Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
27 мая 2008 | Trojan-Downloader.Win32.VB.bnp

Поведение

Trojan-Downloader, троянский загрузчик.

Технические детали

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.

Инсталляция

После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":

%System%/DETER177/lsass.exe
%System%/DETER177/smss.exe
%System%/DETER177/svсhоst.exe

После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".

Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":

%System%/ctfmon.exe
%System%/АHTОMSYS19.exe

Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:

[HKLM/Software/Microsoft/CurrentVersion/Run]
"ctfmon" = "%System%/ctfmon.exe"
"lsass" = "%System%/DETER177/lsass.exe"
[HKLM/Software/Microsoft/CurrentVersion/Winlogon]
"Shell" = "Explorer.exe %System%/АHTОMSYS19.exe"

Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.

Деструктивная активность

Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"

Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"HideFileExt" = "1"

Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer]
"NoFolderOptions" = "1"

После чего троянец создает в системном каталоге Windows скрытый файл "рsаdоr18.dll":

%System%/рsаdоr18.dll

В этот файл троянец помещает следующие адреса электронной почты:

ot01_***@mail.ru
ot02_***@mail.ru

Также троянец извлекает из своего тела руткит "рsagоr18.sys". Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов "рsаdоr18.dll" и "АHTОMSYS19.exe", а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.

При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.

Во время работы троянец отслеживает появление в системе окон со следующими заголовками:

NOD32 2.5 Control Center
Сканер NOD32 по требованию - [Профиль центра управления - Локально]
Сканер NOD32 по требованию - [Профиль контекстного меню]
NOD32 - Предупреждение
Пpeдупpeждeниe Редактор конфиг
урации NOD32 - [Untitled]
Антивирус Касперского Personal
0- выполняется проверка...
Карантин
Настройка обновления
Настройка карантина и резервного хранилища
Выберите файл для отправки на исследование
AVP.MessageDialog
AVP.MainWindow
AVP.Product_Notification
AVP.SettingsWindow
AVP.ReportWindow
Agnitum Outpost Firewall - configuration.cfg
Настройка системы
Редактор реестра
RegEdit_RegEdit

В случае обнаружения такие окна будут закрываться автоматически.

Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем "CDburn.exe" и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.

Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:

Я незнаю ее там помоему небыло(((... вот, посмотри http://softclub.land.ru/seeing/katie.rar

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы, созданные троянцем:
  4. %System%/DETER177/lsass.exe
    %System%/DETER177/smss.exe
    %System%/DETER177/svсhоst.exe
    %System%/ctfmon.exe
    %System%/АHTОMSYS19.exe
    %System%/рsаdоr18.dll

  5. Удалить ключи системного реестра:
  6. [HKLM/Software/Microsoft/CurrentVersion/Run]
    "ctfmon" = "%System%/ctfmon.exe"
    "lsass" = "%System%/DETER177/lsass.exe"

  7. Перезагрузить компьютер в обычном режиме.
  8. Заменить ключи системного реестра:
  9. [HKLM/Software/Microsoft/CurrentVersion/Winlogon]
    "Shell" = "Explorer.exe %System%/АHTОMSYS19.exe"

    на

    [HKLM/Software/Microsoft/CurrentVersion/Winlogon]
    "Shell" = "Explorer.exe"

    ----------------------------------------------------------------------------------------------------------------

    [HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
    "Hidden" = "0"
    "ShowSuperHidden" = "0"
    "HideFileExt" = "1"

    на

    [HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
    "Hidden" = ""
    "ShowSuperHidden" = ""
    "HideFileExt" = ""

    ----------------------------------------------------------------------------------------------------------------

    [HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer]
    "NoFolderOptions" = "1"

    на

    [HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer]
    "NoFolderOptions" = ""

  10. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:
  11. CDburn.exe
    autorun.inf

    Если такие файлы существуют, удалить их.

  12. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.

   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 

     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru