Показано с 1 по 2 из 2.

Trojan-Downloader.Win32.Zanoza.f

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538

    Trojan-Downloader.Win32.Zanoza.f

    Распространяется через письма по e-mail, вроде:
    Привет, посмотри мои фотки!
    По ссылке идет загрузка файла realfoto.exe - мой образец Trojan-Downloader.Win32.Zanoza.f (2617 байт, написан на C++, упакован FSG).
    Пользователь вручную сохраняет файл, запускает, открывается сайт одной из службы знакомств.
    Но параллельно, незаметно для пользователя, устанавливается соединение с yvon-publicidad.com и даунлоудер устанавливает новые файлы: в папку с realfoto.exe добавляются chkdsk1.exe, chkdsk2.exe, chkdsk3.exe, которые устанавливаются в систему:
    - устанавливается magent.exe [бывший chkdsk3.exe = Email-Worm.Win32.Bagle, 32678 байт, не упакован, написан на C++] в папку %System32%, прописывается в
    Код:
    HKEY_USERS\%Profile%\Software\Microsoft\Windows\CurrentVersion\Run1\
    - устанавливается svchost.exe в папку %Windir% [бывший chkdsk2.exe - Trojan-Proxy.Win32.Daemonize, 44032 байта, не упакован, написан на C++], прописывается в
    Код:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run0\
    - в %System32% прописывается и mswapi.dll [бывший chkdsk1.exe - Trojan-Spy.Win32.Iespy, написан на C++, упакован FSG, 7216 байт], сохраняется как
    Код:
    BHO e3a729da-eabc-df50-1842-dfd682644311
    magent.exe умеется общаться с сетью, умеет отправлять почту, что и делает, рассылая спам с зараженного компьютера.
    svchost.exe создает возможность работать в сети от имени зараженного компьютера.
    mswapi.dll является типичным шпионом, следя за действиями пользователя и транслируя по нужному адресу всю информацию.

    Симптомы:
    1. Возросший сетевой траффик
    2. Возможны зависания компьютера, в редких случаях BSOD

    Сами зловреды на сайте регулярно обновляются, но названия файлов, их поведение и местоположение неизменны
    Последний раз редактировалось AndreyKa; 18.03.2008 в 11:20. Причина: Удалил скрипт по просьбе администрации

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    17.03.2008
    Сообщений
    4
    Вес репутации
    32
    А вот мне пришлось с помощью AVZ, кроме вышеупомянутых, удалить из каталога %System32% еще два: mdmi386.exe и auhook.dll

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 29.04.2012, 06:51
  2. Ответов: 8
    Последнее сообщение: 25.01.2011, 17:10
  3. Ответов: 10
    Последнее сообщение: 06.10.2010, 23:31
  4. Ответов: 3
    Последнее сообщение: 18.07.2010, 01:09
  5. Ответов: 3
    Последнее сообщение: 12.06.2009, 23:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00245 seconds with 19 queries