Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
05 мая 2008 | Trojan.Win32.Delf.abx

Поведение

Trojan, троянская программа.

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 945664 байта. Ничем не упакована. Написана на Delphi.

Инсталляция

При запуске троянец копирует себя в следующие папки под следующими именами:

%Documents and Settings%/%user%/Start Menu/Programs/Startup/RavMonE.exe
%Documents and Settings%/%user%/Start Menu/Programs/Startup/avp.exe
%System%/RavMon.exe

Троянец создает следующий ключ в системном реестре, в котором указаны данные инсталляции:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/rm]

Также создает следующие значения:

[HKCR/Software/Microsoft/Internet Account]
"Expire Days" = "dword:8"

[HKCR/Control Panel/Desktop]
"AutoEndTasks" = "1"

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLMSoftware/Microsoft/Windows/CurrentVersion/Run]
"RavAV" = "%Documents and Settings%/%user%/Start Menu/Programs/Startup/RavMonE.exe"
"RavMon" = "%System%/RavMon.exe"

Деструктивная активность

Данная троянская програма представляет собой клавиатурный шпион с возможностью удаленного управления и функцией червя.

Вредоносная программа распространяется через сменные носители.

Копирует себя на сменный диск под именем RavMonE.exe и создает файл автозапуска autorun.inf, который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».

Троянец завершает следующие процессы, если такие присутствуют в системе:

cmmon32.exe
iexp1ore.exe
IEXPL0RE.EXE
iexpl0re.exe
Logo1_.exe
RUNDL132.EXE
rundl132.exe
Servera.exe
Servere.exe
SLcc.exe
wuauclt1.exe

Данные процессы являются процессами других вредоносных программ.

Троянец устанавливает клавиатурный перехват, при помощи библиотеки, созданной троянцем во временном каталоге текущего пользователя Windows:

%Temp%/h.tmp

Троян следит за клавиатурным вводом пользователя и сохраняет протокол в следующий файл:

%Temp%/keys.log

Собранную информацию троянец отправляет на электронный адрес злоумышленника:

ais@darch***.ru
ais@mail***.ru
apiit@***tmb.ru
artemov@***tmb.ru
biblme@***tmb.ru
bjd@***tmb.ru
bmt@***.ru
brodovich@sir***.ru
brusentsov@mail***.ru
chemistry@***.ru
coord@coord***.ru
crems@crems.jesby***.ru
cybertech@jesby***.ru
decan_hist@***tmb.ru
dmitr2002@***tmb.ru
dmsh@dmsh***.ru
docc@asp***.ru
eco@nnn***.ru
egorov@mail***.ru
elters@crimeinfo.jesby***.ru
ernest@***tmb.ru
feodorov@***tmb.ru
fmf@***tmb.ru
fmo@decin***.ru
frolov@nnn***.ru
frolow@mail.ahp***.ru
galygin@nis***.ru
gaps@gaps-gw***.ru
gena@des***.ru
golovin@***tmb.ru
gromov@is***.ru
helen@***tmb.ru
hist@nnn***.ru
ibr@libr***.ru
intep@ng***.ru
ipu@ahp***.ru
ivolgin@***tmb.ru
kafedra@asp***.ru
kafedra@mail.gaps***.ru
kalinin@nauka***.ru
kalinin@nauka2***.ru
kchic@kch***.ru
ket@ket***.ru
kmm@***tmb.ru
korenkov@***tmb.ru
kulikov@apmath***.ru
kurs_podg@***tmb.ru
kvidep@cen***.ru
kvipri@ce***.ru
kyv@ahp***.ru
kzis@kzis***.ru
law@gis***.ru
litovka@mail.sapr***.ru
lopatin@***tmb.ru
lvi@gidra***.ru
malaschonok@math-iu***.ru
mmf@mmf***.ru
msh@msh3***.ru
nat@evro***.ru
ns@***tmb.ru
olga@nnn***.ru
olimp@olimp***.ru
oord@coord***.ru
phys@mail***.ru
phys@phys***.ru
polymers@asp***.ru
polymers@babylon.jesby***.ru
portal@tstu.ru
post@mcms***.ru
post@ums***.ru
ppc@ppc***.ru
pr@nnn***.ru
PR@PR***.ru
pvp@phys***.ru
quality@asp***.ru
rector@***tmb.ru
resbn@jesby***.ru
root@msh***.ru
root@msh3***.ru
root@phys***.ru
sekr@nnn***.ru
sekr1@mail***.ru
Shibkov@***tmb.ru
slava@ahp-gw***.ru
soprm@mail***.ru
sport@sportkaf***.ru
sss@nnn***.ru
studklub@show***.ru
szhulikov@***tmb.ru
tmm-dm@tmm-dm***.ru
tmmsii@tmmsii.jesby***.ru
tolmat@teorm***.ru
topt@topt***.ru
tso@almamater-tv***.ru
tso@mail***.ru
tva@ul***.ru
tyurin@***tmb.ru
u0077@pisetski***.ru
uaa@hmd***.ru
uhachov@***tmb.ru
umo@nnn***.ru
umo@umo***.ru
uov@pk***.ru
vat@dzs***.ru
vera@vera***.ru
vk@mail***.ru
vk@midl***.ru
zheltov@***tmb.ru

Также троянец ведет отладочный протокол своей работы в файле:

%Documents and Settings%/Local Settings/Temp/curse--date.tmp

где date — дата в формате dd-mm-yyyy

Троянец завершает следующие процессы, принадлежащие сетевым экранам и антивирусным программам:

AAKSRV.EXE
AlogServ.exe
APVXDWIN.EXE
Avconsol.exe
Avengine.exe
avgamsvr.exe
avgcc.exe
avgemc.exe
AVGNT.EXE
AVGUARD.EXE
avgupsvc.exe
avgwb.dat
avp.exe
Avsynmgr.exe
AVWIN.EXE
bdagent.exe
bdlite.exe
bdmcon.exe
bdss.exe
cmdagent.exe
cpf.exe
FileMon.exe
FileMonNT.exe
FireWall.exe
Iface.exe
jpf.exe
jpfsrv.exe
KAVPF.exe
kfsensmonitor.exe
kfsnserv.exe
KillProcess.exe
kpf4gui.exe
lpfw.exe
lpfw.exe
mantispm.exe
mcagent.exe
mcdash.exe
Mcdetect.exe
Mcshield.exe
McTskshd.exe
mghtml.exe
Monitor.exe
MpfAgent.exe
MpfService.exe
MpfTray.exe
OllyDbg.EXE
outpost.exe
Pavfires.exe
PAVJOBS.EXE
Pavproxy.exe
Pavsrv51.exe
Regmon.exe
RegMonNT.exe
safensec.exe
ScanningProcess.exe
sdhelp.exe
snsmcon.exe
spyxx.exe
swdoctor.exe
Unamon.exe
UnaSvc.exe
VSHWIN32.EXE
VsMain.exe
vsserv.exe
VSStat.exe
wlinject.exe
xcommsvr.exe
zlclient.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить процесс RavMonE.exe.

  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

  3. Удалить следующие файлы:

    4. %Documents and Settings%/%user%/Start Menu/Programs/Startup/RavMonE.exe
    %Documents and Settings%/%user%/Start Menu/Programs/Startup/avp.exe
    %System%/RavMon.exe
    %Documents and Settings%/Local Settings/Temp/curse--date.tmp
    %Temp%/h.tmp
    %Temp%/keys.log

  4. Удалить значения системного реестра:

    5. [HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/rm]
    [HKLMSoftware/Microsoft/Windows/CurrentVersion/Run]
    "RavAV" = "%Documents and Settings%/%user%/Start Menu/Programs/Startup/RavMonE.exe"
    "RavMon" = "%System% /RavMon.exe"

    [HKCR/Software/Microsoft/Internet Account]
    "Expire Days" = "dword:8"

    [HKCR/Control Panel/Desktop]
    "AutoEndTasks" = "1"

  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.
   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 
     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru