Актуальные зловреды

[Techno]

Алиасы(Trojan.Win32.ShipUp.bnl):
PSW.Generic10.CGJJ (AVG)
Win32bot-QQQ [Trj] (Avast)
Trojan.Generic.KDV.895853 (BitDefender)
Trojan.BrowseBan.515 (DrWeb)
Trojan.Win32.ShipUp.AMN (A) (Emsisoft)
a variant of Win32/Kryptik.AWQH (NOD32)
Backdoor:Win32/Ursap!rts (Microsoft)
https://www.virustotal.com/ru/file/d...is/1363983700/

Встречен в темах:
https://virusinfo.info/showthread.php?t=135590
https://virusinfo.info/showthread.php?t=135320
https://virusinfo.info/showthread.php?t=135564
https://virusinfo.info/showthread.php?t=135548
https://virusinfo.info/showthread.php?t=135242


Описание:
Файлы на диске:
%Application Data%\Mozilla\<random>.exe
или
%programm_files%\Mozilla\<random>.exe

%Application Data%\Mozilla\<random>.dll
или
%programm_files%\Mozilla\<random>.dll


Каталоги на диске:
%Application Data%\Mozilla***
или
%programm_files%\Mozilla

Способ запуска:
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %Application Data%\Mozilla\<random>.dll
или
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %programm_files%\Mozilla\<random>.dll

Создает задание %windir%\tasks\<random.job>, которое при каждой загрузке компьютера запускает файл %Application Data%\Mozilla\<random>.exe или %programm_files%\Mozilla\<random>.exe с каким то параметром (например, %Application Data%\Mozilla\oqdbitd.exe -nehikwj)

Это задание дропает вредоносную библиотеку и прописывает её в AppInit_DLLs.

***Если в системе установлен браузер Firefox, то удалять папку %AppData%\mozilla целиком не стоит, в ней хранятся настройки браузера.

[Techno]

Ошибся, папка всегда имеет путь %ALLUSERSPROFILE%\Mozilla.

Просто на xp это папка C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla(C:\Documents and Settings\All Users\Application Data\Mozilla), а на семерке C:\PROGRA~3\Mozilla(c:\ProgramData\Mozilla)

[Techno]

Алиасы(not-a-virus:RiskTool.Win32.BitCoinMiner.bzj):
Win32:Malware-gen (Avast)
Trojan.Generic.KDV.760200 (BitDefender)
Trojan.BtcMine.66 (DrWeb)
Trojan.Generic.KDV.760200 (B) (Emsisoft)
a variant of Win32/BitCoinMiner.H (NOD32)

https://www.virustotal.com/ru/file/0...is/1364375988/

Встречен в темах:
https://virusinfo.info/showthread.php?t=135882
https://virusinfo.info/showthread.php?t=135816
https://virusinfo.info/showthread.php?t=135816

Подробнее:

Файлы на диске:
%ProgramFiles%\Mesa_3d\gal_st1.dll
%ProgramFiles%\Mesa_3d\arcus.rar (запароленный архив с файлами, отмеченными синим цветом)
%appdata%\tor\cached-certs
%appdata%\tor\cached-consensus
%appdata%\tor\cached-descriptors
%appdata%\tor\cached-descriptors.new
%appdata%\tor\lock
%appdata%\tor\state
%tmp%\gallium3d.exe
%tmp%\libeay32.dll
%tmp%\libgcc_s_dw2-1.dll
%tmp%\mingwm10.dll
%tmp%\msvdn.exe (kaspersky: not-a-virus:NetTool.Win32.Tor.d)
%tmp%\nvcuda.dll
%tmp%\opencl.dll
%tmp%\Perflib_Perfdata_744.dat
%tmp%\ssleay32.dll
%tmp%\svchost.exe
%tmp%\torrc


Каталоги на диске:
%appdata%\tor
%ProgramFiles%\Mesa_3d

Способ запуска:
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %ProgramFiles%\Mesa_3d\gal_st1.dll

Сетевая активность:

Код:

%tmp%\msvdn.exe Connects to "109.105.109.162" on port 60784 (TCP).
%tmp%\msvdn.exe Connects to "185.5.173.185" on port 9001 (TCP).
%tmp%\msvdn.exe Connects to "84.19.178.6" on port 9001 (TCP).
%tmp%\msvdn.exe Connects to "85.17.122.79" on port 443 (TCP - HTTPS).

Описание:
Файл %ProgramFiles%\Mesa_3d\gal_st1.dll распаковывает архив* %ProgramFiles%\Mesa_3d\arcus.rar в папку %tmp% и запускает файл %tmp%\gallium3d.exe
Файл %tmp%\gallium3d.exe создает процессы:

Код:

"%tmp%\msvdn.exe"  -f torrc
%tmp%\svchost.exe

Из всех файлов нормально детектится антивирусами только %tmp%\svchost.exe

*предположительно, дроппер библиотеки gal_st1.dll, также копирует в систему легитимную библиотеку unrar.dll, которая нужна для распаковки архива arcus.rar.