Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
08 июля 2010 | P2P-Worm.Win32.Palevo.fuc

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 89600 байт. Написана на C++.

Инсталляция

Если имя червя отличалось от "gpl.exe", тогда создает каталоги с атрибутами "скрытый" и "системный" в корневом каталоге системного диска:

X:/RECYCLER/S-1-5-21-rnd

Где X - буква системного диска, rnd - случайный набор из 33-х цифр, например "2417154109-8600854677-216712865-6223" или "0397941677-0106684583-388380175-2763".

В созданном каталоге создает свою копию с именем "gpl.exe":

X:/RECYCLER/S-1-5-21-rnd/gpl.exe

а также файл с именем "Desktop.ini":

X:/RECYCLER/S-1-5-21-rnd/Desktop.ini

Данный файл имеет размер 63 байта и содержит следующие строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Деструктивная активность

Вредоносная программа завершает свое выполнение при выполнении хоть одного из следующих условий:

  • Отсутствие ключа системного реестра:

    • [HKCU/Keyboard Layout/Substitutes]

  • Имя учетной записи текущего пользователя Windows было одним из следующих:

    • USERNAME
    user
    COMPUTERNAME
    CurrentUser

  • Имя текущего пользователя Windows было одним из следующих:

    • COMPUTERNAME
    user

  • В адресное пространство червя была подгружена хоть одна из библиотек:

    • SbieDll.dll
    dbghelp.dll

  • Оригинальное тело червя находилось в корневом каталоге диска С:/ с именем "file.exe":

    • C:/file.exe

Если имя червя было "winusb.exe", тогда он открывает текущий каталог при помощи программы "Проводник" Windows.

Далее в бесконечном цикле червь ищет процесс с именем "explorer.exe", при нахождении данного процесса внедряет в него вредоносный код.

Вредоносный код выполняет следующие действия:

  • для контроля уникальности своего потока в системе создает уникальный идентификатор:

    • i77dkf_765jf_ff

  • анализирует файлы настроек с целью отправки на адрес злоумышленника сохраненных паролей следующих браузеров:

    • Mozilla Firefox
    Internet Explorer
    Opera

  • добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра, что приводит к автоматическому запуску копии червя при каждом следующем старте системы:

    • [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
    "microsoft corporation" = "X:/RECYCLER/S-1-5-21-rnd/gpl.exe"

  • создает копии тела червя во всех доступных на запись сетевых и съемных дисках под именем "winusb.exe":

    • X2:/winusb.exe

    Где X2 - буква сетевого или съемного диска. Также помещает в корень диска сопровождающий файл: X2:/autorun.inf который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

  • Создает копии тела червя в каталогах обмена файлами P2P-сетей под именами:

    • Crack.exe
    Keygen.exe

    каталоги обмена файлами P2P-сетей получает анализируя параметры ключей системного реестра:

    [HKCU/Software/BearShare/General Software/iMesh/General]
    [HKCU/Software/Shareaza/Shareaza/Downloads]
    [HKCU/Software/Kazaa/LocalContent]
    [HKCU/Software/DC++]
    [HKCU/Software/eMule]
    [HKCU/Software/Microsoft/Windows/CurrentVersion/Uninstall/eMule Plus_is1]

  • Для реализации функционала бэкдора соединяется с удаленными хостами:

    • gpl0***mon.org
    gpl0***inip.es
    irc.ek***edia.com

Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:

%Temp%/rnd2.exe
Где rnd2 - случайное число.

Имеет возможность сохранять загруженные файлы в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине а также в каталоги:

%ALLUSERSPROFILE%/Local Settings/Application Data/Ares/My Shared Folder
%PROGRAM FILES%/LimeWire/LimeWire.propsr

По команде злоумышленника также возможна подмена файла "hosts":

%System%/etc/hosts

На момент создания описания никаких команд с серверов злоумышленника не приходило.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

  2. При помощи Диспетчера задач завершить процессы:

    3. explorer.exe
    gpl.exe

  3. Удалить файлы:

    4. X:/RECYCLER/S-1-5-21-rnd
    X:/RECYCLER/S-1-5-21-rnd/Desktop.ini
    X2:/winusb.exe
    X2:/autorun.inf

  4. Удалить параметр ключа системного реестра:

    5. [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
    "microsoft corporation" = "X:/RECYCLER/S-1-5-21-rnd/gpl.exe"

  5. При необходимости восстановить содержимое файла:

    6. %System%/etc/hosts

    на следующее:

    127.0.0.1 localhost

  6. Очистить каталог Temporary Internet Files.

  7. Удалить копии червя из каталогов обмена файлами P2P-сетей.

  8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.
   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 
     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru