Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
14 августа 2007 | Backdoor.Win32.Rbot.bni

Поведение

Backdoor, троянская программа удаленного администрирования

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 50176 байт. Написана на Ассемблере.

Инсталляция

После запуска, используя имя своего оригинального файла и путь к нему, троянец генерирует в системном реестре GUID, который служит для регистрации вируса в системе:

[HKCRCLSID{%GUID%}]
"(default)" = "<случайный набор символов>"

[HKCRCLSID{%GUID%}LocalServer32]
"(default)" = "<путь к файлу бэкдора>"

Также при запуске бэкдор производит копирование своего тела в системный каталог Windows под именем «irdvxc.exe»: %System%irdvxc.exe

Далее с интервалом в 2 секунды созданная копия запускается с параметрами командной строки в указанном порядке:

%System%irdvxc.exe /installservice
%System%irdvxc.exe /start

При этом копия бэкдора также создает записи в системном реестре, используя новый путь к вредоносному файлу:

[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}]
"(Default)" = "svxqqbkhrbsqsjhq"

[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}LocalServer32]
"(Default)" = "%System%irdvxc.exe"

При выполнении команды "/installservice" с помощью «Диспетчера служб» Windows происходит регистрация файла бэкдора в виде системной службы, которая запускается атоматически при загрузке системы.

Имя службы: "MSDisk"; полное имя службы: "Network helper Service"; описание службы: "Network service for disk management requests".

При регистрации данной службы в реестре создается следующий ключ:

[HKLMSystemCurrentControlSetServicesMSDisk]

При выполнении команды "/start" происходит запуск зарегистрированной службы.

Также бэкдор создает уникальный идентификатор "jhdgcjhasgdc09890gjasgcjhg2763876uyg3fhg" для определения своего присутствия в системе.

Деструктивная активность

Каждые 50 миллисекунд бэкдор создает потоки, через которые (в случае доступности сети) выполняется соеднение с серверами:

www.starman.ee
www.if.ee

После 256 произведенных соединений, в случае сообщения каким-либо сервером об ошибке, связанной с временной недоступностью ресурса, происходит полусекундная пауза в создании соединений.

Бэкдор размножается при помощи использования уязвимости Microsoft Windows DCOM RPС (MS03-026).

Вирус совершает процедуры отбора IP-адресов для атаки и, в случае наличия на атакуемом компьютере указанной уязвимости, запускает в его системе вредоносный код.

В противном случае бэкдор производит попытки подбора следующих паролей для подключения под логинами Administrator и Admin:

Admin root asdfgh password 00 000 0000 00000 000000 0000000 00000000 1 12 123 1234 12345 123456 1234567 12345678 123456789 secret secure security setup shadow shit sql super sys system abc123 access adm alpha anon anonymous backdoor backup beta bin coffee computer crew database debug default demo X go guest hello install internet login mail manager money monitor network new newpass nick nobody nopass oracle pass passwd server poiuytre private public qwerty random real remote ruler telnet temp test test1 test2 visitor windows

В случае успешного подключения к атакуемой машине троянец копирует свой исполняемый файл в системный каталог Windows и запускает его на исполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить следующие ключи системного реестра:
  4. [HKCRCLSID{%GUID%}] "(default)" = "<случайный набор символов>"

    [HKCRCLSID{%GUID%}LocalServer32] "(default)" = "<путь к файлу бэкдора>"

    [HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}] "(Default)" = "svxqqbkhrbsqsjhq"

    [HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}LocalServer32] "(Default)" = "%System%irdvxc.exe"

    [HKLMSystemCurrentControlSetServicesMSDisk]

  5. Удалить службу Network helper Service.
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию)

Источник: viruslist.com.

   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 

     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru