Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
15 апреля 2010 | Virus.Win32.Sality.ag

Технические детали

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++.

Инсталляция

При запуске, вредоносная программа извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:

%System%/drivers/rnd.sys

где rnd – случайные латинские прописные буквы, например, "INDSNN". Данный файл является драйвером режима ядра, имеет размер 5157 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.ag.

Извлеченный драйвер устанавливается и запускается в системе как сервис с именем "amsint32".

Распространение

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:

.EXE
.SCR

Заражаются только файлы, которые содержат в PE-заголовке секции:

TEXT
UPX
CODE

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредоносная программа копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:

%Temp%/__Rar/the path to the virus’s original file.exe

Для автозапуска своего оригинального файла, вредоносная программа копирует себя на все логические диски под произвольным именем, при этом расширение файла выбирается случайно из следующих значений:

.exe
.pif
.cmd

А также создает в корневом каталоге этих дисков скрытый файл:

x:/autorun.inf

в котором содержится команда для запуска вредоносного файла. Таким образом, при открытии логического диска в "Проводнике" происходит запуск вредоносной программы.

Деструктивная активность

После запуска, для контроля уникальности своего процесса в системе вредоносная программа создает уникальный идентификаторы с именем "Ap1mutx7".

Пытается выполнить загрузку файлов, расположенных по ссылкам:

http://sagocugenc.sa.funpic.de/images/logos.gif
http://www.eleonuccorini.com/images/logos.gif
http://www.cityofangelsmagazine.com/images/logos.gif
http://www.21yybuyukanadolu.com/images/logos.gif
http://yucelcavdar.com/logos_s.gif
http://www.luster-adv.com/gallery/Fusion/images/logos.gif
http://89.119.67.154/testo5/
http://kukutrustnet777.info/home.gif
http://kukutrustnet888.info/home.gif
http://kukutrustnet987.info/home.gif
http://www.klkjwre9fqwieluoi.info/
http://kukutrustnet777888.info/
http://klkjwre77638dfqwieuoi888.info/

Загруженные файлы сохраняются в папке %Temp% и запускаются.

На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы:

Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu

Все загруженные вирусом вредоносные программы были предназначены для рассылки спама.

Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе:

  • Отключает диспетчер задач и запрещает редактирование реестра, изменяя следующие параметры системного реестра:
  • [HKСU/Software/Microsoft/Windows/CurrentVersion/Policies/system]
    "DisableRegistryTools"=dword:00000001
    "DisableTaskMgr"=dword:00000001

  • Изменяет настройки Центра Обеспечения безопасности Windows, создавая следующие параметры ключей реестра:
  • [HKLM/SOFTWARE/Microsoft/Security Center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001
    "UacDisableNotify"=dword:00000001

    [HKLM/SOFTWARE/Microsoft/Security Center/Svc]
    "AntiVirusDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallDisableNotify"=dword:00000001
    "FirewallOverride"=dword:00000001
    "UacDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001

  • Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
  • [HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
    "Hidden"=dword:00000002

  • Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:
  • [HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings]
    "GlobalUserOffline"=dword:00000000

  • Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
  • [HKLM/Software/Microsoft/Windows/CurrentVersion/policies/system]
    "EnableLUA"=dword:00000000

  • Добавляет себя в список разрешенных для доступа в сеть приложений встроенного сетевого экрана ОС Windows, сохраняя следующий параметр в ключе реестра:
  • [HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
    "путь_к_оригинальному_файлу_вируса"= "путь_к_оригинальному_файлу_вируса:*:Enabled:ipsec"

  • Далее создает ключи реестра, в которых сохраняет свою служебную информацию:
  • HKCU/Software/rnd

    Где rnd - произвольное значение.

  • Затем находит файл с именем:
  • %WinDir%/system.ini

    и добавляет в него следующую запись:

    [MCIDRV_VER]
    DEVICEMB=509102504668 (номер может быть произвольным)

  • Отключает запуск ОС в безопасном режиме, удаляя полностью ключи реестра
  • HKLM/System/CurrentControlSet/Control/SafeBoot
    HKCU/System/CurrentControlSet/Control/SafeBoot

  • Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:
  • %Temp%

  • Выполняет поиск и удаление файлов со следующими расширениями:
  • "VDB", "KEY", "AVC", "drw"

  • При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:
  • upload_virus
    sality-remov
    virusinfo.
    cureit.
    drweb.
    onlinescan.
    spywareinfo.
    ewido.
    virusscan.
    windowsecurity. s
    pywareguide.
    bitdefender.
    pandasoftware.
    agnmitum.
    virustotal.
    sophos.
    trendmicro.
    etrust.com
    symantec.
    mcafee.
    f-secure.
    eset.com
    kaspersky

  • Останавливает и удаляет службы со следующими именами:
  • Agnitum Client Security Service
    ALG Amon monitor
    aswUpdSv
    aswMon2
    aswRdr
    aswSP
    aswTdi
    aswFsBlk
    acssrv
    AV Engine
    avast! iAVS4
    Control Service
    avast! Antivirus
    avast! Mail Scanner
    avast! Web Scanner
    avast! Asynchronous Virus Monitor
    avast! Self Protection
    AVG E-mail Scanner
    Avira AntiVir Premium Guard
    Avira AntiVir Premium WebGuard
    Avira AntiVir Premium MailGuard
    avp1
    BackWeb Plug-in - 4476822
    bdss
    BGLiveSvc
    BlackICE
    CAISafe
    ccEvtMgr
    ccProxy
    ccSetMgr
    COMODO Firewall Pro Sandbox Driver
    cmdGuard
    cmdAgent
    Eset Service
    Eset HTTP Server
    Eset Personal Firewall
    F-Prot Antivirus Update Monitor
    fsbwsys
    FSDFWD
    F-Secure Gatekeeper Handler Starter
    FSMA
    Google Online Services
    InoRPC
    InoRT
    InoTask
    ISSVC
    KPF4
    KLIF
    LavasoftFirewall
    LIVESRV
    McAfeeFramework
    McShield
    McTaskManager
    navapsvc
    NOD32krn
    NPFMntor
    NSCService
    Outpost Firewall main module
    OutpostFirewall
    PAVFIRES
    PAVFNSVR
    PavProt PavPrSrv
    PAVSRV
    PcCtlCom
    PersonalFirewal
    PREVSRV
    ProtoPort Firewall service
    PSIMSVC
    RapApp
    SmcService
    SNDSrvc
    SPBBCSvc
    SpIDer FS Monitor for Windows NT
    SpIDer Guard File System Monitor
    SPIDERNT
    Symantec Core LC
    Symantec Password Validation
    Symantec AntiVirus Definition Watcher
    SavRoam
    Symantec AntiVirus
    Tmntsrv
    TmPfw
    tmproxy
    tcpsr
    UmxAgent
    UmxCfg
    UmxLU
    UmxPol
    vsmon
    VSSERV
    WebrootDesktopFirewallDataService
    WebrootFirewall
    XCOMM
    AVP

    Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
  2. Вручную удалить вирус не удастся, так как он скорее всего уже заразил множество исполняемых файлов на вашем компьютере, все они требуют лечения. Для лечения вируса также можно использовать бесплатную утилиту SalityKiller

    .

  3. При необходимости восстановить следующие ключи реестра:
  4. [HKLM/Software/Microsoft/Windows/CurrentVersion/policies/system]
    "EnableLUA" = dword:00000000

    [HKLM/SOFTWARE/Microsoft/Security Center]
    "AntiVirusOverride"=dword:00000000
    "FirewallOverride"=dword:00000001
    "UacDisableNotify"=dword:00000001

    [HKLM/SOFTWARE/Microsoft/Security Center/Svc]
    "AntiVirusDisableNotify"=dword:00000000
    "AntiVirusOverride"=dword:00000000
    "FirewallDisableNotify"=dword:00000000
    "FirewallOverride"=dword:00000000
    "UacDisableNotify"=dword:00000000
    "UpdatesDisableNotify"=dword:00000000

    [HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
    "Hidden"=dword:00000002

  5. При необходимости удалить следующие значения ключей реестра:
  6. [HKСU/Software/Microsoft/Windows/CurrentVersion/Policies/system]
    "DisableRegistryTools"
    "DisableTaskMgr"

    [HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings]
    "GlobalUserOffline"

  7. Очистить папку %Temp%.

Источник: securelist.com.

   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 

     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru