктивная активность
После запуска троянец создает в своей рабочей папке файл с именем "KSInstall.log" (размер 220 байт).
Также в системном каталоге Windows генерируется следующий файл:
* %System%\Keysaver.dll — имеет размер 72192 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.KeyLogger.lb
