-
Trojan-Proxy.Win32.Agent.xo
Алиасы
Agent.NHU (AVG)
Backdoor:WinNT/Nuwar.D!sys (Microsoft)
Proxy.Agent.xo (Ewido)
TR/Proxy.Agent.XO (AntiVir)
Trj/Spammer.AFM (Panda)
Troj/Tibs-TX (Sophos)
Trojan.Peed.IUO (BitDefender)
Trojan.Proxy-2401 (ClamAV)
Trojan.Spambot.2887 (DrWeb)
Trojan.Win32.Undef.cft (Rising)
Trojan/Proxy.Agent.xo (TheHacker)
TrojanProxy.Agent.xo (CAT-QuickHeal)
W32/Agent.XO!tr (Fortinet)
W32/Tibs.BIGD (Norman)
Win32/TrojanProxy.Agent.XH (NOD32v2)
Описание
Работает в паре с вредоносным файлом taskmon.exe
Отключает антивирусы.
Встречен в темах
http://virusinfo.info/showthread.php?t=17587
http://virusinfo.info/showthread.php?t=17830
http://virusinfo.info/showthread.php?t=18026
http://virusinfo.info/showthread.php?t=19417
Файлы на диске
C:\WINDOWS\system32\taskmon.sys
18368 байт
Способ запуска
Драйвер: taskmon.sys
Последний раз редактировалось AndreyKa; 12.03.2008 в 23:39.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Trojan.Win32.Agent.asu
Алиасы
Generic5.NVS (AVG)
Hacktool.Rootkit (Symantec)
NTRootKit-J (McAfee)
Rootkit/Agysteo.Q (Panda)
TR/Agent.asu.1 (AntiVir)
Troj/NtRootK-CA (Sophos)
Trojan.Agent-7047 (ClamAV)
Trojan.Agent.ABGK (BitDefender)
Trojan.Agent.asu (Ewido)
Trojan.NtRootKit.312 (DrWeb)
TROJAN.ROOTKIT.L (Prevx1)
Trojan.Win32.Agent.tsn (Rising)
Trojan/Agent.asu (TheHacker)
VirTool:WinNT/Smallrk.F (Microsoft)
W32/Agent.ASU!tr (Fortinet)
W32/Agent.BXAD (Norman)
W32/Trojan.BKOF (F-Prot)
Win-Trojan/Rootkit.7923 (AhnLab-V3)
Win32:Agent-KDC (Avast)
Win32.Agent.asu (eSafe)
Win32/Fledib.A (eTrust-Vet)
Win32/Rootkit.Agent.NCR (NOD32v2)
Описание
Функционирует как модуль пространства ядра.
Перехватывает Функции ядра. Используется другими вредоносными программами для сокрытия своего присутствия в системе.
Встречен в темах
http://virusinfo.info/showthread.php?t=16768
http://virusinfo.info/showthread.php?t=17755
http://virusinfo.info/showthread.php?t=18009
http://virusinfo.info/showthread.php?t=19212
Файлы на диске
C:\WINDOWS\system32\DefLib.sys
7923 байт.
Последний раз редактировалось AndreyKa; 10.03.2008 в 15:51.
-
-
Trojan-Downloader.Win32.Winlagons.a
Алиасы
a variant of Win32/TrojanDownloader.Tiny.NJ (NOD32v2)
Downloader.Generic6.AIIC (AVG)
Trj/Downloader.SOQ (Panda)
Trojan-Downloader.Small.AAJM (Sunbelt)
Trojan.DownLoader.47222 (DrWeb)
Trojan.Downloader.Small.AAJM (BitDefender)
Trojan/Downloader.Small.gen (TheHacker)
TrojanDownloader:Win32/Tipikit.B (Microsoft)
TrojanDownloader.Winlagons.a (CAT-QuickHeal)
Win-Trojan/Downloader.6144.ND (AhnLab-V3)
Описание
При запуске создает и запускает службу "Google Online Search Service" для копии своего файла.
Прописывает также службу в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 для предотвращения своего удаления выбором последней удачной конфигурации при запуске Windows.
Скачивает с домена bulletproofstuff.com файл с ссылками на вредоносные файлы. На данный момент по этим ссылкам (сайты 58.65.239.42 и 0ci.ru) находятся:
Trojan-Proxy.Win32.Xorpix.cu
Trojan-Proxy.Win32.Saturn.al
Trojan-Downloader.Win32.Small.cib
Email-Worm.Win32.Zhelatin.vg
Trojan.Win32.Small.afy
Trojan-Downloader.Win32.Agent.jea
AdWare.Win32.BHO.aaw
Встречен в темах
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=17999
http://virusinfo.info/showthread.php?t=18014
Файлы на диске
%UserProfile%\ie_updates3r.exe
c:\windows\system32\winlagons.exe
6144 байт
Способ запуска
Служба: Google Online Search Service
Описание: Google Online Search Service
C:\WINDOWS\system32\winlagons.exe
Последний раз редактировалось AndreyKa; 17.02.2008 в 11:26.
-
-
Trojan.Win32.Agent.eub
Алиасы
Downloader.Generic_c.ML (AVG)
TR/Agent.eub.1 (AntiVir)
Trj/Agent.IAB (Panda)
Troj/Agent-GPK (Sophos)
Trojan.Agent.AGVF (BitDefender)
Trojan.Agent.eub.1 (Webwasher-Gateway)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.46414 (DrWeb)
Trojan/Agent.eub (TheHacker)
W32/Agent.EGFQ (Norman)
W32/Agent.EUB!tr (Fortinet)
Встречен в темах
http://virusinfo.info/showthread.php?t=17853
http://virusinfo.info/showthread.php?t=17882
http://virusinfo.info/showthread.php?t=18014
http://virusinfo.info/showthread.php?t=18064
http://virusinfo.info/showthread.php?t=18174
http://virusinfo.info/showthread.php?t=18832
http://virusinfo.info/showthread.php?t=19295
Файлы на диске
C:\WINDOWS\system32\LogCrypt.dll
8704 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt,
DLLName LogCrypt.dll
Последний раз редактировалось AndreyKa; 10.03.2008 в 17:45.
-
-
Trojan.Win32.Agent.fdn, Trojan-Dropper.Win32.Agent.elj и Trojan.Win32.Buzus.lj
Алиасы
TR/Agent.fdn (AntiVir)
Trojan.Agent.fdn (CAT-QuickHeal)
Trojan.Small-5027 (ClamAV)
Trojan.Spambot.2384 (DrWeb)
W32/Agent.FDN!tr (Fortinet)
Win32/TrojanProxy.Small.NAR (NOD32v2)
Дополнительные алиасы для Trojan-Dropper.Win32.Agent.elj
TR/Drop.Agent.elj (AntiVir)
Trojan.Drop.Agent.elj (Webwasher-Gateway)
Trojan.Dropper.Rootkit.NBR (BitDefender)
Trojan/Dropper.Agent.elj (TheHacker)
TrojanDropper.Agent.elj (CAT-QuickHeal)
W32/Agent.ELJ!tr (Fortinet)
Дополнительные алиасы для Trojan.Win32.Buzus.lj
LdPinch.STT (Norman)
Trojan.Agent-11935 (ClamAV)
Trojan.Agent.dvf (CAT-QuickHeal)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Packed.147 (DrWeb)
Trojan.PSW.LdPinch.AKX (BitDefender)
Trojan.Win32.Agent.dvf (VBA32)
Trojan/Agent.dvf (TheHacker)
W32/Agent.DVF!tr (Fortinet)
Win-Trojan/Buzus.42496 (AhnLab-V3)
Описание
Имеет возможности отправки email по протоколу SMTP.
Внедряет програмный код в процесс explorer.exe
Устанавливает в систему вредоносный драйвер режима ядра (Trojan.Win32.Agent.asu)
Trojan.Win32.Agent.fdn встречен в темах
http://virusinfo.info/showthread.php?t=17817
http://virusinfo.info/showthread.php?t=17865
http://virusinfo.info/showthread.php?t=18034
Trojan-Dropper.Win32.Agent.elj:
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=18014
http://virusinfo.info/showthread.php?t=18074
Trojan.Win32.Buzus.lj:
http://virusinfo.info/showthread.php?t=16358
http://virusinfo.info/showthread.php?t=17164
http://virusinfo.info/showthread.php?t=18172
Trojan-Proxy.Win32.Agent.xp:
Алиасы
Backdoor.Win32.Small.lu (Sunbelt)
Generic9.AULI (AVG)
NTRootKit-J (McAfee)
Proxy.Agent.xp (Ewido)
Trojan.Packed.147 (DrWeb)
Trojan.Proxy-2376 (ClamAV)
Trojan/Proxy.Agent.xp (TheHacker)
TrojanProxy.Agent.xp (CAT-QuickHeal)
Virus:Win32/Grum.E (Microsoft)
W32/Agent.ECZC (Norman)
Win-Trojan/OnlineGameHack.35840.E (AhnLab-V3)
Win32:Agent-SMZ (Avast)
Win32.Agent.xp (eSafe)
Встречен в темах
http://virusinfo.info/showthread.php?t=17220
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=18694
Файлы на диске
%UserProfile%\Local Settings\Temp\winlogon.exe
39424 байт или 42496 байт для Trojan.Win32.Buzus.lj
Может распологатся в другом месте, там куда указывает переменная %Temp%
Создает файл:
C:\Windows\System32\DefLib.sys - детектируется как Trojan.Win32.Agent.asu
Способ запуска
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup
Последний раз редактировалось AndreyKa; 27.02.2008 в 22:30.
-
-
Worm.Win32.AutoRun.cmc, Trojan-PSW.Win32.OnLineGames.rbj и Worm.Win32.AutoRun.cpq
Алиасы
PWS-LegMir.gen.k (McAfee)
PWS:Win32/OnLineGames.CSE (Microsoft)
Trojan.Autorun-193 (ClamAV)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.BPK (Norman)
W32/AutoRun.cmc (TheHacker)
W32/Lineage.HLY.worm (Panda)
Win32/Frethog.AKM (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
Встречен в темах
http://virusinfo.info/showthread.php?t=17164
http://virusinfo.info/showthread.php?t=17920
http://virusinfo.info/showthread.php?t=18057
http://virusinfo.info/showthread.php?t=18081
http://virusinfo.info/showthread.php?t=19149
Файлы на диске
C:\0hct8ybw.bat
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
%Temp%\i2ir.dll
autorun.inf и 0hct8ybw.bat - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Отличия Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Trojan-PSW.Win32.OnLineGames.rbj
Trj/Lineage.HMG (Panda)
Trojan/PSW.OnLineGames.rbj (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GJA (Norman)
Win32/Frethog.AKR (eTrust-Vet)
amvo0.dll
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rbj (CAT-QuickHeal)
W32.Gammima.AG (Symantec)
W32/OnLineGames.AKLI (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18057
http://virusinfo.info/showthread.php?t=18102
http://virusinfo.info/showthread.php?t=18157
Файлы на диске
C:\x.com
%Temp%\dsr8q.dll
autorun.inf детектируется как Worm.Win32.AutoRun.cnw
Отличия Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Worm.Win32.AutoRun.cpq
Mal/EncPk-CE (Sophos)
Trojan.Lineage.Gen!Pac.3 (VirusBuster)
Trojan.PSW.Win32.GamesOnline.nm (Rising)
W32/NSAnti.GNC (Norman)
Worm/Generic.FYT (AVG)
amvo0.dll
Trojan.PWS.Wsgame.3434 (DrWeb)
W32/NSAnti.GNE (Norman)
Win32/PSW.OnLineGames.NMP (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=18321
http://virusinfo.info/showthread.php?t=18438
Файлы на диске
C:\gumkrhf.bat
%Temp%\l4rq2a7.dll
Trojan-PSW.Win32.OnLineGames.rmm
Встречен в темах
http://virusinfo.info/showthread.php?t=18321
http://virusinfo.info/showthread.php?t=18384
http://virusinfo.info/showthread.php?t=18449
Файлы на диске
C:\oufddh.exe
Trojan-PSW.Win32.OnLineGames.qip
Встречен в темах
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=18439
Файлы на диске
C:\h.cmd
Trojan-PSW.Win32.OnLineGames.rpy
Встречен в темах
http://virusinfo.info/showthread.php?t=18504
http://virusinfo.info/showthread.php?t=18514
http://virusinfo.info/showthread.php?t=18516
http://virusinfo.info/showthread.php?t=18646
Файлы на диске
C:\oufddh.exe
Последний раз редактировалось AndreyKa; 09.03.2008 в 17:21.
-
-
Trojan-Downloader.Win32.Small.ilt
Алиасы
Backdoor.SDBot.DFCV (BitDefender)
Lop.BG (Prevx1)
Trojan.DownLoader.38518 (DrWeb)
TrojanDownloader.Small.ilt (CAT-QuickHeal)
Встречен в темах
http://virusinfo.info/showthread.php?t=18156
http://virusinfo.info/showthread.php?t=18234
http://virusinfo.info/showthread.php?t=18294
http://virusinfo.info/showthread.php?t=18445
http://virusinfo.info/showthread.php?t=18473
http://virusinfo.info/showthread.php?t=19174
Файлы на диске
C:\WINDOWS\system32\sysfldr.dll
14336 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
sysfldr.dll
Последний раз редактировалось AndreyKa; 10.03.2008 в 15:59.
-
-
Trojan-Downloader.Win32.Agent.jgt
Алиасы
Bck/Spambot.G (Panda)
Generic9.AZND (AVG)
TR/Dldr.Agent.jgt (AntiVir)
Trojan.Agent.6144.156 (Webwasher-Gateway)
Trojan.DownLoader.38520 (DrWeb)
Trojan/Downloader.Agent.jgt (TheHacker)
TrojanDownloader.Agent.jgt (CAT-QuickHeal)
W32/Malware.CCAM (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=18262
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18483
http://virusinfo.info/showthread.php?t=19545
Файлы на диске
exe файл в временной папке, имя начинается с win и заканчивается несколькими случайными латинскими буквами. Например:
C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe
Способ запуска
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
"Explorer.exe "C:\DOCUME~1\user\LOCALS~1\Temp\win????.exe""
Последний раз редактировалось AndreyKa; 15.03.2008 в 13:02.
-
-
Trojan-Downloader.Win32.Diehard.dr
Алиасы
BackDoor.Generic9.EFP (AVG)
Rkit/Agent.DQ.31.A (AntiVir)
Rootkit.Agent.DQ.31.A (Webwasher-Gateway)
Rootkit.Agent.DQ.A (Sunbelt)
Rootkit.Agent.pr (Ewido)
Rootkit.Pandex.Gen.2 (VirusBuster)
Rootkit.Win32.Agent.pr (VBA32)
Rootkit/Agent.HML (Panda)
Troj/Agent-GIS (Sophos)
Trojan.Kobcka.BE (BitDefender)
Trojan.NtRootKit.497 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-286 (ClamAV)
Trojan.Win32.Undef.cz (Rising)
Trojan/Agent.pr (TheHacker)
VirTool:WinNT/Cutwail.C (Microsoft)
W32/Pushu.PR!tr (Fortinet)
W32/Smalltroj.CDMZ (Norman)
Win-Trojan/Rootkit.7680.F (AhnLab-V3)
Win32:Agent-NJB (Avast)
Win32/Cutwail!generic (eTrust-Vet)
Win32/Rootkit.Agent.DP (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16089
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=18506
http://virusinfo.info/showthread.php?t=18694
http://virusinfo.info/showthread.php?t=18937
http://virusinfo.info/showthread.php?t=19580
Файлы на диске
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.
Способ запуска
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
Последний раз редактировалось AndreyKa; 15.03.2008 в 19:26.
-
-
Rootkit.Win32.Agent.vn
Алиасы
BackDoor.Generic9.OBZ (AVG)
Generic.dx (McAfee)
Infostealer.Ldpinch.C (Symantec)
Rkit/Agent.VN (AntiVir)
Rootkit.Agent.vn (Ewido)
Trojan.NtRootKit.815 (DrWeb)
Trojan/Agent.vn (TheHacker)
VirTool:WinNT/Chksyn.A (Microsoft)
W32/Agent.VN!tr.rkit (Fortinet)
W32/Rootkit.CQB (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=17885
http://virusinfo.info/showthread.php?t=18538
http://virusinfo.info/showthread.php?t=18609
Файлы на диске
C:\Program Files\Common Files\System\winmgt32k.dll
и
C:\Program Files\Common Files\System\sysvideo32.dll
2816 байт
Способ запуска
Драйвер с именем как у файла: winmgt32k или sysvideo32
Функционирует как модуль пространства ядра.
Примечание
Детектируется AVZ, но при сканировании со стандартными настройками не удаляется:
3. Сканирование дисков
C:\Program Files\Common Files\System\sysvideo32.dll >>>>> Rootkit.Win32.Agent.vn удаление запрещено настройкой
Последний раз редактировалось AndreyKa; 25.02.2008 в 20:43.
-
-
Сообщение от
AndreyKa
Trojan-Downloader.Win32.Diehard.dr
....
Файлы на диске
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.
Способ запуска
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
Данные из моей базы: такой подменненный файл может также детектироваться как Rootkit.Win32.Agent.pr, Rootkit.Win32.Agent.dp, Trojan-Downloader.Win32.Agent.acl.
-
-
Trojan-Spy.Win32.Goldun.wp и Rootkit.Win32.Agent.abc
Описание
Ворует логины и пароли.
Trojan-Spy.Win32.Goldun.wp содержит список доменов с антивирусных компаний (видимо для блокирования обновлений антивирусов).
Rootkit.Win32.Agent.abc содержит строку avz.exe, то есть пытается противодействовать лечению с помощью этой утилиты.
Встречены в темах
http://virusinfo.info/showthread.php?t=18297
http://virusinfo.info/showthread.php?t=18340
http://virusinfo.info/showthread.php?t=18672
Алиасы Trojan-Spy.Win32.Goldun.wp
Generic.Malware.SFYdlwdld.08A1552D (BitDefender)
Generic9.BCLQ (AVG)
Logger.Goldun.wp (Ewido)
TR/Agent.22441 (AntiVir)
Trj/ProxyServer.BA (Panda)
Trojan.Agent.22441 (Webwasher-Gateway)
Trojan.PWS.GoldSpy (DrWeb)
Trojan/Spy.Goldun.wp (TheHacker)
TrojanSpy:Win32/Goldun.gen!dll (Microsoft)
TrojanSpy.Goldun.wp (CAT-QuickHeal)
Win-Trojan/Goldun.22441 (AhnLab-V3)
Win32/Spy.Goldun.WP (NOD32v2)
Файлы на диске
C:\WINDOWS\system32\alcomt.dll
22441 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\alcomt, DLLName
Алиасы Rootkit.Win32.Agent.abc
BackDoor.Generic9.UNZ (AVG)
Rootkit.Agent.abc (CAT-QuickHeal)
Trj/ProxyServer.BA (Panda)
Trojan/Agent.abc (TheHacker)
VirTool:WinNT/HideDrv.gen!A (Microsoft)
W32/Goldun.gen3 (F-Prot)
W32/Rootkit.DJX (Norman)
Win32/Spy.Goldun.WP (NOD32v2)
Файлы на диске
C:\WINDOWS\system32\alcom.sys
8416 байт
Способ запуска
Драйвер: alcom
Описание: ALcom server
C:\WINDOWS\system32\alcom.sys
Внешние проявления (со слов пользователей)
В нормальном режиме антивирусы не запускаются.
В нормальном режиме не виден сам avz.exe.
-
-
Trojan.Win32.Pakes.cdw
Алиасы
BZub.ARU (Norman)
Downloader.Delf.12.AK (AVG)
TR/BHO.agz.9 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan-Spy.Bzub.NGP (Sunbelt)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.BHO-1189 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32: Pakes-AKM (Avast)
Win32/BHO.AGZ (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18332
http://virusinfo.info/showthread.php?t=18438
http://virusinfo.info/showthread.php?t=18773
http://virusinfo.info/showthread.php?t=19073
http://virusinfo.info/showthread.php?t=19298
Файлы на диске
dll файл в системной папке с различными именами, например:
c:\windows\system32\iassvc.dll
c:\windows\system32\adsld.dll
C:\WINDOWS\system32\asycfil.dll
C:\WINDOWS\system32\appmg.dll
Способ запуска
BHO, CLSID случайный.
Последний раз редактировалось AndreyKa; 22.03.2008 в 11:02.
-
-
Backdoor.Win32.Agent.eqw и Rootkit.Win32.Agent.abo
Алиасы
Backdoor.Agent.eqw (CAT-QuickHeal)
BackDoor.Agent.QTQ (AVG)
Generic BackDoor.t (McAfee)
Generic.Malware.SFYdlwdld.800CFBB7 (BitDefender)
TR/Agent.22447 (AntiVir)
Trojan.PWS.GoldSpy (DrWeb)
W32/Agent.EIZE (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=18530
http://virusinfo.info/showthread.php?t=18779
http://virusinfo.info/showthread.php?t=18867
http://virusinfo.info/showthread.php?t=19022
http://virusinfo.info/showthread.php?t=19407
Файлы на диске
C:\WINDOWS\system32\mplink.dll
22447 байт
Создает папку install_temp_318
Устанавливает в систему драйвер fprot.sys - Rootkit.Win32.Agent.abo
Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mplink, DLLName
mplink.dll
2. Драйвер fprot
C:\WINDOWS\system32\fprot.sys
Описание: FT StarForce Protector
Внешние проявления (со слов пользователей)
Когда запускаешь любой .EXE или .RAR файл создается папка install_temp_318 в этой дериктории откуда запускается файл.
При распаковке AVZ, в папке куда распаковывал в норм режиме нету exe файла, в безопасном есть.
Последний раз редактировалось AndreyKa; 12.03.2008 в 21:54.
-
-
Virus.Win32.Sality.s
Алиасы
Email-Worm.Win32.Warezov.et (Sunbelt)
I-Worm.Warezov.et (CAT-QuickHeal)
I-Worm/Stration.BOC (AVG)
W32.HLLP.Sality (Symantec)
W32/Sality-AD (Sophos)
W32/Sality.AF (F-Prot)
W32/Sality.dll (McAfee)
W32/Sality.Y (Panda)
W32/Saltiy.S (AntiVir)
W32/Stration.EFZ (Norman)
W32/Stration.ET@mm (Fortinet)
W32/Warezov.et (TheHacker)
Win-Trojan/Sality.40960 (AhnLab-V3)
Win32:KillAV-CP (Avast)
Win32.Sality.m (Rising)
Win32.Sector.28682 (DrWeb)
Win32.Warezov.ET@mm (BitDefender)
Win32/Sality.NAM (NOD32v2)
Win32/Sality.S (eTrust-Vet)
Worm:Win32/Sality.T.dll (Microsoft)
Worm.Stration.XR-1 (ClamAV)
Worm.Warezov.et (Ewido)
Дополнительные алиасы драйвера
Generic3.KXG (AVG)
TR/Drop.Warezov.A.1 (AntiVir)
Trojan.Ipsof (DrWeb)
Trojan/Sality.s (TheHacker)
VirTool:Win32/Rootkit.C (Microsoft)
W32/Rootkit.D!tr (Fortinet)
W32/Sality.W (Norman)
W32/Sality.X.drp (Panda)
Win-Trojan/Sality.5477 (AhnLab-V3)
Win32.Warezov.96 (BitDefender)
Worm.Sality.s (CAT-QuickHeal)
Описание
Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте.
Встречен в темах
http://virusinfo.info/showthread.php?t=17573
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19369
http://virusinfo.info/showthread.php?t=19545
Файлы на диске
Заражает выполняемые файлы. Кроме этого создает свои:
c:\windows\system32\wmdrtc32.dll
40960 байт
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
5477 байт
Способ запуска
1. Через зараженный файл.
2. Драйвер: NdisFileServices32
Описание: NdisFileServices32
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
Внешние проявления (со слов пользователей)
Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован.
Последний раз редактировалось AndreyKa; 15.03.2008 в 13:02.
-
-
Hoax.Win32.Renos.awn
Алиасы
Generic9.BELN (AVG)
Hoax.Renos.awn (CAT-QuickHeal)
Troj/Agent-GQQ (Sophos)
Trojan.Fakealert.438 (DrWeb)
Trojan.FakeAlert.PZ (BitDefender)
Win32/Adware.SpyKillerPro (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18791
http://virusinfo.info/showthread.php?t=18899
http://virusinfo.info/showthread.php?t=18949
http://virusinfo.info/showthread.php?t=18950
http://virusinfo.info/showthread.php?t=19121
Файлы на диске
%Temp%\~~install.dll
13312 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \SharedTaskScheduler,
CLSID: {24E31EA9-FCE2-404F-BD80-20543565D946}
Внешние проявления (со слов пользователей)
Сообщения о том, что компьютер заражен Trojan.SpyAgent.Da
Последний раз редактировалось AndreyKa; 08.03.2008 в 01:13.
-
-
Trojan.Win32.Zapchast.dt
Алиасы
Generic9.APXO (AVG)
TR/Zapchast.DT.1 (AntiVir)
Trj/ZapChast.DO (Panda)
Trojan.Starter.341 (DrWeb)
Trojan.Zachpast-37 (ClamAV)
Trojan/Zapchast.dt (TheHacker)
W32/Zapchast.BEC (Norman)
W32/Zapchast.DT!tr (Fortinet)
W32/Zapchast.K (F-Prot)
Win-Trojan/Zapchast.7168.C (AhnLab-V3)
Встречен в темах
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=18194
http://virusinfo.info/showthread.php?t=18962
http://virusinfo.info/showthread.php?t=19004
Файлы на диске
C:\WINDOWS\System32\windows
файл с именем без расширения 7168 байт
Способ запуска
Служба: MSControlService
Описание: Microsoft cache control
Файл: C:\WINDOWS\System32\windows
Последний раз редактировалось AndreyKa; 06.03.2008 в 21:25.
-
-
Trojan-Downloader.Win32.Agent.kep
Алиасы
Trojan.DownLoader.49451 (DrWeb)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
Встречен в темах
http://virusinfo.info/showthread.php?t=18937
http://virusinfo.info/showthread.php?t=18982
http://virusinfo.info/showthread.php?t=18986
http://virusinfo.info/showthread.php?t=19023
Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
Последний раз редактировалось AndreyKa; 06.03.2008 в 00:30.
-
-
Rootkit.Win32.Agent.px
Алиасы
BackDoor.Generic9.FHC (AVG)
Rootkit.Agent.px (Ewido)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Rootkit-264 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.px (TheHacker)
W32/RKAgen.PX!tr.rkit (Fortinet)
W32/Rootkit.AVX (Norman)
Win-Trojan/RootKit.185344 (AhnLab-V3)
Win32:Srizbi (Avast)
Win32/Rootkit.Agent.HU (NOD32v2)
Описание
Функционирует как драйвер пространства ядра.
Запускается и в безопасном режиме. Успешно маскируется от AVZ - отсутствует в списке установленных драйверов.
Встречен в темах
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=18940
http://virusinfo.info/showthread.php?t=18999
Файлы на диске
Файл с расширением sys и случайным именем из 3-4х латинских букв и двух цифр в папке c:\windows\system32\drivers
Например: c:\windows\system32\drivers\Cprk72.sys
185344 байт
Способ запуска
Драйвер.
Внешние проявления (со слов пользователей)
При подключении к сети через пару минут начинает быстро уходить трафик, в обе стороны, но от меня раза в 2-3 больше.
-
-
Rootkit.Win32.Agent.pq
Алиасы
BackDoor.Generic9.EAP (AVG)
Rootkit.Agent.pq (Ewido)
Rootkit.Win32.Agent. (eSafe)
Spy-Agent.bv.sys (McAfee)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.496 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-256 (ClamAV)
Trojan/Agent.pn (TheHacker)
W32/Agent.PN!tr.rkit (Fortinet)
W32/Rootkit.AIO (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)
Описание
Функционирует как модуль пространства ядра.
Встречается вместе с трояном C:\WINDOWS\Temp\startdrv.exe
Встречен в темах
http://virusinfo.info/showthread.php?t=16270
http://virusinfo.info/showthread.php?t=18506
http://virusinfo.info/showthread.php?t=18706
Файлы на диске
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\drivers\ctl_w32.sys
Способ запуска
Драйвер: runtime2
C:\WINDOWS\system32\drivers\runtime2.sys
драйвер ctl_w32.sys среди установленных не замечен.
-