Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
23 сентября 2010 | Worm.Win32.AutoRun.lup

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 14418 байт. Упакован NSPack, PE-Crypt.Morf. Распакованный размер – около 55 КБ. Написан на C++.

Инсталляция

После запуска червь выполняет следующие действия:

  • перемещает содержимое файла
  • %System%/wuauclt.exe
    в файл
    c:/tem.tmp

  • Копирует свое тело в файлы:
  • %System%/wuauclt.exe
    %System%/dllcache/wuauclt.exe

  • Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
  • [HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
    "explorer" = "%System%/wuauclt.exe"

  • Устанавливает для своего оригинального файла атрибуты "скрытый" (hidden) и "системный" (system).

  • Распространение
  • Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:

    GLXB.PIF

    Вместе со своим исполняемым файлом червь помещает файл:

    имя зараженного раздела:/AUTORUN.INF

    следующего содержания:

    [AutoRun]
    shell/open=+?¬¬(&O)
    shell/open/Command=GLXB.PIF
    shell/open/Default=1
    shell/explore=+¦L+¦-L?¦?(&X)
    shell/explore/command=GLXB.PIF

    что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

    Деструктивная активность

    После запуска червь выполняет следующие действия:

    • для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
    • war

    • Изменяет текущую системную дату, устанавливая год равным 2004.
    • Останавливает работу службы "Beep". После этого бинарный файл данной службы
    • %System%/drivers/beep.sys
      подменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2560 байт, детектируется Антивирусом Касперского как "Rootkit.Win32.Ressdt.dw". После замены бинарного файла работа службы "Beep" возобновляется.

    • Восстанавливает оригинальное содержимое файла "beep.sys".
    • Выгружает из системной памяти следующие процессы:
    • 360Safe.exe
      360tray.exe
      360rpt.EXE
      Runiep.exe
      RAv.exe
      CCenter.EXE
      RAVMON.EXE
      RAVMOND.EXE
      GuardField.exe
      Ravxp.exe
      GFUpd.exe
      kmailmon.exe
      kavstart.exe
      KAVPFW.EXE
      kwatch.exe
      UpdaterUI.exe
      rfwsrv.exe
      rfwProxy.exe
      rfwstub.exe
      RavStub.exe
      rfwmain.exe
      TBMon.exe
      nod32kui.exe
      nod32krn.exe
      KASARP.exe
      FrameworkService.exe
      scan32.exe
      VPC32.exe
      VPTRAY.exe
      AntiArp.exe
      KRegEx.exe
      KvXP.kxp
      kvsrvxp.kxp
      kvsrvxp.exe
      KVWSC.EXE
      Iparmor.exe
      Avp.EXE
      VsTskMgr.exe

    • Останавливает работу служб:
    • sharedaccess
      McShield
      KWhatchsvc
      KPfwSvc
      Symantec AntiVirus
      Symantec AntiVirus Drivers Services
      Symantec AntiVirus Definition Watcher
      Norton AntiVirus Server

    • Запускает системную утилиту "cacls.exe" со следующими параметрами:
    • %System%/packet.dll /e /p everyone:f
      %System%/pthreadVC.dll /e /p everyone:f
      %System%/wpcap.dll /e /p everyone:f
      %System%/drivers/npf.sys /e /p everyone:f
      %System%/npptools.dll /e /p everyone:f
      %System%/drivers/acpidisk.sys /e /p everyone:f
      %System%/wanpacket.dll /e /p everyone:f

      Таким образом, открывается общий доступ к вышеперечисленным файлам.

    • Запускает процесс:
    • %Program files%/Internet Explorer/IEXPLORE.EXE

    • Находит в системе окно с именем класса "IEFrame" и внедряет в адресное пространство процесса, соответствующего этому окну, исполняемый код, реализующий функционал загрузчика. Файлы загружаются по следующим ссылкам:
    • http://m.d***8.com/dd/x.gif
      http://m.d***8.com/dd/1.exe
      http://m.d***8.com/dd/2.exe
      http://m.d***8.com/dd/3.exe
      http://m.d***8.com/dd/4.exe
      http://m.d***8.com/dd/5.exe
      http://m.d***8.com/dd/6.exe
      http://m.d***8.com/dd/7.exe
      http://m.d***8.com/dd/8.exe
      http://m.d***8.com/dd/9.exe
      http://m.d***8.com/dd/10.exe

      и сохраняются в системе как

      %ALLUSERSPROFILE%/me.pif
      %ALLUSERSPROFILE%/1.pif
      %ALLUSERSPROFILE%/2.pif
      %ALLUSERSPROFILE%/3.pif
      %ALLUSERSPROFILE%/4.pif
      %ALLUSERSPROFILE%/5.pif
      %ALLUSERSPROFILE%/6.pif
      %ALLUSERSPROFILE%/7.pif
      %ALLUSERSPROFILE%/8.pif
      %ALLUSERSPROFILE%/9.pif
      %ALLUSERSPROFILE%/10.pif

      После успешной загрузки файлы запускаются на выполнение.

      На момент создания описания вышеуказанные ссылки не работали.

    • Создает ключи системного реестра:
    • [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Application name]
      "debugger" = "%System%/dllcache/wuauclt.exe"

      Всего создается 44 ключа. Подстрока Application name принимает следующие значения:

      360rpt.EXE
      360safe.EXE
      360tray.EXE
      360safebox.EXE
      safeboxTray.EXE
      AVP.EXE
      AVP.COM
      AvMonitor.EXE
      CCenter.EXE
      IceSword.EXE
      Iparmor.EXE
      KVMonxp.KXP
      KVSrvXP.EXE
      KVWSC.EXE
      Navapsvc.EXE
      Nod32kui.EXE
      nod32krn.EXE
      KRegEx.EXE
      Frameworkservice.EXE
      Mmsk.EXE
      Ast.EXE
      WOPTILITIES.EXE
      Regedit.EXE
      AutoRunKiller.EXE
      VPC32.EXE
      VPTRAY.EXE
      ANTIARP.EXE
      KASARP.EXE
      RAV.EXE
      kwatch.EXE
      kmailmon.EXE
      kavstart.EXE
      KAVPFW.EXE
      Runiep.EXE
      GuardField.EXE
      GFUpd.EXE
      rfwmain.EXE
      RavStub.EXE
      rfwstub.EXE
      rfwProxy.EXE
      rfwsrv.EXE
      msconfig.EXE
      SREngLdr.EXE
      ArSwp.EXE

      Таким образом, блокируется запуск перечисленных процессов.

    • Изменяет значение ключа системного реестра:
    • [HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/Showall]
      "CheckedValue" = "0"

      Это приводит к отключению отображения скрытых файлов и папок.

    • Удаляет ключи системного реестра:
    • [HKLM/System/CurrentControlSet/Control/SafeBoot/Minimal]
      "{4D36E967-E325-11CE-BFC1-08002BE10318}"

      [HKLM/System/CurrentControlSet/Control/SafeBoot/Network]
      "{4D36E967-E325-11CE-BFC1-08002BE10318}"

    • Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют подстроки:
    • NOD32
      Process
      Mcafee
      Firewall
      virus
      anti
      worm
      SREng

      то окно будет закрыто.

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. При помощи Диспетчера задач завершить троянский процесс.
    2. При помощи Диспетчера задач завершить процесс "IEXPLORE.EXE".
    3. Удалить ключи системного реестра:
    4. [HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
      "explorer" = "%System%/wuauclt.exe"

      [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Application name]
      "debugger" = "%System%/dllcache/wuauclt.exe"

    5. Восстановить исходное значение ключа системного реестра:
    6. [HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/Showall]
      "CheckedValue" = "0"

    7. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    8. Удалить файлы:
    9. %System%/wuauclt.exe
      %System%/dllcache/wuauclt.exe
      имя зараженного раздела:/GLXB.PIF
      имя зараженного раздела:/AUTORUN.INF
      %ALLUSERSPROFILE%/me.pif
      %ALLUSERSPROFILE%/1.pif
      %ALLUSERSPROFILE%/2.pif
      %ALLUSERSPROFILE%/3.pif
      %ALLUSERSPROFILE%/4.pif
      %ALLUSERSPROFILE%/5.pif
      %ALLUSERSPROFILE%/6.pif
      %ALLUSERSPROFILE%/7.pif
      %ALLUSERSPROFILE%/8.pif
      %ALLUSERSPROFILE%/9.pif
      %ALLUSERSPROFILE%/10.pif

    10. Установить актуальную системную дату.
    11. Очистить каталог Temporary Internet Files.
    12. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

    Источник: securelist.com.

       Новости
    17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

    Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

    Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

    17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

    Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

    11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

    Вредонос получает права администратора, деактивировать которые невозможно.

    11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

    Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

    03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

    Windows не предоставляет графический интерфейс для просмотра полного списка.

    03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

    Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

    Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

    24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

    Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

    Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

    24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

    В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

    Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

    18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

    На данный момент только компания AT&T прекратила использование супер cookie-файлов.

    По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

    18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

    ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

    Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

     

     

         
    Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
    Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru