Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
14 августа 2007 | Win32.HLLM.MyDoom.based

Email-Worm.Win32.Doombot.d, Email-Worm.Win32.LovGate.ad, I-Worm/Mytob.AGE, Net-Worm.Win32.Mytob.bi, Net-Worm.Win32.Mytob.bm, Trojan.Win32.Crypt.d, W32.Lovgate.X@mm, W32.Mytob.EE@mm, W32.Mytob@mm, W32/Generic.j, W32/Lovgate.ac@MM, W32/Lovgate.as@MM, W32/Mytob, W32/Mytob.QQ@mm, W32/Mytob.gen@MM, WORM_LOVGATE.AO, WORM_LOVGATE.GEN, WORM_MYTOB.GW, WORM_MYTOB.LO, WORM_MYTOB.LQ, WORM_MYTOB.NY, WORM_MYTOB.OG, Win32.Worm.Mytob.X.Gen, Win32/LovGate.AL!Worm, Win32/Mytob!generic, Win32/Mytob.Variant!Worm

Тип вируса: Почтовые черви массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: может быть 29 149 байт, 24 576 байт, 40 480 байт, 44 544 байт, 50 688 байт, 34 568 байт, 37 888 байт, 88 640 байт
Упакован: могут быть упакованы UPX, FSG

Техническая информация

Сканируют локальные диски в поисках адресов для дальнейшей рассылки. При этом просматриваются файлы со следующими расширениями:

.adb .asp .dbx .htm .php .sht .tbb .txt .wab

  • Для обеспечения своих последующих загрузок прописывают себя в системном реестре
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

  • Свой прокси-сервер (shimgapi.dll) прописывает в:
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

  • Копируют свои копии в системный каталог - C:\%WinDir%System32 со след. именами:
  • SVRHOST.EXE
    taskgmgr.exe

  • Выгружают из памяти и блокируют запуск следующих процессов, относящихся как к различным системам безопасности, системным сервисам, так и некоторым вредоносным кодам:
  • ZONEALARM ZONALM2601 ZATUTOR ZAPSETUP3001 ZAPRO XPF202EN WYVERNWORKSFIREWALL WUPDT WUPDATER WSBGATE WRCTRL WRADMIN WNT WNAD WKUFIND WINUPDATE WINTSK32 WINSTART001 WINSTART WINSSK32 WINSERVN WINRECON WINPPR32 WINNET WINMAIN WINLOGIN WININITX WININIT WININETD WINDOWS WINDOW WIN-BUGSFIX WINACTIVE WIN32US WIN32 WIMMUN32 WHOSWATCHINGME WGFE95 WFINDV32 WEBTRAP WEBSCANX WEBDAV WATCHDOG W9X W32DSM89 VSWINPERSE VSWINNTSE VSWIN9XE VSSTAT VSMON VSMAIN VSISETUP VSHWIN32 VSECOMR VSCHED VSCENU6.02D30 VSCAN40 VPTRAY VPFW30S VPC42 VPC32 VNPC3000 VNLAN300 VIRUSMDPERSONALFIREWALL VIR-HELP VFSETUP VETTRAY VET95 VET32 VCSETUP VBWINNTW VBWIN9X VBUST VBCONS VBCMSERV UTPOST UPGRAD UPDATE UPDAT UNDOBOOT TVTMD TVMD TSADBOT TROJANTRAP3 TRJSETUP TRJSCAN TRICKLER TRACERT TITANINXP TITANIN TGBOB TFAK5 TFAK TEEKIDS TDS-3 TDS2-NT TDS2-98 TCM TCA TC TBSCAN TAUMON TASKMON TASKMO TASKMG SYSUPD SYSTEM32 SYSTEM SYSEDIT SYMTRAY SYMPROXYSVC SWEEPNET.SWEEPSRV.SYS.SWNETSUP SWEEP95 SVSHOST SVCHOSTS SVCHOSTC SVC SUPPORTER5 SUPPORT SUPFTRL STCLOADER START ST2 SSGRATE SSG_4104 SS3EDIT SRNG SREXE SPYXX SPOOLSV32 SPOOLCV SPOLER SPHINX SPF SPERM SOFI SOAP SMSS32 SMS SMC SHOWBEHIND SHN SHELLSPYINSTALL SH SGSSFW32 SFC SETUPVAMEEVAL SETUP_FLOWPROTECTOR_US SERVLCES SERVLCE SERVICE SERV95 SD SCVHOST SCRSVR SCRSCAN SCANPM SCAN95 SCAN32 SCAM32 SC SBSERV SAVENOW SAVE SAHAGENT SAFEWEB RUXDLL32 RUNDLL16 RUNDLL RUN32DLL RULAUNCH RTVSCN95 RTVSCAN RSHELL RRGUARD RESCUE32 RESCUE REGEDT32 REGEDIT REGED REALMON RCSYNC RB32 RAY RAV8WIN32ENG RAV7WIN RAV7 RAPAPP QSERVER QCONSOLE PVIEW95 PUSSY PURGE PSPF PROTECTX PROPORT PROGRAMAUDITOR PROCEXPLORERV1.0 PROCESSMONITOR PROCDUMP PRMVR PRMT PRIZESURFER PPVSTOP PPTBC PPINUPDT POWERSCAN PORTMONITOR PORTDETECTIVE POPSCAN POPROXY POP3TRAP PLATIN PINGSCAN PGMONITR PFWADMIN PF2 PERSWF PERSFW PERISCOPE PENIS PDSETUP PCSCAN PCIP10117_0 PCFWALLICON PCDSETUP PCCWIN98 PCCWIN97 PCCNTMON PCCIOMON PCC2K_76_1436 PCC2002S902 PAVW PAVSCHED PAVPROXY PAVCL PATCH PANIXK PADMIN OUTPOSTPROINSTALL OUTPOSTINSTALL OUTPOST OTFIX OSTRONET OPTIMIZE ONSRVR OLLYDBG NWTOOL16 NWSERVICE NWINST4 NVSVC32 NVC95 NVARCH16 NUPGRADE NUI NTXconfig NTVDM NTRTSCAN NT NSUPDATE NSTASK32 NSSYS32 NSCHED32 NPSSVC NPSCHECK NPROTECT NPFMESSENGER NPF40_TW_98_NT_ME_2K NOTSTART NORTON_INTERNET_SECU_3.0_407 NORMIST NOD32 NMAIN NISUM NISSERV NETUTILS NETSTAT NETSPYHUNTER-1.2 NETSCANPRO NETMON NETINFO NETD32 NETARMOR NEOWATCHLOG NEOMONITOR NDD32 NCINST4 NC2000 NAVWNT NAVW32 NAVSTUB NAVNT NAVLU32 NAVENGNAVEX15.NAVLU32 NAVDX NAVAPW32 NAVAPSVC NAVAP.NAVAPSVC NAV N32SCANW MWATCH MU0311AD MSVXD MSSYS MSSMMC32 MSMSGRI32 MSMGT MSLAUGH MSINFO32 MSIEXEC16 MSDOS MSDM MSCONFIG MSCMAN MSCCN32 MSCACHE MSBLAST MSBB MSAPP MRFLUX MPFTRAY MPFSERVICE MPFAGENT MOSTAT MOOLIVE MONITOR MMOD MINILOG MGUI MGHTML MGAVRTE MGAVRTCL MFWENG3.02D30 MFW2EN MFIN32 MD MCVSSHLD MCVSRTE MCUPDATE MCTOOL MCSHIELD MCMNHDLR MCAGENT MAPISVC32 LUSPT LUINIT LUCOMSERVER LUAU LUALL LSETUP LORDPE LOOKOUT LOCKDOWN2000 LOCKDOWN LOCALNET LOADER LNETINFO LDSCAN LDPROMENU LDPRO LDNETMON LAUNCHER KILLPROCESSSETUP161 KERNEL32 KERIO-WRP-421-EN-WIN KERIO-WRL-421-EN-WIN KERIO-PF-213-EN-WIN KEENVALUE KAZZA KAVPF KAVPERS40ENG KAVLITE40ENG JEDI JDBGMRG JAMMER ISTSVC ISRV95 ISASS IRIS IPARMOR IOMON98 INTREN INTDEL INIT INFWIN INFUS INETLNFO IFW2000 IFACE IEXPLORER IEDRIVER IEDLL IDLE ICSUPPNT ICSUPP95 ICMON ICLOADNT ICLOAD95 IBMAVSP IBMASN IAMSTATS IAMSERV IAMAPP HXIUL HXDL HWPE HTPATCH HTLOG HOTPATCH HOTACTIO HIJACKTHIS HBSRV HBINST HACKTRACERSETUP GUARDDOG GUARD GMT GENERICS GBPOLL GBMENU GATOR F-STOPW FSMB32 FSMA32 FSM32 FSGK32 FSAV95 FSAV530WTBYB FSAV530STBYB FSAV32 FSAV FSAA FRW FP-WIN_TRIAL FP-WIN F-PROT95 F-PROT FPROT FNRB32 FLOWPROTECTOR FIREWALL FINDVIRU FIH32 FCH32 FAST FAMEH32 F-AGOBOT F-AGNT95 EXPLORE EXPERT EXE.AVXW EXANTIVIRUS-CNET EVPN ETRUSTCIPE ETHEREAL ESPWATCH ESCANV95 ESCANHNT ESCANH95 ESAFE ENT EMSW EFPEADM ECENGINE DVP95_0 DVP95 DSSAGENT DRWEBUPW DRWEB32 DRWATSON DPPS2 DPFSETUP DPF DOORS DLLREG DLLCACHE DIVX DEPUTY DEFWATCH DEFSCANGUI DEFALERT DCOMX DATEMANAGER CWNTDWMO CWNB181 CV CTRL CPFNT206 CPF9X206 CPD CONNECTIONMONITOR CMON016 CMGRDIAN CMESYS CMD32 CLICK CLEANPC CLEANER3 CLEANER CLEAN CLAW95CF Claw95 CFINET32 CFINET CFIAUDIT CFIADMIN CFGWIZ CFD CDP CCSETMGR CCPXYSVC CCEVTMGR CCAPP BVT BUNDLE BS120 BRASIL BPC BORG2 BOOTWARN BOOTCONF BLSS BLACKICE BLACKD BISP BIPCPEVALSETUP BIPCP BIDSERVER BIDEF BELT BEAGLE BD_PROFESSIONAL BARGAINS BACKWEB AVXQUAR AVXMONITORNT AVXMONITOR9X AVWUPSRV AVWUPD32 AVWUPD AVWINNT AVWIN95 AVSYNMGR AVSCHED32 AVPUPD AVPTC32 AVPM AVPDOS32 AVPCC AVP32 AVP AVNT AVLTMAIN AVKWCTl9 AVKSERVICE AVKSERV AVKPOP AVGW AVGUARD AVGSERV9 AVGSERV AVGNT AVGCTRL AVGCC32 AVE32 AVCONSOL AUTOUPDATE AUTOTRACE AUTO-PROTECT.NAV80TRY AUTODOWN AUPDATE AU ATWATCH ATRO55EN ATGUARD ATCON ARR APVXDWIN APLICA32 APIMONITOR ANTS ANTIVIRUS ANTI-TROJAN AMON9X ALOGSERV ALEVIR ALERTSVC AGENTW AGENTSVR ADVXDWIN ADAWARE ACKWIN32 _AVPM _AVPCC _AVP32 DRVDDLL

  • Для рассылки заражённых писем используют собственную реализацию SMTP-протокола. Подделывают адрес отправителя. Поле From формируется следующим образом - выбирается имя из списка (username@):
  • vladimir otto penny marie freddy elvin anthony zidane connie lenny vivian walter stephen brovac hanson carey joshua linda julie jimmy jerry helen lissy claudia humm anna alice stella adam harry fred jack bill stan smith steve matt dave ronnie joe jane bob robert peter tom chang mary william brian jim maria dolly jose steven sam george david kevin mike james michael alex john niky

  • Подставляет одно из имён домена (@domainname):
  • mail.china.com hanmail.net k.ro dcemail.com brain.com.pk arabia.com mail.ee student.be mail.com.fr email.it mail.gr online.ie freemail.nl email.ro hotpop.com yook.de lovemail.com usa.com 21cn.com 163.com yahoo.co.uk lycos.com mailcity.com sina.com hotmail.com yahoo.com msn.com aol.com juno.com fbi.gov cia.gov

  • Не производят рассылку, если в адресах встречаются следующие подстроки:
  • abuse accoun acketst admin anyone arin. avp bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google help info linux listserv me no nobody noone not nothing ntivi page postmaster privacy rating root samples service site soft somebody someone submit support the.bat unix webmaster you your

    а также, если имя домена содержит следующие подстроки:

    .edu .gov .mil arin. berkeley borlan bsd example fido foo. fsf. gnu google gov. iana ibm.com icrosof icrosoft ietf inpris isc.o isi.e kernel linux math mit.e mozilla mydomai nodomai panda pgp rfc-ed ripe. ruslis secur sendmail sopho symav tanford.e unix usenet utgers.ed www

  • Ищут рабочие SMTP-серверы в домене пользователя для своей дальнейшей рассылки, используя префиксы:
  • mx. mail. smtp. mx1. mxs. mail1. relay. ns. gate.

  • Варианты сопроводительного текста в рассылаемых письмах:
  • ----------
    If you want to see this video please open this URL with your favorite media player such as WinAmp or Windows Media Player. [сслыка на видео] If there is fail please download it from your email attachment.

    Don`t get wrong anymore!Hope the files is right!

    Sorry, I`m late yesterday. But please read the file first!

    I really need your help!

    Here it is my response. Please reply back if got an idea.

    Hope this is not a wrong file as you told me.

    The previous file i have sended to you before are not correct. So, this is the correct file.

    Have you read the file in the attachment?

    If you found this email with an attachment please refer to the email attachment in order to read the sender email.

    You have received this email with an email attachment. Please refer to your email attachment if you want to read the message.

    Because of our services are not configured properly. We have converted your message as an attachment. Please download the file to read. Please note that your message has been converted to an attachment. Please refer to the attachment in order to read the file.
    ----------

  • Могут подписывать свои копии писем от имени различных антивирусных вендоров. Примеры:
  • +++ Attachment: No Virus found
    +++ Attachment: No Virus found
    +++ Attachment: No Infection found
    +++ Attachment: No Infection found
    Norton AntiVirus - www.symantec.com
    Norton AntiVirus - www.symantec.com
    F-Secure AntiVirus - www.f-secure.com
    F-Secure AntiVirus - www.f-secure.com
    Norman AntiVirus - www.norman.com
    Norman AntiVirus - www.norman.com
    Panda AntiVirus - www.pandasoftware.com
    Panda AntiVirus - www.pandasoftware.com
    Kaspersky AntiVirus - www.kaspersky.com
    Kaspersky AntiVirus - www.kaspersky.com
    MC-Afee AntiVirus - www.mcafee.com
    MC-Afee AntiVirus - www.mcafee.com
    Bitdefender AntiVirus - www.bitdefender.com
    Bitdefender AntiVirus - www.bitdefender.com
    MessageLabs AntiVirus - www.messagelabs.com
    MessageLabs AntiVirus - www.messagelabs.com

  • Вложения в рассылаемых письмах могут быть со следующими расширениями:
  • .pif .scr
    .exe
    .cmd
    .bat

  • Разные модификации представителей семейства почтовых червей семейства Win32.HLLM.MyDoom.based могут содержать модули клавиатурного перехвата (log32zx.exe), прокси-сервер (shimgapi.dll) для рассылки спама, загрузчики других вредоносных программ.
  • Рекомендации по восстановлению системы

    1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
    2. Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
    3. Восстановить реестр из резервной копии.

    Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:

    Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).

    Источник: drweb.com.

       Новости
    17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

    Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

    Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

    17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

    Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

    11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

    Вредонос получает права администратора, деактивировать которые невозможно.

    11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

    Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

    03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

    Windows не предоставляет графический интерфейс для просмотра полного списка.

    03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

    Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

    Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

    24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

    Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

    Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

    24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

    В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

    Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

    18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

    На данный момент только компания AT&T прекратила использование супер cookie-файлов.

    По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

    18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

    ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

    Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

     

     

         
    Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
    Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru