Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
09 июня 2010 | Trojan-Dropper.Win32.Agent.vac

Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 31232 байта. Написана на С++.

Деструктивная активность

После запуска троянец открывает на запись драйвер устройства с именной ссылкой "Prot3". Затем извлекает из своего тела вредоносный драйвер, который сохраняет под таким именем:

%System%/drivers/rnd1rnd2.sys

где rnd1 – случайные 3 буквы латинского алфавита, rnd2 – случайные 2 цифры, например " Mbp81" или "Leg30". Данный файл имеет размер 30848 байта и детектируется Антивирусом Касперского как Trojan.Win32.Agent.wou.

Затем для запуска вредоносного драйвера троянец создает службу с таким же именем, что и у вредоносного драйвера. Добавляет в системный реестр следующие значения:

[HKLM/System/CurrentControlSet/Control/SafeBoot/Minimal/имя_драйвера.sys]
(Default) = "Driver"

[HKLM/System/CurrentControlSet/Control/SafeBoot/Network/имя_драйвера.sys]
(Default) = "Driver"

[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_ИМЯ_ДРАЙВЕРА/0000/Control]
*NewlyCreated* = 0x00000000
ActiveService = "имя_драйвера"

[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_ИМЯ_ДРАЙВЕРА/0000]
Service = "имя_драйвера"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "имя_драйвера"

[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_ИМЯ_ДРАЙВЕРА]
NextInstance = 0x00000001

[HKLM/System/CurrentControlSet/Services/имя_драйвера/Enum]
0 = "Root/LEGACY_ИМЯ_ДРАЙВЕРА/0000"
Count = 0x00000001
NextInstance = 0x00000001

[HKLM/System/CurrentControlSet/Services/имя_драйвера/Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00
1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00
05 12 00 00 00 00 00 18 00 FF 01 0F 0

[HKLM/System/CurrentControlSet/Services/имя_драйвера]
Type = 0x00000001
Start = 0x00000000
ErrorControl = 0x00000000
ImagePath = "%System%/Drivers/имя_драйвера.sys"
Group = "SCSI Class"

Драйвер принадлежит к группе " SCSI Class ". После этого, троянец, используя командную строку, удаляет свой оригинальный файл и затем завершает выполнение своего процесса. В своем теле троянец содержит строку:

==============
¦....Caliban...
==============

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Остановить выполнение вредоносной службы.

  2. Удалить параметры в ключах реестра:

    3. [HKLM/System/CurrentControlSet/Control/SafeBoot/Minimal/имя_драйвера.sys]
    (Default) = "Driver"

    [HKLM/System/CurrentControlSet/Control/SafeBoot/Network/имя_драйвера.sys]
    (Default) = "Driver"

    [HKLM/System/CurrentControlSet/Enum/Root/LEGACY_ИМЯ_ДРАЙВЕРА/0000/Control]
    *NewlyCreated* = 0x00000000
    ActiveService = "имя_драйвера"

    [HKLM/System/CurrentControlSet/Enum/Root/LEGACY_ИМЯ_ДРАЙВЕРА/0000]
    Service = "имя_драйвера"
    Legacy = 0x00000001
    ConfigFlags = 0x00000000
    Class = "LegacyDriver"
    ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    DeviceDesc = "имя_драйвера"

    [HKLM/System/CurrentControlSet/Enum/Root/LEGACY_ИМЯ_ДРАЙВЕРА]
    NextInstance = 0x00000001

    [HKLM/System/CurrentControlSet/Services/имя_драйвера/Enum]
    0 = "Root/LEGACY_ИМЯ_ДРАЙВЕРА/0000"
    Count = 0x00000001
    NextInstance = 0x00000001

    [HKLM/System/CurrentControlSet/Services/имя_драйвера/Security]
    Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00
    1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
    00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00
    05 12 00 00 00 00 00 18 00 FF 01 0F 0

    [HKLM/System/CurrentControlSet/Services/имя_драйвера]
    Type = 0x00000001
    Start = 0x00000000
    ErrorControl = 0x00000000
    ImagePath = "%System%/Drivers/имя_драйвера.sys"
    Group = "SCSI Class"

  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.
   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 
     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru