Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
14 августа 2007 | Win32.HLLM.Graz

Backdoor.Win32.Agent.rj, Exploit-MhtRedir.gen, Exploit.HTML.Mht, Generic component, HTML/Feeb.S!Trojan, JS.Feebs.D, JS.Feebs.G, JS.Feebs.Gen, JS.Feebs.H, JS.Feebs.I, JS/Feeb, JS/Feebs.T@dr, JS/Feebs.gen, JS_FEEBS.CP, JS_FEEBS.GEN, New Malware!hta, W32.Feebs, Win32.Worm.Feebs.1.Gen, Worm.Feebs.H, Worm.Feebs.I, Worm.Win32.Feebs.af, Worm.Win32.Feebs.aq, Worm.Win32.Feebs.ar, Worm.Win32.Feebs.as, Worm.Win32.Feebs.at, Worm.Win32.Feebs.au, Worm.Win32.Feebs.av, Worm.Win32.Feebs.aw, Worm.Win32.Feebs.gen, Worm/Feebs

Описание

Win32.HLLM.Graz - почтовый червь массовой рассылки.

Распространение

1. По почте как сообщение с приложенным zip-архивом. Пример текста сообщения:

You have received Protected Mail from MSN.com user. This message is addressed personally for you. To decrypt your message use the following details:

ID: 25747
Password: qeopgelhk

Keep your password in a safe place and under no circumstances give it to ANYONE.

Protected Mail and instruction is attached.

Best Regards,
Protected Mail System,
MSN.com

К сообщению прилагается zip-архив с одним из следующих имен:

msg.zip
message.zip
data.zip
mail.zip

В архиве - файл hta, содержащий зашифрованное тело вируса. Имя этого файла составляется из двух случайно выбранных строк. Первая строка может быть "Encrypted", "Protected", "Secure" или "Extended", а вторая - "Mail", "E_Mail", "Message" или "Html". При открытии этого файла в корень диска C: сбрасывается файл с именем COMMAND.EXE и запускается. В это же время появляется окно, предлагающее ввести ID и Password.

2. По ICQ.

Следит за трафиком на зараженной машине и получает UIN и пароль. Получает список контактов для данного UIN. Пользователям из списка контактов рассылаются сообщения, содержащие ссылку http://popcapfree.t35.com/. На данной странице пользователю предлагается скачать "универсальный генератор ключей для игр PopCap".

Возможный текст сообщения:

PopCap deluxe games absolutely free
you like PopCap deluxe games?Play them free and no limited
PopCap deluxe games without limit
I see your drive C:
you a hacked, look!
this is your local drives?not a joke:))

3. На зараженной машине создается http-сервер и при попытке скачать с него что-либо отдается тело вируса в формате hta. Может быть запаковано в zip - зависит от типа запрашиваемого файла.

Запуск вируса

При запуске вируса он копирует свое тело в системную папку %SystemRoot%System32 под именем ms??.exe и сбрасывает в эту же папку файл ms??32.dll.

Для обеспечения автозапуска своей копии прописывает сброшенный dll-файл в ветку реестра HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad.

Действия

Отслеживает трафик на определенных портах и разбирает передаваемые данные в соответствии с протоколами для извлечения паролей (telnet,smtp,pop3,ftp,icq,irc, ...).

Далее эта информация использует для дальнейшего распространения вируса. Например, рассылка сообщений по ICQ от имени пользователя по всему контактному листу или заражение сайтов которые пользователь имел неосторожность обновить через FTP.

Содержит функцию управления программой WebMoney Keeper.

Блокирует доступ к сайтам, имена которых содержат следующие подстроки:

fsi vcatch feste norton resplendence softwin filseclab ntivi una panda free-av numentec adware trojan freeav phx.corporate-ir alwil agnitum frsirt secu avg altn gdata.de sina grisoft antiy grisoft skynet bitdef anvir iavs softbase clam asw iss sophos hbedv atdmt kasper spam esafe atwola lavasoft stocona aladdin avast mcafee symantec quickhea avp messagel trendmicro avgate awaps microsoft update tds3 bitdefender msn viru onecare ca.com my-etrust webroot ahnlab drweb nai.com haker vnunet eset networkass spy virdet vnunet nod32 itsafe avinfo fbi norman

Этот же список использует для полного блокирования доступа к сети у приложений по их именам.

Завершает сервисы, удаляет записи о них из реестра, а с диска файлы, имеющие в своем имени подстроки:

zonealarm dpf spfirewallsvc zapro xfilter sppfw ca leviathantrial kavpf vsmon looknstop sspfwtry2 zlclient mpftray keypatrol pavfnsvr netlimiter s-wall avgcc npgui smc fsdfwd npfsvice umxtray dfw npfmsg persfw fireballdta npfc pccpfw fbtray ccapp tzpfw goldtach ccsetmgr xeon ipcserver ccevtmgr bullguard aws ccproxy bgnewsui jammer symlcsvc fw armorwall sndsrvc fwsrv armor2net opfsvc iamapp opf iamserv ipatrol blackd spfw

Подобных списков в вирусе несколько, кроме межсетевых экранов в них входит ряд антивирусов, программ обеспечения безопасности (анти-кейлоггеры, анти-трояны и т.д.), мониторинга сетевых соединений и т.д.

Помещает свои копии в папки, в именах которых есть строки: "download", "upload", "incom", "share" заполняет .zip архивами с именами:

ICQ_2006
winamp_5.2
3dsmax_9_(3D_Studio_Max)
ACDSee_9
Adobe_Photoshop_10_(CS3)
Adobe_Premiere_9_(2.0_pro)
Ahead_Nero_8
DivX_7.0
Internet_Explorer_7
Kazaa_4
Microsoft_Office_2006
Longhorn

которые содержат копию вируса в файле websetup.exe

Путем перехвата системных API-функций прячет свой процесс в памяти и файлы на диске.

Рекомендации по восстановлению системы

  1. Загрузить ОС Windows в Безопасном режиме (Safe Mode);
  2. Просканировать память и локальные диски компьютера сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT!. Действие для найденных файлов - удалить.

Источник: drweb.com.

   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 

     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru