Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
29 декабря 2011 | Worm.Win32.Zombaque.bj

Технические детали

Вредоносная программа, распространяющая себя в компьютерных сетях. Является приложением Windows (PE-EXE файл). Имеет размер 376832 байта. Упакована при помощи UPX. Распакованный размер — около 701 КБ. Написана на C++.

Инсталляция

Червь выполняет свою инсталляцию, создание службы или удаление созданной службы, в зависимости от параметра, с которым был запущен:

  • Запуск червя как службы с именем "ipz":

    • --service
    /s

  • Удаление службы червя:

    • --remove
    /r

  • Инсталляция червя:

    • --install
    /i

    Деструктивная активность

    При создании своей службы с именем:

    Intelligent p2p zombie

    в ключ реестра добавляет следующую информация, позволяющую вредоносу запускаться на исполнение при каждом следующем старте операционной системы:

    [HKLM/System/CurrentControlSet/Services/ipz]
    "DisplayName" = "Intelligent p2p zombie"
    "ImagePath" = "путь к файлу червя --service"
    "Start" = "2"

    Создает файл-флаг в каталоге, из которого был запущен червь:

    %CurrentDir%/ipz-db.bin

    Данный файл имеет размер 4520 байт и не является вредоносным.

    Распространение

    Для распространения использует популярную программу "Radmin", используемую для удалённого администрирования. Червь отправляет ICMP пакеты на IP-адреса подсети, в которой находится зараженный компьютер, и сканирует порт используемый программой "Radmin". Открытый порт сигнализирует, что на данном компьютере запущена "Radmin", после этого червь осуществляет подбор пароля к компьютеру жертвы по нижеприведенному словарю.

    Имя пользователя:

    1
    admin
    q
    123
    111111
    123456
    Admin
    administrator
    Administrator
    user
    User
    billgates
    a
    microsoft
    radmin
    internet
    host
    computer
    skynet
    login

    Пароль:

    1
    q
    a
    123
    1234
    123456
    12345678
    123456789
    123123
    12341234
    12121212
    121212
    password
    87654321
    secret
    radmin
    monkey
    qqqqqq
    qqqqqqqq
    111111
    11111111
    aaaaaa
    aaaaaaaa
    qwerty
    654321
    0987654321
    america
    windows
    microsoft
    machine
    minigun
    lucifer
    1234567890
    warcraft
    overmind
    enigma
    elephant
    qazwsx
    qazwsxedc
    topsecret
    doomsday
    fuckyou
    qweasd
    qweasdzxc
    bender
    american
    internet
    1q2w3e
    1q2w3e4r
    1q2w3e4r5t
    starcraft
    qwertyui
    qwertyuiop
    metall
    washington
    people
    asdfghjk
    asdfghjkl
    ignore
    gothic
    horizon
    skynet
    anchorite
    godzilla
    aeroplane
    boeing
    emokid
    atomic
    nuclear
    reactor
    emoboy
    google
    youtube
    mozilla
    wireless
    missile
    warhammer
    sunlight
    children
    guitar
    atmosphere
    prototype
    evangellion
    kamikaze
    youandme
    freedom
    zeitgeist
    hardcore
    unknown
    secure
    rocketman
    jetpack
    fighter
    superman
    battle
    pilotage
    aerodynamics
    disable
    enable
    solder
    shcool
    folder
    happy
    happiness
    aerial
    receiver
    transmitter
    tranciever
    microchip
    atmel
    xlinx
    altera
    income
    incoming
    supply
    imageboard
    predator
    propeller
    alien
    sattelite
    archer
    thieft
    stinger
    nigger
    thunderbird
    hiroshima
    israel
    scientology
    brentcorrigan
    insane
    pretty
    nekoboy
    shadow
    latitude
    longtitude
    altitude
    copyright
    copyleft
    deltaplane
    helicopter
    creative
    creator
    hippie
    hitler
    stalin
    kremlin
    whitehouse
    revolution
    war
    grinder
    bullshit
    emperor
    deathstar
    darthvader
    burning
    hell
    deathcore
    processor
    memory
    keyboard
    mouse
    cdrom
    harddisk
    display
    speaker
    annihilation
    destroy
    elimination
    domination
    router
    motorbike
    negative
    positive
    fallout
    kiss
    music
    forward
    backward
    tolerance
    callofduty
    rastaman
    smoking
    lineage2
    coolface
    trollface
    utorrent
    cannon
    satan
    jesus
    thread
    username
    desu
    billgates
    brutal
    terminator
    police
    europe
    ubuntu
    debian
    samael
    skywalker
    oracle
    suxxxx
    lurkmore

    При удачном подборе логина червь копирует себя в системный каталог с именем "ipz.exe":

    %System%/ipz.exe

    После успешного копирования запускает данный файл на исполнение. Также червь использует 310 порт, для передачи данных между зараженными компьютерами.

    Интенсивная работа червя с сетью приводит к затруднениям доступа к сетевым ресурсам зараженной сети при наличии большого количества зараженных пользователей.

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. Отключить компьютер от сети.

    2. Остановить службу с именем "ipz" следующей командой в командной строке:

      3. net stop ipz

    3. Удалить файл:

      4. %System%/ipz.exe

    4. Удалить ключ системного реестра:

      5. [HKLM/System/CurrentControlSet/Services/ipz]

    5. Очистить каталог Temporary Internet Files.

    6. Изменить пароль к программе "Radmin" на более криптостойкий.

    7. Подключить компьютер к сети.

    8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

    Источник: securelist.com.
       Новости
    17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

    Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

    Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

    17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

    Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

    11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

    Вредонос получает права администратора, деактивировать которые невозможно.

    11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

    Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

    03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

    Windows не предоставляет графический интерфейс для просмотра полного списка.

    03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

    Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

    Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

    24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

    Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

    Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

    24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

    В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

    Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

    18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

    На данный момент только компания AT&T прекратила использование супер cookie-файлов.

    По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

    18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

    ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

    Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

     

     
         
    Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
    Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru