Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
25 мая 2010 | Trojan-Ransom.Win32.Cryzip.c

Технические детали

Троянская программа, шифрующая пользовательские файлы с целью получить выкуп за их восстановление. Является приложением Windows (PE-EXE файл). Имеет размер 319488 байт. Упакована UPX. Распакованный размер – около 734 КБ. Написана на Delphi.

Инсталляция

После запуска троянец проверяет наличие подключения компьютера к сети Интернет. Для этого выполняется обращение к следующим ресурсам:

fo***gle.hut.ru
www.hut.ru

Если подключение отсутствует, то троянец создает в своем рабочем каталоге файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.

В противном случае, троянец выполняет следующие действия:

  1. извлекает из своего тела файлы, которые сохраняются в системе как
  2. %System%/stdbvl30.dll

    (625152 байта; детектируется Антивирусом Касперского как "Trojan-Ransom.Win32.Cryzip.c")

    %System%/rml32ht.dll

    (16384 байта; детектируется Антивирусом Касперского как "Trojan-Ransom.Win32.Cryzip.c")

  3. Создает ключи системного реестра:
  4. [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysmlgntfy]
    "DLLName" = "stdbvl30.dll"
    "Logon" = "WLEventLogon"
    "Impersonate" = "0"
    "Asynchronous" = "1"

    Таким образом, извлеченная троянцем библиотека будет подгружаться в адресное пространство процесса "winlogon.exe" при каждом следующем старте системы.

  5. Создает в своем рабочем каталоге файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.

Деструктивная активность

После следующей перезагрузки системы библиотека "stdbvl30.dll", внедренная в адресное пространство процесса "winlogon.exe", выполняет следующие действия:

  • обращается по следующим ссылкам:
  • http://fo***gle.hut.ru/s2.php
    http://fo***gle.hut.ru/f2.php

    На момент создания описания ссылки не работали.

  • Архивирует в RAR-архивы с паролем все найденные на локальных дисках компьютера файлы, имеющие следующие расширения:
  • .pst
    .rar
    .zip
    .pak
    .gz
    .gzip
    .zipx
    .arj
    .pgp
    .tar
    .arh
    .7z
    .cab
    .lzh
    .djv
    .lzo
    .pdf
    .djvu
    .txt
    .chm
    .xl
    .xlk
    .xls
    .xlsx
    .xlsm
    .rtf
    .doc
    .docx
    .ppt
    .dbf
    .xlw
    .xlc
    .ppt
    .pps
    .wri
    .xsn
    .xsf
    .vsd
    .pab
    .abw
    .docm
    .text
    .mdb
    .mde
    .odc
    .udl
    .dsn
    .adp
    .mda
    .ade
    .asp
    .db
    .db1
    .db2
    .dbf
    .dbt
    .dbx
    .htm
    .html
    .mht
    .mhtml
    .psw
    .pwt
    .pwd
    .jpg
    .jpeg
    .jpe
    .dwg
    .stp
    .kwm
    .key
    .cgi
    .pass
    .dt
    .1cd
    .cdx
    .db3
    .ddt
    .cer
    .usr
    .md
    .dd
    .cdx
    .db3
    .ddt
    .py
    .rb
    .rbw
    .pl
    .pm
    .php3
    .phtml
    .cs
    .asm
    .css
    .vbs
    .sql
    .cgi
    .js
    .php
    .vbp
    .frm
    .bas
    .cls
    .c
    .h
    .hpp
    .cpp
    .dpr
    .dpk
    .dpkw
    .pas
    .dfm
    .xfm
    .bpg
    .cdr
    .cdt
    .cdx

    Файлы, находящиеся в каталогах с именами:

    System
    System32

    не архивируются.

    Имена заархивированных файлов имеют следующий вид:

    оригинальное имя файла_crypt_.rar

    Зашифрованные пользовательские файлы невозможно использовать в дальнейшем, что дает возможность злоумышленникам вымогать у пострадавших денежные средства за их расшифровку.

    В каталоги с заархивированными файлами троянец помещает файлы с именем "AUTO_RAR_REPORT.TXT" следующего содержания:

    ID: ***-***-***

    ИНСТРУКЦИЯ: «КАК ВЕРНУТЬ ВАШИ ФАЙЛЫ»
    ЧИТАЙТЕ ВНИМАТЕЛЬНО, ЕСЛИ НЕ ПОНЯТНО, ЧИТАЙТЕ ЕЩЕ РАЗ.

    Это автоматический отчет созданный программой зашифровавшей ваши файлы. При просмотре нелегального порнографического материала, ваш компьютер подвергся атаке троянской программы шифрующей данные. Все ваши документы, текстовые файлы, базы данных, фотографии, зашифрованы в rar архивы, с очень длинным паролем. Подбор пароля невозможен, так как его длинна более 40 символов. Взлом архивов невозможен, так как для шифрования используется надежный алгоритм AES. Программы для восстановления удаленных файлов вам не помогут, потому что оригиналы файлов удалены без возможности восстановления. Искать в системе программу, которая зашифровала ваши файлы - бессмысленно. Программа уже удалена с вашей системы. Обращаться за помощью к кому-либо бессмысленно. Они не знают пароль, поэтому ни чем вам не помогут.

    Но если вам действительно нужны ваши файлы, вы можете заплатить нам 2000р и вернуть свои файлы.

    В течении суток после оплаты, мы вышлем вам пароль. Вам останется только скачать и запустить программу, которая автоматически расшифрует все ваши файлы.

    Для получения пароля отправьте письмо на m***00@gmx.com или da***om@gawab.com В теме письма напишите: "ID: ***-***-***"

    Программу для автоматической расшифровки вы можете скачать по ссылкам: http://depositfiles.com/files/m4et618ej http://www.sharemania.ru/0135226 http://webfile.ru/4346046dGу

    Список зашифрованных файлов троянец записывает в файл:

    C:/List_of_files.log

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. Загрузить программу для автоматической распаковки архивов по ссылкам, приведенным в файле "AUTO_RAR_REPORT.TXT". Интерфейс программы имеет следующий вид:
    2. Для получения пароля воспользоваться сервисом деактивации вымогателей-блокеров:
    3. http://support.kaspersky.ru/viruses/deblocker

    4. Удалить ветвь системного реестра:
    5. [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/smlgntfy]

    6. Перезагрузить компьютер.
    7. Удалить файлы:
    8. %System%/stdbvl30.dll
      %System%/rml32ht.dll
      C:/List_of_files.log

    9. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

    Источник: securelist.com.

       Новости
    17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

    Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

    Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

    17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

    Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

    11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

    Вредонос получает права администратора, деактивировать которые невозможно.

    11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

    Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

    03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

    Windows не предоставляет графический интерфейс для просмотра полного списка.

    03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

    Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

    Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

    24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

    Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

    Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

    24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

    В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

    Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

    18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

    На данный момент только компания AT&T прекратила использование супер cookie-файлов.

    По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

    18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

    ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

    Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

     

     

         
    Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
    Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru