# Форум на русском языке  > Аналитика  > Монитор VirusInfo  >  Актуальные зловреды

## AndreyKa

Trojan-PSW.Win32.OnLineGames.mze

Здесь и далее во всех заголовках сообщений имя по классификации антивируса Касперского.

*Алиасы*
Packer.Malware.NSAnti.J (BitDefender)
VirTool:Win32/Obfuscator!Mal (Microsoft)
Troj/Lineag-Gen (Sophos)
Infostealer.Gampass (Symantec)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=15971
http://virusinfo.info/showthread.php?t=16675

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
semo2x.exe и autorun.inf  - на всех дисках в корневой папке

*Способ запуска*
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva  
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Cкрытые файлы не показывает и диски при двойном клике открываются в новом окне.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Алиасы*
Trojan.Patched.AU (BitDefender)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15945
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=15929
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16026
http://virusinfo.info/showthread.php?t=16060
http://virusinfo.info/showthread.php?t=16076
http://virusinfo.info/showthread.php?t=16088
http://virusinfo.info/showthread.php?t=16290
http://virusinfo.info/showthread.php?t=17178

*Файлы на диске*
Модифицированный (патченный) системный файл
C:\WINDOWS\system32\svchost.exe
*Этот файл нельзя удалять!!!*
Его нужно заменить на чистый:
1) Записать чистый svchost.exe в папку C:\WINDOWS\system32\dllcache, затерев существующий.
2) Переименовать файл C:\WINDOWS\system32\svchost.exe например в svchost.vir
3) Записать чистый svchost.exe в папку C:\WINDOWS\system32\
4) Перезагрузить компьютер.
Или вылечить антивирусом Касперского.

*Способ запуска*
Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян ( например Trojan.Win32.Small.yd )

*Внешние проявления* (со слов пользователей)
Исходящий траффик в два раза больше входящего.
Если удален файл MSCORE.DLL, то Windows при запуске задумывается на пару минут (индикатор диска при этом не горит) и загружается. Но все службы, связанные с svchost.exe не запускаются, не работает сеть.

----------


## AndreyKa

*Алиасы*
ADSPY/Bitaccel.A (AntiVir)
Adware Generic2.PHX (AVG)
Adware.Generic.9029 (BitDefender)
AdWare.BHO.cc (CAT-QuickHeal) 
Adware.BHO-50 (ClamAV)
Adware.BitAcc (DrWeb)
W32/Adware.YIH (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)
Adware.BHO.PW (VirusBuster)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16551
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16980
http://virusinfo.info/showthread.php?t=17187
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17588

*Файлы на диске*
C:\Program Files\BitAccelerator\BitAccelerator.dll
C:\Program Files\BitAccelerator\BitAccelerator.exe

*Способ запуска*
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO   {92860A02-4D69-48c1-82D7-EF6B2C609502}

----------


## AndreyKa

*Алиасы*
ADSPY/Bho.IC.25 (AntiVir)
Adware Generic2.UFT (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.AAQX (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16048
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16980
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17588
http://virusinfo.info/showthread.php?t=18194

*Файлы на диске*
C:\Program Files\BitAccelerator\BitAccelerator.dll

*Способ запуска*
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}

----------


## AndreyKa

*Алиасы*
ADSPY/Bho.KJ (AntiVir)
Adware Generic2.VJU (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.ZOK (F-Prot)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16048
http://virusinfo.info/showthread.php?t=16050
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16348
http://virusinfo.info/showthread.php?t=16456
http://virusinfo.info/showthread.php?t=16489
http://virusinfo.info/showthread.php?t=16416
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16760
http://virusinfo.info/showthread.php?t=16769
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16865
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17510
http://virusinfo.info/showthread.php?t=17588

*Файлы на диске*
C:\Program Files\ConnectionServices\ConnectionServices.dll

*Способ запуска*
C:\Program Files\ConnectionServices\ConnectionServices.dll BHO   {6D7B211A-88EA-490c-BAB9-3600D8D7C503}

----------


## AndreyKa

*Алиасы*
TR/Killav.NE (AntiVir)
Win32.Sector.4 (DrWeb)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16054
http://virusinfo.info/showthread.php?t=16164
http://virusinfo.info/showthread.php?t=16250
http://virusinfo.info/showthread.php?t=16621
http://virusinfo.info/showthread.php?t=16990
http://virusinfo.info/showthread.php?t=17034

*Файлы на диске*
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll

*Способ запуска*
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)

dll в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши
Источником этого трояна является файловый вирус.
Добавленны процедуры лечения этого вируса в антивирусы Касперского и DrWeb.
DrWeb детектирует зараженный файл как Win32.Sector.4
Антивирус Касперского детектирует зараженный файл как Virus.Win32.Sality.v

*Внешние проявления* (со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.

----------


## AndreyKa

*Алиасы*
Rkit/Agent.SC.1 (AntiVir)
BackDoor.Generic9.JSS (AVG)
W32/Agent.SC!tr.rkit (Fortinet)
VirTool:WinNT/Srizbi.A (Microsoft)
Rootkit/Agent.HOT (Panda)
Trojan/Agent.sc (TheHacker)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16055

*Файлы на диске*
Имя файла случайное, состоит из нескольких букв и цифр. Например:
C:\WINDOWS\system32\drivers\Fhy58.sys
C:\WINDOWS\system32\drivers\Kkt51.sys
C:\WINDOWS\system32\drivers\Qby41.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\Drivers\Cof49.sys
Размер 139.5 КБ

*Способ запуска*
Запускается как модуль пространства ядра. 

*Внешние проявления* 
В списке процессов имеется iexplore.exe с пометкой маскировки процесса (User Mode RootKit).
При попытке лечения в нормальном режиме запуска Windows компьютер зависает с черным экраном.
Лечить следует в безопасном режиме.

----------


## Зайцев Олег

> *Алиасы*
> TR/Killav.NE (AntiVir)
> Trojan.DownLoader.38489 (DrWeb)
> 
> *Встречен в темах*
> http://virusinfo.info/showthread.php?t=16051
> http://virusinfo.info/showthread.php?t=16054
> 
> *Файлы на диске*
> ...


Это довольно злобная зараза. DLL дропает файл драйвера, дропается он в папку WINDOWS\System32\drivers, имя действительно изменяется. Драйвер регистрируется в реестре через штатное API, после регистрации он загружается. В драйвере хранится список имен фрагментов URL сайтов различных AV вендоров, список зашифрован. Задача драйвера - блокировать  доступ к данным сайтам (если туда добавить virusinfo - пострадавший сюда не попадет). В самой DLL здоровенный список (зашифрованный) того, а с чем эта зараза может бороться ... в списке есть все распространенные антивирусы, Firewall и антитрояны, в частности там есть AVZ, AVP, DRWEB ... Борьба с антивирусами идет в два этапа - ведется попытка открытия служб по именам, при успешном открытии идет удаление. Это идет отдельным потоком ... другие потоки сканируют диски на предмет наличия файлов .VDB, .AVC, .KEY, .EXE, .SCR. При обнаружении принадлежащих антивирусам файлов зловред ведет их удаление. Пытается отключить UAC в Vista через реестр ... ведет обмен с сайтом в Инет

----------


## AndreyKa

*Алиасы*
Generic9.AGXO	(AVG)
Trojan.Kobcka.BY	(BitDefender)
Trojan.Downloader-18735	(ClamAV)
BackDoor.Bulknet.112	(DrWeb)
Win32.Agent.ggt	(eSafe)
Downloader.Agent.ggt	(Ewido)
W32/Pushu.GGT!tr.dldr	(Fortinet)
Generic.dx	(McAfee)
VirTool:WinNT/Cutwail.F	(Microsoft)
Win32/Wigon.AH	(NOD32v2)
RootKit.Win32.Mnless.et	(Rising)
Trojan-Downloader.Win32.Agent.gh	(Sunbelt)
Trojan.Pandex	(Symantec)
Trojan/Downloader.Agent.ggt	(TheHacker)
Trojan.Wigon.C	(VirusBuster)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15476
http://virusinfo.info/showthread.php?t=15608
http://virusinfo.info/showthread.php?t=15660
http://virusinfo.info/showthread.php?t=15989
http://virusinfo.info/showthread.php?t=16060
http://virusinfo.info/showthread.php?t=16202
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=16509
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16852
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=19242

*Файлы на диске*
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\system32\drivers\Taf40.sys
C:\WINDOWS\System32\drivers\Cyb60.sys
размер 21760 байт.
Обычно, есть копия этого трояна в папке C:\WINDOWS

*Способ запуска*
Драйвер: Cyb60 C:\WINDOWS\System32\Drivers\Cyb60.sys Группа: SCSI Class 
(имя драйвера = имя файла)

*Внешние проявления* 
Файл с соответствующем именем в списках "Модули пространства ядра" и
Драйверы.

----------


## AndreyKa

*Алиасы*
Infostealer.Gampass	(Symantec)
Mal/Basine-C	(Sophos)
Trj/ProxyServer.AS	(Panda)
Trojan.Downloader-20037	(ClamAV)
Trojan.MulDrop.8347	(DrWeb)
Trojan.Proxy.Metro.D	(BitDefender)
TrojanDownloader.Dirat.aw	(CAT-QuickHeal)
W32/Basine.AW!tr.dldr	(Fortinet)
W32/Downldr2.AUYI	(F-Prot)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15990
http://virusinfo.info/showthread.php?t=16083

*Файлы на диске*
c:\windows\system32\vhosts.exe
19968 байт
MD5=5C1321793E369D890695FECED14B1AAC
использует трояна в файле MSCORE.DLL

*Способ запуска*
Служба msupdate "Microsoft security update service" c:\windows\system32\vhosts.exe

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.JSD	(AVG)
Backdoor.Small.cbo	(CAT-QuickHeal)
Generic.dx	(McAfee)
Trojan.Perfcoo	(Symantec)
Trojan.Proxy.1739	(DrWeb)
TrojanDownloader:Win32/Eldycow.gen!A	(Microsoft)
W32/Backdoor2.DZB	(F-Prot)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16125

*Файлы на диске*
C:\WINDOWS\murka.dat
MD5=677C2CE46988695A7605B430DA399A38
6144 байт

*Способ запуска*
C:\WINDOWS\murka.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

----------


## AndreyKa

Идет в комплекте с *Trojan.Win32.Agent.dqz* и *Backdoor.Win32.Small.cbo*

*Алиасы*
Aplicacion/Renos.aom	(TheHacker)
Generic9.AJYI	(AVG)
Hoax.Renos.aom (Not a Virus)	(CAT-QuickHeal)
TR/Renos.4608.2	(AntiVir)
Trojan:Win32/Wantvi.B	(Microsoft)
Win32/Eldycow.N (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.U	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16125
http://virusinfo.info/showthread.php?t=16779

*Файлы на диске*
exe файл в папке Windows, возможны различные имена.
c:\windows\medichi.exe
C:\WINDOWS\mustafx.exe
4608 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, Medichi (имя может быть другим)
В автозапуск также прописан файл с таким же именем + цифра 2 на конце.

*Внешние проявления* (со слов пользователей)
Предложение об установке spyware и появляется строка о копировании чего-то куда то .. Меняется время само по себе.

----------


## AndreyKa

*Алиасы*
Logger.Banker.hbo	(Ewido)
PSW.Banker4.NBL	(AVG)
TR/Spy.Banker.hbo	(AntiVir)
Trojan-Spy.Banker.hbo	(Sunbelt)
Trojan.Banker.Delf.YBG	(BitDefender)
Trojan.PWS.Banker.14622	(DrWeb)
Trojan/Spy.Banker.hbo	(TheHacker)
TrojanSpy.Banker.hbo	(CAT-QuickHeal)
W32/Banker.BCCW	(F-Prot)
W32/Banker.HBO!tr.spy	(Fortinet)
Win32.Banker.hbo	(eSafe)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16120
http://virusinfo.info/showthread.php?t=16133
http://virusinfo.info/showthread.php?t=16600

*Файлы на диске*
C:\WINDOWS\explorer.exe:submitter5.jpg
MD5=16DC64AD2DB4473405AA0631A72020D1
280064 байт
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\explorer.exe !!!

*Способ запуска*
?
Функционирует как модуль процесса c:\windows\explorer.exe

*Внешние проявления* (со слов пользователей)
Explorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск.

При сканировании диска AVZ обнаруживает:
c:\windows\explorer.exe:submitter5.jpg:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

----------


## AndreyKa

*Алиасы*
ADSPY/Sert.A	(AntiVir)
Adware Generic2.ZOB	(AVG)
AdWare.Agent.zo (Not a Virus)	(CAT-QuickHeal)
Trojan.Click.5043	(DrWeb)
Win32/TrojanDownloader.Small.NZG	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16125
http://virusinfo.info/showthread.php?t=16150
http://virusinfo.info/showthread.php?t=16290
http://virusinfo.info/showthread.php?t=16727
http://virusinfo.info/showthread.php?t=16779
http://virusinfo.info/showthread.php?t=16856
http://virusinfo.info/showthread.php?t=16979
http://virusinfo.info/showthread.php?t=17562
http://virusinfo.info/showthread.php?t=18363
http://virusinfo.info/showthread.php?t=18610

*Файлы на диске*
c:\windows\system32\users32.dat
16384 байт

*Способ запуска*
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.

----------


## Зайцев Олег

> *Алиасы*
> ADSPY/Sert.A    (AntiVir)
> Adware Generic2.ZOB    (AVG)
> AdWare.Agent.zo (Not a Virus)    (CAT-QuickHeal)
> Trojan.Click.5043    (DrWeb)
> Win32/TrojanDownloader.Small.NZG    (NOD32v2)
> 
> *Встречен в темах*
> http://virusinfo.info/showthread.php?t=15997
> ...


По показаниям приборов за его повление может отвечать Trojan-Dropper.Win32.Small.bdf, идентичное поведение у AdvWare.Win32.Agent.zb. Из базы анализатора по моему запросу была раскручена возможная цепочка действий дроппера - я советую хелперам присмотреться к драйверу WINDOWS\system32\drivers\beep.sys - с высокой степенью вероятности он подменен. Кроме того, на пораженном ПК стоит поискать файл WINDOWS\system32\dllcache\fuurod.sys. Известные разновидности блокируют антивирусы (avz в том числе) по именам исполняемых файлов.

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.LBM	(AVG)
Generic.Zlob.96765D0B	(BitDefender)
Rkit/Agent.SV	(AntiVir)
Rootkit.Agent.sv	(CAT-QuickHeal)
Trojan:Win32/Wantvi.D	(Microsoft)
Trojan.Virantix.B	(Symantec)
Trojan/Agent.sv	(TheHacker)
W32/Agent.SV!tr.rkit	(Fortinet)

*Описание*
http://www.symantec.com/security_res...738-99&tabid=2 (анг.)
Как уже отметил *Зайцев Олег* в предыдущем сообщении это один из нескольких файлов, устанавливаемых трояном дропером.
Пользователям, у которых антивирус нашел Rootkit.Win32.Agent.sv следует обратится в раздел Помогите, так как, этот файл идет в комплекте с несколькими вредоносными программами и, возможно, не все из них детектируются вашим антивирусом.

*Встречен в теме*
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16167

*Файлы на диске*
C:\WINDOWS\System32\Drivers\Beep.SYS
61440 байт.
MD5=CD7336CD26222FF6D1C7872DA7A43173

*Способ запуска*
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

----------


## AndreyKa

*Алиасы*
BackDoor.Generic8.TNU	(AVG)
Rootkit.Agent.jp	(Ewido)
Rootkit/Spammer.AEL	(Panda)
Spy-Agent.bv.sys	(McAfee)
TR/Rootkit.Gen	(AntiVir)
Troj/RKRun-Gen	(Sophos)
Trojan:WinNT/Cutwail.A!sys	(Microsoft)
Trojan.Kobcka.AY	(BitDefender)
Trojan.NtRootKit.422	(DrWeb)
Trojan.Pandex	(Symantec)
Trojan.Rootkit-235	(ClamAV)
Virus.Win32.Small.EPJ	(Ikarus)
W32/Agent.DPE!tr.rkit	(Fortinet)
W32/Rootkit.AFW	(F-Prot)
Win32:Small-EPJ	(Avast)
Win32/Rootkit.Agent.EY	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16077
http://virusinfo.info/showthread.php?t=16126
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16276
http://virusinfo.info/showthread.php?t=17187
http://virusinfo.info/showthread.php?t=18296

*Файлы на диске*
C:\WINDOWS\system32\drivers\runtime2.sys

*Способ запуска*
Служба runtime2

*Внешние проявления* 
В списке "Модули пространства ядра" присутствует файл
C:\WINDOWS\system32\drivers\runtime2.sys
Перехватывает функции:
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtOpenKey
NtSetValueKey

На компьютере  в папке C:\WINDOWS\Temp присутствует вредоносный файл startdrv.exe (Trojan.Win32.Pakes.bqb).

----------


## AndreyKa

*Алиасы*
Infostealer.Banker.C	(Symantec)
PSW.Generic5.AFBZ	(AVG)
PWS:Win32/Bankrypt.gen	(Microsoft)
TR/Spy.Broker.ap	(AntiVir)
Trj/Sinowal.HM	(Panda)
Trojan.Proxy.2486	(DrWeb)
Trojan.Spy.Brokrypt.A	(BitDefender)
Trojan.Zbot-159	(ClamAV)
Trojan/Spy.Broker.ao	(TheHacker)
TrojanSpy.Broker.ap	(CAT-QuickHeal)
W32/Agent.BRW!tr	(Fortinet)
W32/Banker.CEEY	(Norman)
W32/Trojan2.TRP	(F-Prot)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16112
http://virusinfo.info/showthread.php?t=16621

*Описание*
Похищает ценную информацию с зараженного компьютера.
Внедряет свой код во все процессы кроме CSRSS.EXE
Удаляет cookies в кеше Internet Explorer для того чтобы пользователям пришлось заново вводить пароли когда они входят на сайты банков.
Считывает пароли из защищенного хранилища.
Может выполнять следующие действия:
- перехватывать сетевой трафик;
- перехватывать ввод с клавиатуры;
- считывать информацию из буфера Windows;
- захватывать изображение с экрана;
- перенаправлять сетевой трафик.
- загружать собранную информацию на удаленный сайт по FTP протоколу.

http://www.symantec.com/security_res...335-99&tabid=2 (англ.)

*Файлы на диске*
C:\WINDOWS\System32\ntos.exe

*Способ запуска*
Ключи реестра
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion  \Run, userinit  
HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

----------


## AndreyKa

*Алиасы*
ADSPY/Agent.YZ	(AntiVir)
Adware Generic2.ZJH	(AVG)
AdWare.Agent.yz (Not a Virus)	(CAT-QuickHeal)
AdWare.Win32.Agent.y	(eSafe)
Adware/Agent.yz	(TheHacker)
Mal/Behav-119	(Sophos)
Trojan.Agent.AGHG	(BitDefender)
Trojan.DownLoader.38353	(DrWeb)
W32/Heuristic-KPP!Eldorado	(F-Prot)
Win32:Agent-PCI	(Avast)

*Описания*
Загружает и запускает вредоносные программы, расположенные на веб-сайте.
Для обхода файрвола внедряет свой код в процессы такие как Internet Explorer.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16076
http://virusinfo.info/showthread.php?t=16167
http://virusinfo.info/showthread.php?t=16979

*Файлы на диске*
C:\WINDOWS\windsk.dll
15872 байт

*Способ запуска*
Запускается другой вредоносной программой, предположительно Rootkit.Win32.Agent.sv
Работает как модуль процессов explorer.exe и iexplore.exe

----------


## AndreyKa

*Алиасы*
Rootkit.Agent.ql	(CAT-QuickHeal)
Rootkit.Win32.Agent.tw	(F-Secure)
Trojan.NtRootKit.511	(DrWeb)
Trojan.Rootkit.Agent.NDW	(BitDefender)
W32/Rootkit.AHL	(F-Prot)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16155
http://virusinfo.info/showthread.php?t=16189

*Файлы на диске*
У файла случайное имя из букв, расширение dat, находится в папке C:\WINDOWS\system32\Drivers
Например:
C:\WINDOWS\system32\Drivers\ovtgjscc.dat
C:\WINDOWS\system32\Drivers\uucxtlmr.dat
19456 байт

*Способ запуска*
Драйвер со случайным именем, отличным от имени файла.
Группа: Boot Bus Extender
Работает как модуль пространства ядра.

*Внешние проявления* 
AVZ в логе лечения выдает сообщение:
 >>>> Подозрение на RootKit glvkqfgf C:\WINDOWS\system32\drivers\uucxtlmr.dat

----------


## AndreyKa

*Алиасы*
Downloader.Agent.hbs	(Ewido)
Downloader.Agent.ZQF	(AVG)
TR/Dldr.Agent.hbs.8	(AntiVir)
Trojan.DownLoader.39204	(DrWeb)
Trojan.Downloader.Agent.YZD	(BitDefender)
Trojan/Downloader.Agent.hbs	(TheHacker)
TrojanDownloader.Agent.hbs	(CAT-QuickHeal)
VirTool:WinNT/Cutwail.F	(Microsoft)
Win32/Wigon.AJ	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16202
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=18302

*Файлы на диске*
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Tbi07.sys
C:\WINDOWS\system32\Drivers\Hnr04.sys
размер 24832 байт.

*Способ запуска*
Драйвер: Tbi07 C:\WINDOWS\System32\Drivers\Tbi07.sys Группа: SCSI Class 
(имя драйвера = имя файла)

*Внешние проявления* 
Файл с соответствующем именем с списках "Модули пространства ядра" и
Драйверы.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Алиасы*
BehavesLike:Win32.ExplorerHijack	(BitDefender)
Covert.Code	(Prevx1)
Mal/Behav-150	(Sophos)
SHeur.ALGN	(AVG)
Trj/Agent.HQV	(Panda)
Trojan.Agent.dur	(CAT-QuickHeal)
W32/Smalltroj.BVJU	(Norman)
Win-Trojan/Agent.25600.CY	(AhnLab-V3)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16229
http://virusinfo.info/showthread.php?t=16236

*Файлы на диске*
c:\windows\system32\svchost.exe:ext.exe:$DATA
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\system32\svchost.exe !!!
25600 байт

*Способ запуска*
Служба FCI C:\WINDOWS\system32\svchost.exe:ext.exe

*Внешние проявления* 
При сканировании диска AVZ выдает в лог сообщение:
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

----------


## AndreyKa

*Алиасы*
Downloader.Generic6.ADBR	(AVG)
TR/Dldr.Bensorty.FU.1	(AntiVir)
Trojan.DL.Small.uei	(Rising)
Trojan.DownLoader.38509	(DrWeb)
Trojan/Downloader.Bensorty.fu	(TheHacker)
Win32/TrojanDownloader.Small.NTQ	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16275
http://virusinfo.info/showthread.php?t=16297

*Файлы на диске*
C:\WINDOWS\system32\hg543fdg.dll
MD5=19AC498EDA5FEF62437072CABD1540C2
10000 байт

*Способ запуска*
O2 - BHO: C:\WINNT\system32\hg543fdg.dll - {B2AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINNT\system32\hg543fdg.dll

*Внешние проявления*
Отсутсвует в логе AVZ, хотя в базе безопасных не значится.

----------


## AndreyKa

Переименован в Packed.Win32.Monder.gen, а затем в Trojan.Win32.Monder.gen

*Алиасы*
AdWare.Virtumonde.djl (Not a Virus)	(CAT-QuickHeal)
Adware.Vundo.V.Gen	(VirusBuster)
Adware/Virtumonde.bio	(TheHacker)
Lop	(AVG)
TR/Vundo.dvc.5	(AntiVir)
Troj/Virtum-Gen	(Sophos)
Trojan:Win32/Vundo.gen!A	(Microsoft)
Trojan.Juan.29	(DrWeb)
Trojan.Win32.Undef.bff	(Rising)
W32/Virtumonde.G.gen!Eldorado	(F-Prot)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16324
http://virusinfo.info/showthread.php?t=16362

*Файлы на диске*
Файлы dll со случайными именами в папке C:\WINDOWS\system32

*Способ запуска*
Модуль расширения Internet Explorer BHO
CLSID случайный

*Признаки*
Модуль dll с подозрительным именем у безопасных процессов таких как:
c:\windows\explorer.exe
c:\windows\system32\lsass.exe
+ соответствующий модуль расширения Internet Explorer BHO

----------


## AndreyKa

*Алиасы*
Proxy.XKA	(AVG)
Rkit/Agent.EZ	(AntiVir)
Trojan Horse	(Symantec)
Trojan.Proxy.Wopla.AO	(BitDefender)
TrojanProxy.Wopla.at	(CAT-QuickHeal)
Win32:Agent-JBL	(Avast)
Win32/TrojanProxy.Wopla.AT	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16250
http://virusinfo.info/showthread.php?t=16334

*Файлы на диске*
C:\WINDOWS\system32\Drivers\ndisaluo.sys
C:\WINDOWS\system32\Drivers\ntio922.sys
C:\NETHLPR.EXE

*Способ запуска*
?

*Признаки* 
В пункте 1.3 лога AVZ сообщения:
 >>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
 >>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys

----------


## Зайцев Олег

> *Признаки* 
> В пункте 1.3 лога AVZ сообщения:
> >>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
> >>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys


Результаты запроса к моей базе - зловред еще дропает файл C:\NETHLPR.EXE (Trojan-Proxy.Win32.Wopla.at). Идентичное поведение у зловреда Trojan-Proxy.Win32.Wopla.aw. Дроппер зловреда активирует привилегию SeDebugPrivilege, обращается к \Device\PhysicalMemory - такое поведение характерно для зловредов, снимающих хуки драверов защитного ПО.

----------


## AndreyKa

*Алиасы*
Generic9.APEN	(AVG)
TR/Fujacks.A.1	(AntiVir)
Trojan.Rox	(DrWeb)
Virus:Win32/Xorer.A	(Microsoft)
W32.Pagipef.I!inf	(Symantec)
W32/Fujacks	(McAfee)
W32/Smalltroj.CFJY	(Norman)
Win32:Agent-PPS	(Avast)

*Краткое описание*
При запуске создает несколько своих копий, прописывает себя в автозапуск.
Записывает на диск несколько вредоносных файлов, таких как:
Virus.Win32.Xorer.dd
Virus.Win32.Xorer.df
Virus.Win32.Xorer.dp
Копирует себя на съемные диски, прописывая в автозапуск через файл AUTORUN.INF
Судя по наличию в его файле строк с названиями антивирусов, Virus.Win32.Xorer.dr пытается активно противодействовать им.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16439

*Файлы на диске*
c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.

*Способ запуска*
1. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
2. Записывает свои копии в меню автозапуска:
...\Главное меню\Программы\Автозагрузка\~.exe.49425375.exe
3. O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll

----------


## AndreyKa

*Алиасы*
BackDoor.Generic_c.AEW	(AVG)
Generic.dx	(McAfee)
I-Worm.Agent.l	(CAT-QuickHeal)
TR/Pandex.L.2	(AntiVir)
Trj/Spammer.ADX	(Panda)
Troj/Agent-GDR	(Sophos)
Trojan.NtRootKit.360	(DrWeb)
Trojan.Pandex.L	(BitDefender)
VirTool:WinNT/Cutwail.D	(Microsoft)
W32/[email protected]	(Fortinet)
W32/Smallworm.AEH	(Norman)
W32/Trojan.BXQV	(F-Prot)
Win32:Agent-LNK	(Avast)
Win32.Agent.l	(eSafe)
Win32/Agent.NBT	(NOD32v2)
Win32/Agent.worm.114480	(AhnLab-V3)
Win32/Cutspeer.A	(eTrust-Vet)
Worm.Agent.l	(Ewido)
Worm.Mail.Win32.Agent.mc	(Rising)

*Примечание*
Появился почти полгода назад. Его знают все антивирусы, но он все еще попадается в диком виде!
Возможна связь с Trojan-Downloader.Win32.Agent.ggt 

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15929
http://virusinfo.info/showthread.php?t=16444
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16602
http://virusinfo.info/showthread.php?t=16748
http://virusinfo.info/showthread.php?t=16796

*Файлы на диске*
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
18176 байт
MD5=5A5A869F4343A5C4057DA597FFFA3482

*Способ запуска*
Драйвер smtpdrv C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
Группа: Streams Drivers

----------


## AndreyKa

*Алиасы*
Generic.Zlob.80ABF7BE	(BitDefender)
Generic9.AJXX	(AVG)
TR/Obfuscated.MP	(AntiVir)
Trojan-Downloader.Zlob.Media-Codec	(Sunbelt)
Trojan:Win32/Wantvi.D	(Microsoft)
Trojan.NtRootKit.612	(DrWeb)
Trojan.Obfuscated.mp	(CAT-QuickHeal)
Trojan.Virantix.B	(Symantec)
Trojan/Obfuscated.mp	(TheHacker)
W32/Obfuscated.MP!tr	(Fortinet)
W32/Trojan2.TCK	(F-Prot)
Win32.Obfuscated.mp	(eSafe)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16221
http://virusinfo.info/showthread.php?t=16779

*Файлы на диске*
C:\WINDOWS\System32\Drivers\Beep.SYS
37888 байт.

*Способ запуска*
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

----------


## AndreyKa

*Алиасы*
ADSPY/Agent.YW.2	(AntiVir)
Adware Generic2.ZKE	(AVG)
AdWare.Agent.yw (Not a Virus)	(CAT-QuickHeal)
Adware.Bho	(DrWeb)
Not-A-Virus.Adware.Agent	(Ewido)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16050
http://virusinfo.info/showthread.php?t=16348
http://virusinfo.info/showthread.php?t=16381
http://virusinfo.info/showthread.php?t=18620

*Файл на диске*
C:\Program Files\ContentSaver\ContentSaver.dll
118784 байт

*Способ запуска*
C:\Program Files\ContentSaver\ContentSaver.dll BHO {29F340EA-2108-40d0-94A0-62EC2B9EDF59}

*Особенности*
Можно удалять через Панель управления - Установка/Удаление программ.

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.MOG	(AVG)
Generic RootKit.a	(McAfee)
Rkit/Agent.TC	(AntiVir)
RootKit.A!tr	(Fortinet)
Rootkit.Agent.tc	(CAT-QuickHeal)
Rootkit/Lanman.BR	(Panda)
Trojan.LanMan	(DrWeb)
Trojan/Agent.tc	(TheHacker)
VirTool:WinNT/Laqma.A	(Microsoft)
W32/Rootkit.CDH	(Norman)

*Краткое описания*
Функционирует как модуль пространства ядра.
Перехватывает несколько функций в KernelMode.
Встречался в паре с c:\windows\system32\lanmanwrk.exe - Trojan.Win32.Agent.dwq

*Встречен в темах*
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16319
http://virusinfo.info/showthread.php?t=16400
http://virusinfo.info/showthread.php?t=16494
http://virusinfo.info/showthread.php?t=17302
http://virusinfo.info/showthread.php?t=17440

*Файлы на диске*
C:\WINDOWS\System32\lanmandrv.sys
MD5=B5EC5B3E0BC6B26BB05282B65AF90686
5632 байт

*Способ запуска*
Драйвер: lanmandrv C:\WINDOWS\System32\lanmandrv.sys

----------


## AndreyKa

Переименован в Packed.Win32.Monder.gen

*Алиасы*
AdWare.Virtumonde.dnn	(CAT-QuickHeal)
Generic9.AQNO	(AVG)
Spyware/Virtumonde	(Panda)
TR/Vundo.DWB	(AntiVir)
Troj/Virtum-Gen	(Sophos)
Trojan.Metajuan	(Symantec)
Trojan.Virtumod.260	(DrWeb)
Trojan.Vundo.DWB	(BitDefender)
W32/Virtumonde.G.gen!Eldorado	(F-Prot)
W32/Virtumonde.JTK	(Norman)
Win32/Adware.SecToolbar	(NOD32v2)

*Описание*
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16362
http://virusinfo.info/showthread.php?t=16466
http://virusinfo.info/showthread.php?t=16496
http://virusinfo.info/showthread.php?t=17108

*Файлы на диске*
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32
163904 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_   
+
BHO   {A95B2816-1D7E-4561-A202-68C0DE02353A}

----------


## AndreyKa

*Алиасы*
Agent.2.AN	(AVG)
Mal/Behav-150	(Sophos)
Trojan.Agent.dxg	(Ewido)
Trojan.Spambot.2572	(DrWeb)
Trojan/Agent.dxg	(TheHacker)
W32/Agent.DXG!tr	(Fortinet)
W32/Smalltroj.CFKI	(Norman)
W32/Trojan2.TZE	(F-Prot)
Win-Trojan/Agent.25600.DD	(AhnLab-V3)
Win32/Obfuscated.NAL	(NOD32v2)
Win32/SillyProxy.BQ	(eTrust-Vet)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16416
http://virusinfo.info/showthread.php?t=16437
http://virusinfo.info/showthread.php?t=16491
http://virusinfo.info/showthread.php?t=16446
http://virusinfo.info/showthread.php?t=16601

*Файлы на диске*
Может быть как в виде exe файла:
C:\WINDOWS\system32\fci.exe
Так и в виде альтернативного потока системного файла:
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA
*Не удаляйте файл C:\WINDOWS\system32\svchost.exe !!!*
25600 байт
MD5=01EA113361CC3ACC160930D8918FC682

*Способ запуска*
Служба FCI C:\WINDOWS\system32\fci.exe
Группа: TDI 

*Внешние проявления* (со слов пользователей)
Много трафика идет. svchost.exe создает много подключений по SMTP.
Периодически с компьютера отправляют сообщения по электронной почте.

----------


## AndreyKa

*Алиасы*
*amvo.exe:*
PWS-OnlineGames.a	(McAfee)
SHeur.SHW	(Prevx1)
Trojan.PWS.OnlineGames.NXF	(BitDefender)
W32.Gammima.AG	(Symantec)
W32/AutoRun.BDA	(Norman)
W32/AutoRun.bnq	(TheHacker)
W32/AutoRun.BNQ!worm	(Fortinet)
W32/Autorun.LD.worm	(Panda)
W32/Worm.LZX	(F-Prot)
Win-Trojan/OnlineGameHack.103956	(AhnLab-V3)
Win32:AutoRun-MH	(Avast)
Win32.AutoRun.bnq	(eSafe)
Win32.HLLW.Autoruner.1020	(DrWeb)
Win32.Packed.NSAnti.r	(CAT-QuickHeal)
Win32/Frethog.AGF	(eTrust-Vet)
Win32/PSW.OnLineGames.NLI	(NOD32v2)
Worm/AutoRun.Y	(AVG)
*amvo0.dll:*
OnlineGames.A!tr.pws	(Fortinet)
PWS-OnlineGames.a	(McAfee)
Trojan.PWS.OnlineGames.NXF	(BitDefender)
Trojan.PWS.Wsgame.2387	(DrWeb)
W32/AutoRun.BDE	(Norman)
W32/AutoRun.bnq	(TheHacker)
W32/Autorun.LD.worm	(Panda)
Win-Trojan/OnlineGameHack.54784.B	(AhnLab-V3)
Win32/Frethog.AGF	(eTrust-Vet)
Win32/PSW.OnLineGames.NLI	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16117
http://virusinfo.info/showthread.php?t=16151
http://virusinfo.info/showthread.php?t=16597

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf в корневой папке на всех дисках.
В нем прописан файл u.bat (имя файла может быть другим) для автозапуска.
u.bat имеет атрибуты скрытый, системный, только для чтения.
Для сокрытия присутствия используется руткит, работающий в режиме ядра - C:\WINDOWS\system32\wincab.sys Его файл после запуска удаляется с диска.

*Способ запуска*
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva  
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Не показывает скрытые файлы и папки. Локальные диски открывает в новом окне.

----------


## AndreyKa

*Алиасы*
Win32/Sality.AB	(NOD32v2)
Virus:Win32/Sality.AH	(Microsoft)
W32.Sality.AB	(Symantec)
W32/Kashu.A	(AntiVir)
W32/Sality-AM	(Sophos)
W32/Sality.ad	(McAfee)
W32/Sality.AE	(F-Prot)
Win32.Kashu.A	(BitDefender)
Win32.Sector.4	(DrWeb)
Win32/Kashu	(AhnLab-V3)
Win32/Sality.V	(eTrust-Vet)

*Описание*
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.
http://www.symantec.com/security_res...011120-5334-99 (англ.)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16621
и в темах Trojan.Win32.KillAV.ne

*Внешние проявления* (со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.

----------


## Зайцев Олег

> *Email-Worm.Win32.Agent.l*
> ...
> Возможна связь с Trojan-Downloader.Win32.Agent.ggt


Доп. данные из моих баз - в частности его дропает одноименный зловред *Email-Worm.Win32.Agent.l* по классификации ЛК. Он создает файл C:\WINDOWS\system32\drivers\smtpdrv.sys (Email-Worm.Win32.Agent.l по ЛК), а также C:\WINDOWS\system32\MailSpectre.exe (Trojan.Win32.Agent.bap по ЛК), после чего регистрирует драйвер под именем smtpdrv и включает в группу "Streams Drivers" - т.е. поведение в точности совпадает с описанным выше. Исполняемый файл данного зловреда, выступающий в роли дроппера, имеет размер 155 кб, программный код написан на C, не зашифрован, дропаемые файлы приписаны в хвост дроппера. Trojan.Win32.Agent.bap  в свою очередь в ходе работы обращается к драйверу smtpdrv.sys, что доказывает их взаимосвязь

----------


## AndreyKa

*Алиасы*
Downloader.Agent.AACP	(AVG)
PWS:Win32/Zbot	(Microsoft)
Trojan-Spy.Win32.Broker.as	(Kaspersky)
Trojan.Proxy.2634	(DrWeb)
Trojan.Spy.Broker.N	(BitDefender)
Trojan/Spy.Broker.as	(TheHacker)
W32/Malware.BOKQ	(Norman)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16626
http://virusinfo.info/showthread.php?t=16656
http://virusinfo.info/showthread.php?t=16757
http://virusinfo.info/showthread.php?t=16895
http://virusinfo.info/showthread.php?t=17214

*Файлы на диске*
C:\WINDOWS\system32\ntos.exe

*Способ запуска*
C:\WINDOWS\system32\ntos.exe
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

*Примечание*
Представитель этого семейства с описанием: Trojan-Spy.Win32.Broker.ap

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.NNL	(AVG)
Rootkit.Agent.ql	(CAT-QuickHeal)
Trojan.NtRootKit.511	(DrWeb)
Trojan.Rootkit.Agent.NDW	(BitDefender)
VirTool:WinNT/Boaxxe.E	(Microsoft)
W32/Rootkit.AHL	(F-Prot)
W32/Rootkit.CNC	(Norman)
Win32:Agent-PSI	(Avast)
Win32/Agent.NOU	(NOD32v2)
Win32/Kvol.Q	(eTrust-Vet)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16594
http://virusinfo.info/showthread.php?t=16667
http://virusinfo.info/showthread.php?t=17254

*Файлы на диске*
C:\WINDOWS\system32\Drivers\*.dat
* - 8 случайных латинских букв
19456 байт

*Способ запуска*
Драйвер. Его имя тоже случайное и отличается от имени файла.
Группа: Boot Bus Extender
Работает как Модуль пространства ядра.

----------


## AndreyKa

*Алиасы*
BZub.ARU	(Norman)
Generic9.AJIO	(AVG)
TR/BHO.agz.21	(AntiVir)
Trj/Downloader.RKS	(Panda)
Troj/BHO-EL	(Sophos)
Trojan:Win32/Boaxxe.C	(Microsoft)
Trojan.Adclicker	(Symantec)
Trojan.BHO-1253	(ClamAV)
Trojan.BHO.agz	(Ewido)
Trojan.DoS.Win32.Opdos	(Prevx1)
Trojan.DownLoader.38058	(DrWeb)
Trojan.Spy.Bzub.NGP	(BitDefender)
Trojan/BHO.agz	(TheHacker)
W32/BHO.AGZ!tr	(Fortinet)
Win32:BHO-KD	(Avast)
Win32/BHO.AGZ	(NOD32v2)
Win32/Kvol!generic	(eTrust-Vet)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16189
http://virusinfo.info/showthread.php?t=16667

*Файлы на диске*
dll файл со случайным именем из латинских букв в папке c:\windows\system32
Встречается вместе с Rootkit.Win32.Agent.tw (см. выше).

*Способ запуска*
BHO, CLSID - случайный

----------


## AndreyKa

*Алиасы*
*amvo.exe*
Trj/Wow.SE	(Panda)
Trojan.Dropper.OnlineGames.I	(BitDefender)
Trojan.MulDrop.6474	(DrWeb)
Trojan.Win32.AVKiller	(VBA32)
W32.Gammima.AG	(Symantec)
W32/Autorun-AQ	(Sophos)
W32/AutoRun.bur	(TheHacker)
W32/AutoRun.BUR!worm	(Fortinet)
W32/Autorun.worm.bn	(McAfee)
W32/Smalltroj.CIGU	(Norman)
Win32.Packed.NSAnti.r	(CAT-QuickHeal)
Win32/Autorun.worm.104863	(AhnLab-V3)
Win32/Frethog.AGS	(eTrust-Vet)
Win32/PSW.OnLineGames.NLI	(NOD32v2)
Worm/Generic.FHX	(AVG)

*eaxbit.dll & amvo0.dll*
BHO.CYR, PSW.OnlineGames.ABQN	(AVG)
Trj/Wow.SE	(Panda)
Trojan.Agent.AGPW, Trojan.PWS.OnlineGames.NYX	(BitDefender)
Trojan.Legmir.A	(Prevx1)
Trojan.Nsanti.Packed, Trojan.PWS.Wsgame.2387	(DrWeb)
Trojan.Small-1780	(ClamAV)
W32.Gammima.AG	(Symantec)
W32/Autorun-AQ	(Sophos)
W32/AutoRun.AQ!worm	(Fortinet)
W32/AutoRun.bur	(TheHacker)
W32/Autorun.worm.bn	(McAfee)
W32/Smalltroj.CIGR, W32/Smalltroj.CIUP	(Norman)
Win-Trojan/OnlineGameHack.54784.F	(AhnLab-V3)
Win32/NSAnti, Win32/VMalum.BUVZ	(eTrust-Vet)
Win32/PSW.OnLineGames.NLK, Win32/Rootkit.Vanti.NAI	(NOD32v2)
Worm.AutoRun.bur	(CAT-QuickHeal)

*Описание*
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16505
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16594

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
juok3st.bat и autorun.inf в корневой папке на всех дисках.
eaxbit.dll во временной папке.

*Способ запуска*
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Проводник не показывает скрытые файлы.

----------


## AndreyKa

*Алиасы*
*m1t8ta.com*
Trojan.PWS.Wsgame.2387	(DrWeb)
Trojan/PSW.OnLineGames.oob	(TheHacker)
TrojanPSW.OnLineGames.oob	(CAT-QuickHeal)
W32/AutoInf-H	(Sophos)
W32/Lineage.HDR.worm	(Panda)
W32/OnLineGames.AIFH	(Norman)
W32/OnLineGames.OOB!tr.pws	(Fortinet)
Win-Trojan/Autorun.54784	(AhnLab-V3)
Win32/Frethog.AGY	(eTrust-Vet)
Win32/PSW.OnLineGames.NLK	(NOD32v2)
*amvo1.dll*
Dropper/Autorun.105525	(AhnLab-V3)
Trojan.MulDrop.6474	(DrWeb)
Trojan.PWS.OnLineGames.OOB	(BitDefender)
Trojan/PSW.OnLineGames.oob	(TheHacker)
W32/AutoInf-H	(Sophos)
W32/Lineage.HDR.worm	(Panda)
W32/Smalltroj.CJDR	(Norman)
Win32.Packed.NSAnti.r	(CAT-QuickHeal)
Win32/Frethog.AGY	(eTrust-Vet)
Win32/PSW.OnLineGames.NLI	(NOD32v2)
Worm/AutoRun.Y	(AVG)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16569
http://virusinfo.info/showthread.php?t=16570
http://virusinfo.info/showthread.php?t=16588
http://virusinfo.info/showthread.php?t=16682

*Файлы на диске*
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке

*Способ запуска*
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Проводник не показывает скрытые файлы.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Алиасы*
BackDoor.Bifrost.526	(DrWeb)
Backdoor.Eterok.C	(Symantec)
Generic9.ATJS	(AVG)
Mal/Generic-A	(Sophos)
TR/Inject.SM	(AntiVir)
W32/Inject.SM!tr	(Fortinet)
Win32/TrojanProxy.Xorpix.NAE	(NOD32v2)

*Описание*
Внедряется в системный процес Winlogon.
В списке модулей отсутствует.
Запускает процесс iexplore.exe и внедряется в него.
Отрывает BackDoor на случайном порту TCP.
Отправляет этот номер порта на удаленный сервер, ожидает соединения и команды для выполнения.
http://www.symantec.com/security_res...557-99&tabid=2

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16421
http://virusinfo.info/showthread.php?t=16535
http://virusinfo.info/showthread.php?t=16586
http://virusinfo.info/showthread.php?t=16984
http://virusinfo.info/showthread.php?t=17707

*Файлы на диске*
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
%UserProfile%\Local Settings\Temp\arm????.tmp 

*Способ запуска*
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\abc32reg

----------


## Зайцев Олег

> *Файлы на диске*
> C:\m1t8ta.com
> C:\autorun.inf
> C:\WINDOWS\system32\amvo0.dll
> C:\WINDOWS\system32\amvo1.dll
> C:\WINDOWS\system32\amvo.exe
> autorun.inf и m1t8ta.com - на всех дисках в корневой папке
> 
> *Способ запуска*
> ...


Небольшое дополнение из моей базы: Размер исполняемого файла зловрда 105 кб. Файл amvo.exe в указанном месте создают также Worm.Win32.AutoRun.* (в частности, Worm.Win32.AutoRun.bmz, Worm.Win32.AutoRun.bun, Worm.Win32.AutoRun.bur, Worm.Win32.AutoRun.cag), а также Trojan-PSW.Win32.OnLineGames.* (в частности Trojan-PSW.Win32.OnLineGames.ost, Trojan-PSW.Win32.OnLineGames.ozf, Trojan-PSW.Win32.OnLineGames.pdb, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pmo). 
По поводу зловреда Trojan-PSW.Win32.OnLineGames.oob можно отметить, что он:
1. Создает во временной папке ряд файлов, в частности lb2t87v.dll, uu2c.sys
2. Определяет местоположение IE для того, чтобы запустить его и инжектит в процесс IE троянский код
3. amvo.exe - это копия дроппера зловреда
4. Зловред умеет бороться с антивирусами, в частности реализует классическую атаку на GUI AVP
5. Модифицирует параметры ключа реестра Software\Microsoft\Windows\CurrentVersion\Explorer  \Advanced с именами Hidden и ShowSuperHidden, изменяет политику безопасности путем правки реестра - в ключе Software\Microsoft\Windows\CurrentVersion\Policies  \Explorer он модифицирует параметр NoDriveTypeAutoRun. Эти изменения реестра защищены от восстановления за счет того, что зловред периодически повторяет их правку
6. Плодит файлы *:\m1t8ta.com и *:\autorun.inf, причем m1t8ta.com - это копия дроппера зловреда.

----------


## AndreyKa

Очередной представитель семейства Worm.Win32.AutoRun, имеющего в последние несколько недель широкое распространение.

*Алиасы*
Trojan.Agent.AGOB	(BitDefender)
Trojan.MulDrop.6474	(DrWeb)
W32/AutoRun.bvz	(TheHacker)
W32/Lineage.HEF.worm	(Panda)
Win32.Packed.NSAnti.r	(CAT-QuickHeal)
Win32/Autorun.worm.106174	(AhnLab-V3)
Win32/Frethog.AHE	(eTrust-Vet)
Worm/AutoRun.Y	(AVG)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16594
http://virusinfo.info/showthread.php?t=16682
http://virusinfo.info/showthread.php?t=16795

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке

*Способ запуска*
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Проводник не показывает скрытые файлы.

----------


## AndreyKa

*Алиасы*
PWS-LegMir.gen.k	(McAfee)
Trj/Downloader.SEW	(Panda)
Trojan.Agent.AGOT	(BitDefender)
Trojan.MulDrop.6474	(DrWeb)
Trojan.PSW.Win32.GameOL.loc	(Rising)
W32.Gammima.AG	(Symantec)
W32/AutoRun.cas	(TheHacker)
W32/Smalltroj.CKQK	(Norman)
Win-Trojan/OnlineGameHack.105942	(AhnLab-V3)
Win32/Frethog.AHJ	(eTrust-Vet)
Win32/Pacex.Gen	(NOD32v2)
Worm/AutoRun.Y	(AVG)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16670
http://virusinfo.info/showthread.php?t=16746
http://virusinfo.info/showthread.php?t=17038
http://virusinfo.info/showthread.php?t=17164

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
%Temp%\9ba4xn.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
autorun.inf детектируется как Trojan-PSW.Win32.OnLineGames.pgs

*Способ запуска*
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Проводник не показывает скрытые файлы.

*Worm.Win32.AutoRun.cag* мало чем отличается от *Worm.Win32.AutoRun.cas*. Он найден в темах:
http://virusinfo.info/showthread.php?t=16675
http://virusinfo.info/showthread.php?t=16865
http://virusinfo.info/showthread.php?t=17160

Отличия в детекте:
W32/AutoRun.CAG!worm	(Fortinet)
W32/Lineage.HEF.worm	(Panda)
W32/Smalltroj.CKGL	(Norman)
Win32:AutoRun-PC	(Avast)
Win32/Frethog.AHG	(eTrust-Vet)

Дополнительные алиасы для *amvo0.dll*
Generic.dx	(McAfee)
Trojan.PWS.Wsgame.2387	(DrWeb)
W32/AutoRun.BKD	(Norman)
W32/Autorun.MY.worm	(Panda)
Win-Trojan/OnlineGameHack.54784.R	(AhnLab-V3)
Win32:AutoRun-PD	(Avast)
Worm.AutoRun.cag	(CAT-QuickHeal)

----------


## AndreyKa

Ползучая эпидемия продолжается.

*Алиасы*
Trojan.MulDrop.6474	(DrWeb)
Trojan.PSW.Win32.GameOL.lod	(Rising)
Trojan.PWS.Onlinegames.NXQ	(BitDefender)
W32.Gammima.AG	(Symantec)
W32/AutoRun.cbi	(TheHacker)
W32/Autorun.MR.worm	(Panda)
W32/Smalltroj.CKWC	(Norman)
Win32.AutoRun.cbi	(eSafe)
Win32/Frethog.AIG	(eTrust-Vet)
Win32/PSW.OnLineGames.MUU	(NOD32v2)
Worm/AutoRun.Y	(AVG)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16742
http://virusinfo.info/showthread.php?t=16985
http://virusinfo.info/showthread.php?t=17095

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и qd.cmd - на всех дисках в корневой папке

*Способ запуска*
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Проводник не показывает скрытые файлы.

Отличия *Worm.Win32.AutoRun.chv*
*Алиасы
amvo.exe*
Dropper/Autorun.104080	(AhnLab-V3)
PWS:Win32/OnLineGames.BL	(Microsoft)
Trj/QQPass.BBV	(Panda)
Trojan.MulDrop.6474	(DrWeb)
W32/AutoRun.chv	(TheHacker)
W32/NSAnti.FZS	(Norman)
Win32/Frethog.AJA	(eTrust-Vet)
Win32/PSW.OnLineGames.NLI	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17324
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17635

*Файлы на диске*
%Temp%\pqub.dll 
В корне всех дисков файл h.cmd 

Отличия *Worm.Win32.AutoRun.cin*
*Алиасы
amvo.exe*
Trojan.Agent.AGTI	(BitDefender)
W32/AutoRun.cin	(TheHacker)
W32/Downldr2.AXPW	(F-Prot)
W32/Lineage.GUF.worm	(Panda)
Win-Trojan/Autorun.104644	(AhnLab-V3)
Win32/PSW.OnLineGames.NLI	(NOD32v2)
*amvo0.dll*
Trojan.PWS.Wsgame.2387	(DrWeb)
VirTool:Win32/Obfuscator.T	(Microsoft)
W32/NSAnti.GDM	(Norman)
Win32/PSW.OnLineGames.NLK	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17457
http://virusinfo.info/showthread.php?t=17474
http://virusinfo.info/showthread.php?t=17631

*Файлы на диске*
%Temp%\yjyuu.dll 
В корне всех дисков файл i.cmd

----------


## AndreyKa

*Алиасы*
Downloader.Agent.AADM	(AVG)
Downloader.Agent.hnp	(Ewido)
TR/Dldr.Agent.hnp	(AntiVir)
Trj/Downloader.SFC	(Panda)
Trojan:Win32/Adclicker.AO	(Microsoft)
Trojan.Adclicker.GY	(BitDefender)
Trojan.BhoSpy	(DrWeb)
Trojan.Win32.Undef.cap	(Rising)
Trojan/Downloader.Agent.hnp	(TheHacker)
TrojanDownloader.Agent.hnp	(CAT-QuickHeal)
W32/Agent.EAPT	(Norman)
W32/Agent.HNP!tr.dldr	(Fortinet)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16679
http://virusinfo.info/showthread.php?t=16806
http://virusinfo.info/showthread.php?t=17103
http://virusinfo.info/showthread.php?t=17106
http://virusinfo.info/showthread.php?t=17215
http://virusinfo.info/showthread.php?t=18226
http://virusinfo.info/showthread.php?t=18323

*Файлы на диске*
C:\WINDOWS\System32\socksys.dll
или
C:\WINDOWS\system32\socketa.dll
25600 байт

*Способ запуска*
BHO   {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}

----------


## AndreyKa

*Алиасы*
*xo8wr9.exe и amvo.exe*
PSW.OnlineGames.ACQL	(AVG)
PWS-Mmorpg.gen	(McAfee)
Trojan.MulDrop.6474	(DrWeb)
Trojan.PSW.Win32.GameOL.lri	(Rising)
Trojan.PWS.OnlineGames.OOV	(BitDefender)
Trojan/PSW.OnLineGames.pqm	(TheHacker)
W32.Gammima.AG	(Symantec)
W32/Lineage.HHP.worm	(Panda)
W32/OnLineGames.AJHA	(Norman)
Win-Trojan/OnlineGameHack.103781	(AhnLab-V3)
Win32/Frethog.AIK	(eTrust-Vet)
Win32/PSW.OnLineGames.NLI	(NOD32v2)

*amvo1.dll*
Trojan.PSW.Win32.GameOL.lri	(Rising)
Trojan.PWS.OnlineGames.OOV	(BitDefender)
Trojan.PWS.Wsgame.2387	(DrWeb)
VB.BHZ	(Prevx1)
W32.Gammima.AG	(Symantec)
W32/Lineage.HHP.worm	(Panda)
Win32/Frethog.AIK	(eTrust-Vet)
Win32/PSW.OnLineGames.NLK	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17066
http://virusinfo.info/showthread.php?t=17068
http://virusinfo.info/showthread.php?t=17112
http://virusinfo.info/showthread.php?t=17315

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и xo8wr9.exe - на всех дисках в корневой папке

*Способ запуска*
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Проводник не показывает скрытые файлы.

----------


## AndreyKa

*Алиасы*
*h.cmd и amvo.exe*
PWS-LegMir	(McAfee)
Trojan.MulDrop.6474	(DrWeb)
W32.Gammima.AG	(Symantec)
W32/AutoRun.cgi	(TheHacker)
W32/NSAnti.FXO	(Norman)
W32/Wow.SI.worm	(Panda)
Win32/PSW.OnLineGames.NLI	(NOD32v2)
Win32/VMalum.BVDB	(eTrust-Vet)
*amvo0.dll*
PSW.OnlineGames.ADBF	(AVG)
Trojan.PWS.Wsgame.2387	(DrWeb)
VB.BHZ	(Prevx1)
W32/NSAnti.FXP	(Norman)
Win32/PSW.OnLineGames.NLK	(NOD32v2)

*Описание*
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17225
http://virusinfo.info/showthread.php?t=17255
http://virusinfo.info/showthread.php?t=17337
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17635

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll - детектируется как Trojan-PSW.Win32.OnLineGames.pwr
C:\WINDOWS\system32\amvo1.dll
%Temp%\fhf.dll 
autorun.inf и h.cmd - на всех дисках в корневой папке

*Способ запуска*
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Проводник не показывает скрытые файлы.

----------


## AndreyKa

*Алиасы*
BackDoor.Bulknet.134	(DrWeb)
Downloader.Agent.AAAN	(AVG)
Trj/Spammer.ADX	(Panda)
Trojan.Downloader-21950	(ClamAV)
Trojan.Downloader.Small.AAKE	(BitDefender)
Trojan/Downloader.Agent.hlt	(TheHacker)
TrojanDownloader.Agent.hlt	(CAT-QuickHeal)
VirTool:WinNT/Cutwail.F	(Microsoft)
W32/DLoader.FGTA	(Norman)
W32/Emogen.HLT!tr.dldr	(Fortinet)
Win-Trojan/SpamMailer.25984	(AhnLab-V3)
Win32.Agent.hlt	(eSafe)
Win32/Wigon.AN	(NOD32v2)
Worm/Ntech.Z.4	(AntiVir)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=17099
http://virusinfo.info/showthread.php?t=17458

*Файл на диске*
Имя состоит из трех случайных букв и двух цифр. Например: 
C:\WINDOWS\System32\Drivers\Iot62.sys
C:\WINDOWS\System32\Drivers\Agk37.sys
Размер 25984 байт

*Способ запуска*
Драйвер: C:\WINDOWS\System32\Drivers\?????.sys
Группа: SCSI Class 
Функционирует как модуль пространства ядра.

----------


## AndreyKa

*Алиасы*
TR/Agent.41984.21	(AntiVir)
Trj/Dropper.AAD	(Panda)
Troj/Agent-GNA	(Sophos)
Trojan.Downloader.Small.AAKR	(BitDefender)
Trojan.MulDrop.10872	(DrWeb)
Trojan/Dropper.Agent.dsg	(TheHacker)
TrojanDropper.Agent.dsg	(CAT-QuickHeal)
VirTool:Win32/Rootkitdrv.BR	(Microsoft)
W32/Agent.EAJP	(Norman)
Win32:Agent-OLI	(Avast)

*Описание*
Троян с функционалом обмена информацией с удаленным сервером через протокол HTTP.
При первом запуске копирует себя в файлы
%USERPROFILE%\Local Settings\Application Data\ayagbf.exe
%SystemRoot%\System32\drivers\msbzgh.exe
и создает следующие файлы:
%USERPROFILE%\msftp.dll
%SystemRoot%\System32\drivers\sysproc.sys
%SystemRoot%\System32\msftp.dll
Источник: http://www.sophos.com/virusinfo/anal...jagentgna.html (анг.)

sysproc.sys детектируется как Rootkit.Win32.Agent.mu
msftp.dll детектируется как Trojan-Downloader.Win32.Small.hwc

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16816
http://virusinfo.info/showthread.php?t=17179
http://virusinfo.info/showthread.php?t=17495
http://virusinfo.info/showthread.php?t=17513
http://virusinfo.info/showthread.php?t=17522
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17548
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17856

*Способ запуска*
1) Служба: Schedule
C:\WINDOWS\system32\drivers\msbzgh.exe
Группа: SchedulerGroup 
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload 
C:\Documents and Settings\_пользователь_\Local Settings\Application Data\ayagbf.exe

*Дополнительные алиасы Trojan-Downloader.Win32.Small.hwc*
Downloader.Generic6.AFLG	(AVG)
TR/Dldr.Small.hwc	(AntiVir)
Trj/Downloader.SIA	(Panda)
Trojan.DownLoader.44897	(DrWeb)
TrojanDownloader.Small.hwc	(CAT-QuickHeal)
W32/DLoader.FKPZ	(Norman)

----------


## AndreyKa

*Алиасы*
Backdoor/Agent.ehg	(TheHacker)
Generic9.AXKP	(AVG)
Trj/Downloader.SIA	(Panda)
Troj/Agent-GNA	(Sophos)
Trojan.DownLoader.46268	(DrWeb)
W32/Smalltroj.CQWT	(Norman)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17495
http://virusinfo.info/showthread.php?t=17513
http://virusinfo.info/showthread.php?t=17522
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17548
http://virusinfo.info/showthread.php?t=17919

*Файлы на диске*
c:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spool.exe
%UserProfile%\ftpdll.dll 
C:\WINDOWS\system32\ftpdll.dll

ftpdll.dll детектируются как Trojan-Downloader.Win32.Small.hwc 

*Способ запуска*
1) Служба: Schedule
Описание: Task Scheduler
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup 
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload 
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
3) Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion  \Run, autoload 
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
4) Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser  
C:\WINDOWS\system32\drivers\spools.exe
5) Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser 
C:\WINDOWS\system32\drivers\spools.exe

*Отличия Backdoor.Win32.Agent.eom
Алиасы*
Backdoor.Agent.eom	(CAT-QuickHeal)
BackDoor.FireOn	(DrWeb)
Generic9.BBNJ	(AVG)
Troj/Agent-GNA	(Sophos)
W32/Agent.EOM!tr.bdr	(Fortinet)
W32/Smalltroj.CUKE	(Norman)
Win32:Small-JMK	(Avast)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18156
http://virusinfo.info/showthread.php?t=18234
http://virusinfo.info/showthread.php?t=18273
http://virusinfo.info/showthread.php?t=18275
http://virusinfo.info/showthread.php?t=18294

*Отличия Backdoor.Win32.Agent.etc
Алиасы*
BACKDOOR.DIMPY.WIN32VBSY.Q	(Prevx1)
SHeur.AVFC	(AVG)
TR/Dldr.Small.AAKR.12	(AntiVir)
Trojan.Downloader.Small.AAKR	(BitDefender)
Win32/TrojanDownloader.Agent.NVF	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18779
http://virusinfo.info/showthread.php?t=18785
http://virusinfo.info/showthread.php?t=18858

----------


## AndreyKa

*Алиасы*
Trojan.MulDrop.6474	(DrWeb)
Trojan/PSW.OnLineGames.qmf	(TheHacker)
W32.Gammima.AG	(Symantec)
W32/Lineage.HJT.worm	(Panda)
W32/NSAnti.GFI	(Norman)
Win-Trojan/Autorun.103367	(AhnLab-V3)
Win32/PSW.OnLineGames.NLI	(NOD32v2)
*Дополнительные алиасы amvo0.dll*
PWS-LegMir.gen.k.dll	(McAfee)
Trojan.PWS.Wsgame.2387	(DrWeb)
W32/NSAnti.GEK	(Norman)
Win-Trojan/Autorun.54784.E	(AhnLab-V3)
Win32/PSW.OnLineGames.NLK	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17499
http://virusinfo.info/showthread.php?t=17535
http://virusinfo.info/showthread.php?t=17558
http://virusinfo.info/showthread.php?t=17604
http://virusinfo.info/showthread.php?t=17615
http://virusinfo.info/showthread.php?t=17638
http://virusinfo.info/showthread.php?t=17725
http://virusinfo.info/showthread.php?t=17816
http://virusinfo.info/showthread.php?t=18859

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\zmcc.dll 
autorun.inf и 2ifetri.cmd - на всех дисках в корневой папке

zmcc.dll  детектируется как Rootkit.Win32.Agent.yr 

*Способ запуска*
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

*Внешние проявления* (со слов пользователей)
Проводник не показывает скрытые файлы.

Отличия *Trojan-PSW.Win32.OnLineGames.qpu
Дополнительные алиасы*
Trj/lineage.HKP	(Panda)
Trojan/PSW.OnLineGames.qpu	(TheHacker)
VirTool:Win32/Obfuscator.T	(Microsoft)
W32/NSAnti.GFV	(Norman)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17631
http://virusinfo.info/showthread.php?t=17634
http://virusinfo.info/showthread.php?t=17638
http://virusinfo.info/showthread.php?t=17787
http://virusinfo.info/showthread.php?t=17843
http://virusinfo.info/showthread.php?t=17954

*Файлы на диске*
%Temp%\em.dll
188qsm.bat в корне каждого диска.

em.dll детектируется как Trojan-PSW.Win32.OnLineGames.qou

Отличия *Trojan-PSW.Win32.OnLineGames.qso
Дополнительные алиасы*
Trj/Lineage.HLA	(Panda)
Trojan/PSW.OnLineGames.qso	(TheHacker)
W32/NSAnti.GGB	(Norman)
Win-Trojan/OnlineGameHack.103404	(AhnLab-V3)
Win32/Frethog.AKC	(eTrust-Vet)
*amvo0.dll:*
Trojan.Spy-23738	(ClamAV)
TrojanPSW.OnLineGames.qso	(CAT-QuickHeal)
W32/NSAnti.GGA	(Norman)
Win32/Frethog.AKH	(eTrust-Vet)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17635
http://virusinfo.info/showthread.php?t=17665
http://virusinfo.info/showthread.php?t=17913
http://virusinfo.info/showthread.php?t=18577

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\y5o.dll
autorun.inf и x.com - на всех дисках в корневой папке

----------


## AndreyKa

*Алиасы*
DNSChanger.K	(AVG)
Trojan.DNSChanger.BX	(BitDefender)
Win32.Trojan.DNSChanger.aum	(CAT-QuickHeal)

*Описание*
Завершает процессы антивирусов. Внедряет свой код в память системных процессов. Сам в списке работающих программ отсутствует.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16621
http://virusinfo.info/showthread.php?t=17684
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=18026

*Файлы на диске*
Файл в папке C:\WINDOWS\system32 со случайным именем из 5 латинских букв, например:
C:\WINDOWS\system32\kdbzh.exe
C:\WINDOWS\system32\kdhpy.exe
C:\WINDOWS\system32\kdecb.exe
76800 байт

*Способ запуска*
kd???.exe
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System

----------


## AndreyKa

*Алиасы*
Adware Generic2.AAXY	(AVG)
Adware.BitAcc	(DrWeb)
Adware/LinkOptimizer	(Panda)
Troj/Dropper-RY	(Sophos)
TROJAN.VB.RY	(Prevx1)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=17767
http://virusinfo.info/showthread.php?t=18518
http://virusinfo.info/showthread.php?t=18570
http://virusinfo.info/showthread.php?t=18620
http://virusinfo.info/showthread.php?t=18755

*Файлы на диске*
C:\Program Files\ConnectionServices\ConnectionServices.dll
420352 байт

*Способ запуска*
C:\Program Files\ConnectionServices\ConnectionServices.dll
BHO   {6D7B211A-88EA-490c-BAB9-3600D8D7C503}

----------


## AndreyKa

*Алиасы*
Agent.NMR	(AVG)
TR/Agent.edu.2	(AntiVir)
Trojan.Agent-12855	(ClamAV)
Trojan.Agent.AGKK	(BitDefender)
Trojan.Agent.dyo	(CAT-QuickHeal)
Trojan.DoS.Win32.Opdos	(Prevx1)
Trojan.Okuks	(DrWeb)
Trojan/Agent.edu	(TheHacker)
W32/Agent.EDQY	(Norman)
W32/Agent.EDU!tr	(Fortinet)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16830
http://virusinfo.info/showthread.php?t=16981
http://virusinfo.info/showthread.php?t=17670
http://virusinfo.info/showthread.php?t=17808
http://virusinfo.info/showthread.php?t=18791

*Файлы на диске*
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseqhnjm32.dll
C:\WINDOWS\system32\baseoaera32.dll
C:\WINDOWS\system32\basemqai32.dll
C:\WINDOWS\system32\baseqxkha32.dll
24576 байт

*Способ запуска*
Прописывает свой автозапуск в реестре оригинальным способом, в ключе *Windows* раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.

*Примечание*
Антивирус DrWeb (CureIt!) может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр. 
Антивирус Касперского может корректно удалить трояна.
Но возможны проблемы из-за того, что постоянно появляются новые модификации.

----------


## AndreyKa

*Алиасы*
TR/Dldr.Small.iih.1	(AntiVir)
Trojan.DownLoader.46268	(DrWeb)
TrojanDownloader.Small.iih	(CAT-QuickHeal)
W32/Small.IIH!tr.dldr	(Fortinet)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17853
http://virusinfo.info/showthread.php?t=17856
http://virusinfo.info/showthread.php?t=17865
http://virusinfo.info/showthread.php?t=18347
http://virusinfo.info/showthread.php?t=18609

*Файлы на диске*
c:\windows\system32\drivers\spool.exe
%USERPROFILE%\local settings\application data\cftmon.exe
%System%\msftp.dll - детектируется как Trojan-Downloader.Win32.Small.hwc

*Способ запуска*
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload  
C:\WINDOWS\system32\drivers\spool.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser

----------


## AndreyKa

*Алиасы*
Adware.Virtumonde-587	(ClamAV)
AdWare.Virtumonde.dnn (CAT-QuickHeal)
AdWare.Win32.Agent.zpb	(Rising)
Lop	(AVG)
Spyware/Virtumonde	(Panda)
TR/Vundo.DWB	(AntiVir)
Troj/Virtum-Gen	(Sophos)
Trojan-Downloader.Win32.ConHook.gen	(Sunbelt)
Trojan:Win32/Vundo.X	(Microsoft)
Trojan.Metajuan	(Symantec)
Trojan.Virtumod.260	(DrWeb)
Trojan.Vundo.DWB	(BitDefender)
Vundo.gen56	(F-Secure)
W32/Virtumonde.PM	(F-Prot)
Win32:TratBHO	(Avast)
Win32/Adware.SecToolbar	(NOD32v2)

*Описание*
Устанавливается вредоносными программами или скачивается с вредоносных сайтов с использованием эксплойтов для Internet Explorer.
Функционирует как модуль системных процессов winlogon.exe, lsass.exe и др.
Завершает работу антивирусных программ. Скачивает программы из Интернета.
Показывает рекламу при посещении определенных веб-сайтов.
Источники:
http://www.sophos.com/virusinfo/anal...virtumgen.html
http://www.symantec.com/security_res...714-99&tabid=2 (анг.)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16155
http://virusinfo.info/showthread.php?t=16324
http://virusinfo.info/showthread.php?t=16346
http://virusinfo.info/showthread.php?t=16362
http://virusinfo.info/showthread.php?t=16496
http://virusinfo.info/showthread.php?t=16840
http://virusinfo.info/showthread.php?t=17466
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=17785
http://virusinfo.info/showthread.php?t=17953
http://virusinfo.info/showthread.php?t=17974
http://virusinfo.info/showthread.php?t=17985
http://virusinfo.info/showthread.php?t=18159
http://virusinfo.info/showthread.php?t=18295
http://virusinfo.info/showthread.php?t=18839

*Файлы на диске*
dll файл со случайным именем из латинских букв в папке C:\WINDOWS\system32
Например:
C:\WINDOWS\system32\utqgukka.dll
C:\WINDOWS\System32\mllmj.dll

*Способ запуска*
BHO,   CLSID случайный.

----------


## Зайцев Олег

> Ползучая эпидемия продолжается.


Я добавил в AVZ эвристику для детекта описанных выше зверей семейства *Worm.Win32.AutoRun.**, обновление баз с этой фичей выйдет завтра

----------


## AndreyKa

*Алиасы*
PSW.Generic5.AIDA	(AVG)
Rootkit/Spammer.AGA	(Panda)
Spy-Agent.bv	(McAfee)
Troj/Pushu-Gen	(Sophos)
Trojan-Downloader.Agent.ZAR	(Sunbelt)
Trojan.Downloader-22556	(ClamAV)
Trojan.Nudos	(Prevx1)
Trojan.Pandex.AD	(BitDefender)
Trojan.Rntm	(DrWeb)
Trojan/Downloader.Agent.ici	(TheHacker)
VirTool:WinNT/Cutwail.F	(Microsoft)
W32/Agent.EETK	(Norman)
W32/Agent.ZAR!tr.dldr	(Fortinet)
Win-Trojan/Agent.25472	(AhnLab-V3)
Win32/Wigon.AV	(NOD32v2)
Worm.Ntech.sd	(CAT-QuickHeal)
Worm/Ntech.Z.4	(AntiVir)

*Описание*
Прописывет себя в реестр для повторного запуска.
Загружает вредоносные программы из сети Интернет и устанавливает их на компьютер.
Понижает уровень защиты системы безопасности.
Функционирует как модуль пространства ядра.
http://www.sophos.com/virusinfo/anal...jpushugen.html (анг.)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17454
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=17882

*Файлы на диске*
sys файл в папке C:\WINDOWS\System32\Drivers со случайным именем из трех латинских букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Nsf45.sys
C:\WINXP\system32\Drivers\Vch17.sys

*Способ запуска*
Драйвер с именем как у файла.
Группа: SCSI Class 

*Внешние проявления* (со слов пользователей)
Процесс svchost.exe постоянно требует связи с разнообразными адресами.

----------


## AndreyKa

*Алиасы*
Agent.NHU	(AVG)
Backdoor:WinNT/Nuwar.D!sys	(Microsoft)
Proxy.Agent.xo	(Ewido)
TR/Proxy.Agent.XO	(AntiVir)
Trj/Spammer.AFM	(Panda)
Troj/Tibs-TX	(Sophos)
Trojan.Peed.IUO	(BitDefender)
Trojan.Proxy-2401	(ClamAV)
Trojan.Spambot.2887	(DrWeb)
Trojan.Win32.Undef.cft	(Rising)
Trojan/Proxy.Agent.xo	(TheHacker)
TrojanProxy.Agent.xo	(CAT-QuickHeal)
W32/Agent.XO!tr	(Fortinet)
W32/Tibs.BIGD	(Norman)
Win32/TrojanProxy.Agent.XH	(NOD32v2)

*Описание*
Работает в паре с вредоносным файлом taskmon.exe
Отключает антивирусы.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17587
http://virusinfo.info/showthread.php?t=17830
http://virusinfo.info/showthread.php?t=18026
http://virusinfo.info/showthread.php?t=19417

*Файлы на диске*
C:\WINDOWS\system32\taskmon.sys
18368 байт

*Способ запуска*
Драйвер: taskmon.sys

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Алиасы*
Generic5.NVS	(AVG)
Hacktool.Rootkit	(Symantec)
NTRootKit-J	(McAfee)
Rootkit/Agysteo.Q	(Panda)
TR/Agent.asu.1	(AntiVir)
Troj/NtRootK-CA	(Sophos)
Trojan.Agent-7047	(ClamAV)
Trojan.Agent.ABGK	(BitDefender)
Trojan.Agent.asu	(Ewido)
Trojan.NtRootKit.312	(DrWeb)
TROJAN.ROOTKIT.L	(Prevx1)
Trojan.Win32.Agent.tsn	(Rising)
Trojan/Agent.asu	(TheHacker)
VirTool:WinNT/Smallrk.F	(Microsoft)
W32/Agent.ASU!tr	(Fortinet)
W32/Agent.BXAD	(Norman)
W32/Trojan.BKOF	(F-Prot)
Win-Trojan/Rootkit.7923	(AhnLab-V3)
Win32:Agent-KDC	(Avast)
Win32.Agent.asu	(eSafe)
Win32/Fledib.A	(eTrust-Vet)
Win32/Rootkit.Agent.NCR	(NOD32v2)

*Описание*
Функционирует как модуль пространства ядра.
Перехватывает Функции ядра. Используется другими вредоносными программами для сокрытия своего присутствия в системе.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16768
http://virusinfo.info/showthread.php?t=17755
http://virusinfo.info/showthread.php?t=18009
http://virusinfo.info/showthread.php?t=19212

*Файлы на диске*
C:\WINDOWS\system32\DefLib.sys
7923 байт.

----------


## AndreyKa

*Алиасы*
a variant of Win32/TrojanDownloader.Tiny.NJ	(NOD32v2)
Downloader.Generic6.AIIC	(AVG)
Trj/Downloader.SOQ	(Panda)
Trojan-Downloader.Small.AAJM	(Sunbelt)
Trojan.DownLoader.47222	(DrWeb)
Trojan.Downloader.Small.AAJM	(BitDefender)
Trojan/Downloader.Small.gen	(TheHacker)
TrojanDownloader:Win32/Tipikit.B	(Microsoft)
TrojanDownloader.Winlagons.a	(CAT-QuickHeal)
Win-Trojan/Downloader.6144.ND	(AhnLab-V3)

*Описание*
При запуске создает и запускает службу "Google Online Search Service" для копии своего файла.
Прописывает также службу в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 для предотвращения своего удаления выбором последней удачной конфигурации при запуске Windows.
Скачивает с домена bulletproofstuff.com файл с ссылками на вредоносные файлы. На данный момент по этим ссылкам (сайты 58.65.239.42 и 0ci.ru) находятся:
Trojan-Proxy.Win32.Xorpix.cu
Trojan-Proxy.Win32.Saturn.al
Trojan-Downloader.Win32.Small.cib
Email-Worm.Win32.Zhelatin.vg
Trojan.Win32.Small.afy
Trojan-Downloader.Win32.Agent.jea
AdWare.Win32.BHO.aaw

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=17999
http://virusinfo.info/showthread.php?t=18014

*Файлы на диске*
%UserProfile%\ie_updates3r.exe
c:\windows\system32\winlagons.exe
6144 байт

*Способ запуска*
Служба: Google Online Search Service
Описание: Google Online Search Service
C:\WINDOWS\system32\winlagons.exe

----------


## AndreyKa

*Алиасы*
 Downloader.Generic_c.ML	(AVG)
TR/Agent.eub.1	(AntiVir)
Trj/Agent.IAB	(Panda)
Troj/Agent-GPK	(Sophos)
Trojan.Agent.AGVF	(BitDefender)
Trojan.Agent.eub.1	(Webwasher-Gateway)
Trojan.DL.Wigon.Gen.6	(VirusBuster)
Trojan.DoS.Win32.Opdos	(Prevx1)
Trojan.DownLoader.46414	(DrWeb)
Trojan/Agent.eub	(TheHacker)
W32/Agent.EGFQ	(Norman)
W32/Agent.EUB!tr	(Fortinet)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17853
http://virusinfo.info/showthread.php?t=17882
http://virusinfo.info/showthread.php?t=18014
http://virusinfo.info/showthread.php?t=18064
http://virusinfo.info/showthread.php?t=18174
http://virusinfo.info/showthread.php?t=18832
http://virusinfo.info/showthread.php?t=19295

*Файлы на диске*
C:\WINDOWS\system32\LogCrypt.dll
8704 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt,
DLLName  LogCrypt.dll

----------


## AndreyKa

*Алиасы*
TR/Agent.fdn	(AntiVir)
Trojan.Agent.fdn	(CAT-QuickHeal)
Trojan.Small-5027	(ClamAV)
Trojan.Spambot.2384	(DrWeb)
W32/Agent.FDN!tr	(Fortinet)
Win32/TrojanProxy.Small.NAR	(NOD32v2)
*Дополнительные алиасы для Trojan-Dropper.Win32.Agent.elj*
TR/Drop.Agent.elj	(AntiVir)
Trojan.Drop.Agent.elj	(Webwasher-Gateway)
Trojan.Dropper.Rootkit.NBR	(BitDefender)
Trojan/Dropper.Agent.elj	(TheHacker)
TrojanDropper.Agent.elj	(CAT-QuickHeal)
W32/Agent.ELJ!tr	(Fortinet)
*Дополнительные алиасы для Trojan.Win32.Buzus.lj*
LdPinch.STT	(Norman)
Trojan.Agent-11935	(ClamAV)
Trojan.Agent.dvf	(CAT-QuickHeal)
Trojan.DL.Win32.Agent.bxw	(Rising)
Trojan.Packed.147	(DrWeb)
Trojan.PSW.LdPinch.AKX	(BitDefender)
Trojan.Win32.Agent.dvf	(VBA32)
Trojan/Agent.dvf	(TheHacker)
W32/Agent.DVF!tr	(Fortinet)
Win-Trojan/Buzus.42496	(AhnLab-V3)

*Описание*
Имеет возможности отправки email по протоколу SMTP.
Внедряет програмный код в процесс explorer.exe
Устанавливает в систему вредоносный драйвер режима ядра (Trojan.Win32.Agent.asu)

*Trojan.Win32.Agent.fdn встречен в темах*
http://virusinfo.info/showthread.php?t=17817
http://virusinfo.info/showthread.php?t=17865
http://virusinfo.info/showthread.php?t=18034
*Trojan-Dropper.Win32.Agent.elj:*
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=18014
http://virusinfo.info/showthread.php?t=18074
*Trojan.Win32.Buzus.lj:*
http://virusinfo.info/showthread.php?t=16358
http://virusinfo.info/showthread.php?t=17164
http://virusinfo.info/showthread.php?t=18172

*Trojan-Proxy.Win32.Agent.xp:*
*Алиасы*
Backdoor.Win32.Small.lu	(Sunbelt)
Generic9.AULI	(AVG)
NTRootKit-J	(McAfee)
Proxy.Agent.xp	(Ewido)
Trojan.Packed.147	(DrWeb)
Trojan.Proxy-2376	(ClamAV)
Trojan/Proxy.Agent.xp	(TheHacker)
TrojanProxy.Agent.xp	(CAT-QuickHeal)
Virus:Win32/Grum.E	(Microsoft)
W32/Agent.ECZC	(Norman)
Win-Trojan/OnlineGameHack.35840.E	(AhnLab-V3)
Win32:Agent-SMZ	(Avast)
Win32.Agent.xp	(eSafe)
*Встречен в темах*
http://virusinfo.info/showthread.php?t=17220
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=18694

*Файлы на диске*
%UserProfile%\Local Settings\Temp\winlogon.exe
39424 байт или 42496 байт для Trojan.Win32.Buzus.lj
Может распологатся в другом месте, там куда указывает переменная %Temp%
Создает файл:
C:\Windows\System32\DefLib.sys - детектируется как Trojan.Win32.Agent.asu

*Способ запуска*
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup

----------


## AndreyKa

*Алиасы*
PWS-LegMir.gen.k	(McAfee)
PWS:Win32/OnLineGames.CSE	(Microsoft)
Trojan.Autorun-193	(ClamAV)
Trojan.MulDrop.6474	(DrWeb)
W32/AutoRun.BPK	(Norman)
W32/AutoRun.cmc	(TheHacker)
W32/Lineage.HLY.worm	(Panda)
Win32/Frethog.AKM	(eTrust-Vet)
Win32/PSW.OnLineGames.NLI	(NOD32v2)

*Описание*
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17164
http://virusinfo.info/showthread.php?t=17920
http://virusinfo.info/showthread.php?t=18057
http://virusinfo.info/showthread.php?t=18081
http://virusinfo.info/showthread.php?t=19149

*Файлы на диске*
C:\0hct8ybw.bat
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
%Temp%\i2ir.dll 
autorun.inf и 0hct8ybw.bat - на всех дисках в корневой папке

*Способ запуска*
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Отличия *Trojan-PSW.Win32.OnLineGames.rbj*
*Дополнительные алиасы для Trojan-PSW.Win32.OnLineGames.rbj*
Trj/Lineage.HMG	(Panda)
Trojan/PSW.OnLineGames.rbj	(TheHacker)
VirTool:Win32/Obfuscator.T	(Microsoft)
W32/NSAnti.GJA	(Norman)
Win32/Frethog.AKR	(eTrust-Vet)
*amvo0.dll*
Trojan.PWS.Wsgame.2387	(DrWeb)
TrojanPSW.OnLineGames.rbj	(CAT-QuickHeal)
W32.Gammima.AG	(Symantec)
W32/OnLineGames.AKLI	(Norman)
Win32/PSW.OnLineGames.NLK	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18057
http://virusinfo.info/showthread.php?t=18102
http://virusinfo.info/showthread.php?t=18157

*Файлы на диске*
C:\x.com
%Temp%\dsr8q.dll 
autorun.inf  детектируется как Worm.Win32.AutoRun.cnw

Отличия *Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Worm.Win32.AutoRun.cpq*
Mal/EncPk-CE	(Sophos)
Trojan.Lineage.Gen!Pac.3	(VirusBuster)
Trojan.PSW.Win32.GamesOnline.nm	(Rising)
W32/NSAnti.GNC	(Norman)
Worm/Generic.FYT	(AVG)
*amvo0.dll*
Trojan.PWS.Wsgame.3434	(DrWeb)
W32/NSAnti.GNE	(Norman)
Win32/PSW.OnLineGames.NMP	(NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=18321
http://virusinfo.info/showthread.php?t=18438

Файлы на диске
C:\gumkrhf.bat
%Temp%\l4rq2a7.dll

*Trojan-PSW.Win32.OnLineGames.rmm*
*Встречен в темах*
http://virusinfo.info/showthread.php?t=18321
http://virusinfo.info/showthread.php?t=18384
http://virusinfo.info/showthread.php?t=18449

*Файлы на диске*
C:\oufddh.exe

*Trojan-PSW.Win32.OnLineGames.qip
Встречен в темах*
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=18439

*Файлы на диске*
C:\h.cmd

*Trojan-PSW.Win32.OnLineGames.rpy
Встречен в темах*
http://virusinfo.info/showthread.php?t=18504
http://virusinfo.info/showthread.php?t=18514
http://virusinfo.info/showthread.php?t=18516
http://virusinfo.info/showthread.php?t=18646

*Файлы на диске*
C:\oufddh.exe

----------


## AndreyKa

*Алиасы*
Backdoor.SDBot.DFCV	(BitDefender)
Lop.BG	(Prevx1)
Trojan.DownLoader.38518	(DrWeb)
TrojanDownloader.Small.ilt	(CAT-QuickHeal)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18156
http://virusinfo.info/showthread.php?t=18234
http://virusinfo.info/showthread.php?t=18294
http://virusinfo.info/showthread.php?t=18445
http://virusinfo.info/showthread.php?t=18473
http://virusinfo.info/showthread.php?t=19174

*Файлы на диске*
C:\WINDOWS\system32\sysfldr.dll
14336 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName  
sysfldr.dll

----------


## AndreyKa

*Алиасы*
Bck/Spambot.G	(Panda)
Generic9.AZND	(AVG)
TR/Dldr.Agent.jgt	(AntiVir)
Trojan.Agent.6144.156	(Webwasher-Gateway)
Trojan.DownLoader.38520	(DrWeb)
Trojan/Downloader.Agent.jgt	(TheHacker)
TrojanDownloader.Agent.jgt	(CAT-QuickHeal)
W32/Malware.CCAM	(Norman)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18262
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18483
http://virusinfo.info/showthread.php?t=19545

*Файлы на диске*
exe файл в временной папке, имя начинается с *win* и заканчивается несколькими случайными латинскими буквами. Например:
C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe

*Способ запуска*
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
"Explorer.exe "C:\DOCUME~1\user\LOCALS~1\Temp\win????.exe""

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.EFP	(AVG)
Rkit/Agent.DQ.31.A	(AntiVir)
Rootkit.Agent.DQ.31.A	(Webwasher-Gateway)
Rootkit.Agent.DQ.A	(Sunbelt)
Rootkit.Agent.pr	(Ewido)
Rootkit.Pandex.Gen.2	(VirusBuster)
Rootkit.Win32.Agent.pr	(VBA32)
Rootkit/Agent.HML	(Panda)
Troj/Agent-GIS	(Sophos)
Trojan.Kobcka.BE	(BitDefender)
Trojan.NtRootKit.497	(DrWeb)
Trojan.Pandex	(Symantec)
Trojan.Rootkit-286	(ClamAV)
Trojan.Win32.Undef.cz	(Rising)
Trojan/Agent.pr	(TheHacker)
VirTool:WinNT/Cutwail.C	(Microsoft)
W32/Pushu.PR!tr	(Fortinet)
W32/Smalltroj.CDMZ	(Norman)
Win-Trojan/Rootkit.7680.F	(AhnLab-V3)
Win32:Agent-NJB	(Avast)
Win32/Cutwail!generic	(eTrust-Vet)
Win32/Rootkit.Agent.DP	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16089
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=18506
http://virusinfo.info/showthread.php?t=18694
http://virusinfo.info/showthread.php?t=18937
http://virusinfo.info/showthread.php?t=19580

*Файлы на диске*
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.

*Способ запуска*
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.OBZ	(AVG)
Generic.dx	(McAfee)
Infostealer.Ldpinch.C	(Symantec)
Rkit/Agent.VN	(AntiVir)
Rootkit.Agent.vn	(Ewido)
Trojan.NtRootKit.815	(DrWeb)
Trojan/Agent.vn	(TheHacker)
VirTool:WinNT/Chksyn.A	(Microsoft)
W32/Agent.VN!tr.rkit	(Fortinet)
W32/Rootkit.CQB	(Norman)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17885
http://virusinfo.info/showthread.php?t=18538
http://virusinfo.info/showthread.php?t=18609

*Файлы на диске*
C:\Program Files\Common Files\System\winmgt32k.dll
и
C:\Program Files\Common Files\System\sysvideo32.dll
2816 байт

*Способ запуска*
Драйвер с именем как у файла: winmgt32k или sysvideo32
Функционирует как модуль пространства ядра.

*Примечание*
Детектируется AVZ, но при сканировании со стандартными настройками не удаляется:



> 3. Сканирование дисков
> C:\Program Files\Common Files\System\sysvideo32.dll >>>>> Rootkit.Win32.Agent.vn  удаление запрещено настройкой

----------


## Зайцев Олег

> *Trojan-Downloader.Win32.Diehard.dr* 
> ....
> *Файлы на диске*
> C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
> 29056 байт
> Файл трояна заменяет собой существующий системный файл.
> 
> *Способ запуска*
> Драйвер.
> ...


Данные из моей базы: такой подменненный файл может также детектироваться как Rootkit.Win32.Agent.pr, Rootkit.Win32.Agent.dp, Trojan-Downloader.Win32.Agent.acl.

----------


## AndreyKa

*Описание*
Ворует логины и пароли.
Trojan-Spy.Win32.Goldun.wp содержит список доменов с антивирусных компаний (видимо для блокирования обновлений антивирусов).
Rootkit.Win32.Agent.abc содержит строку avz.exe, то есть пытается противодействовать лечению с помощью этой утилиты.

*Встречены в темах*
http://virusinfo.info/showthread.php?t=18297
http://virusinfo.info/showthread.php?t=18340
http://virusinfo.info/showthread.php?t=18672

*Алиасы Trojan-Spy.Win32.Goldun.wp*
Generic.Malware.SFYdlwdld.08A1552D	(BitDefender)
Generic9.BCLQ	(AVG)
Logger.Goldun.wp	(Ewido)
TR/Agent.22441	(AntiVir)
Trj/ProxyServer.BA	(Panda)
Trojan.Agent.22441	(Webwasher-Gateway)
Trojan.PWS.GoldSpy	(DrWeb)
Trojan/Spy.Goldun.wp	(TheHacker)
TrojanSpy:Win32/Goldun.gen!dll	(Microsoft)
TrojanSpy.Goldun.wp	(CAT-QuickHeal)
Win-Trojan/Goldun.22441	(AhnLab-V3)
Win32/Spy.Goldun.WP	(NOD32v2)

*Файлы на диске*
C:\WINDOWS\system32\alcomt.dll
22441 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\alcomt, DLLName  

*Алиасы Rootkit.Win32.Agent.abc*
BackDoor.Generic9.UNZ	(AVG)
Rootkit.Agent.abc	(CAT-QuickHeal)
Trj/ProxyServer.BA	(Panda)
Trojan/Agent.abc	(TheHacker)
VirTool:WinNT/HideDrv.gen!A	(Microsoft)
W32/Goldun.gen3	(F-Prot)
W32/Rootkit.DJX	(Norman)
Win32/Spy.Goldun.WP	(NOD32v2)

*Файлы на диске*
C:\WINDOWS\system32\alcom.sys
8416 байт

*Способ запуска*
Драйвер: alcom
Описание: ALcom server
C:\WINDOWS\system32\alcom.sys 

*Внешние проявления* (со слов пользователей)
В нормальном режиме антивирусы не запускаются.
В нормальном режиме не виден сам avz.exe.

----------


## AndreyKa

*Алиасы*
BZub.ARU	(Norman)
Downloader.Delf.12.AK	(AVG)
TR/BHO.agz.9	(AntiVir)
Trj/Downloader.RKS	(Panda)
Troj/BHO-EL	(Sophos)
Trojan-Spy.Bzub.NGP	(Sunbelt)
Trojan:Win32/Boaxxe.C	(Microsoft)
Trojan.BHO-1189	(ClamAV)
Trojan.BHO.agz	(Ewido)
Trojan.DownLoader.38058	(DrWeb)
Trojan.Spy.Bzub.NGP	(BitDefender)
Trojan/BHO.agz	(TheHacker)
W32/BHO.AGZ!tr	(Fortinet)
Win32: Pakes-AKM	(Avast)
Win32/BHO.AGZ	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18332
http://virusinfo.info/showthread.php?t=18438
http://virusinfo.info/showthread.php?t=18773
http://virusinfo.info/showthread.php?t=19073
http://virusinfo.info/showthread.php?t=19298

*Файлы на диске*
dll файл в системной папке с различными именами, например:
c:\windows\system32\iassvc.dll
c:\windows\system32\adsld.dll
C:\WINDOWS\system32\asycfil.dll
C:\WINDOWS\system32\appmg.dll

*Способ запуска*
BHO, CLSID случайный.

----------


## AndreyKa

*Алиасы*
Backdoor.Agent.eqw	(CAT-QuickHeal)
BackDoor.Agent.QTQ	(AVG)
Generic BackDoor.t	(McAfee)
Generic.Malware.SFYdlwdld.800CFBB7	(BitDefender)
TR/Agent.22447	(AntiVir)
Trojan.PWS.GoldSpy	(DrWeb)
W32/Agent.EIZE	(Norman)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18530
http://virusinfo.info/showthread.php?t=18779
http://virusinfo.info/showthread.php?t=18867
http://virusinfo.info/showthread.php?t=19022
http://virusinfo.info/showthread.php?t=19407

*Файлы на диске*
C:\WINDOWS\system32\mplink.dll
22447 байт
Создает папку install_temp_318
Устанавливает в систему драйвер fprot.sys - *Rootkit.Win32.Agent.abo*

*Способ запуска*
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mplink, DLLName  
mplink.dll
2. Драйвер fprot
C:\WINDOWS\system32\fprot.sys
Описание: FT StarForce Protector

*Внешние проявления* (со слов пользователей)
Когда запускаешь любой .EXE или .RAR файл создается папка install_temp_318 в этой дериктории откуда запускается файл.
При распаковке AVZ, в папке куда распаковывал в норм режиме нету exe файла, в безопасном есть.

----------


## AndreyKa

*Алиасы*
Email-Worm.Win32.Warezov.et	(Sunbelt)
I-Worm.Warezov.et	(CAT-QuickHeal)
I-Worm/Stration.BOC	(AVG)
W32.HLLP.Sality	(Symantec)
W32/Sality-AD	(Sophos)
W32/Sality.AF	(F-Prot)
W32/Sality.dll	(McAfee)
W32/Sality.Y	(Panda)
W32/Saltiy.S	(AntiVir)
W32/Stration.EFZ	(Norman)
W32/[email protected]	(Fortinet)
W32/Warezov.et	(TheHacker)
Win-Trojan/Sality.40960	(AhnLab-V3)
Win32:KillAV-CP	(Avast)
Win32.Sality.m	(Rising)
Win32.Sector.28682	(DrWeb)
[email protected]	(BitDefender)
Win32/Sality.NAM	(NOD32v2)
Win32/Sality.S	(eTrust-Vet)
Worm:Win32/Sality.T.dll	(Microsoft)
Worm.Stration.XR-1	(ClamAV)
Worm.Warezov.et	(Ewido)
*Дополнительные алиасы драйвера*
Generic3.KXG	(AVG)
TR/Drop.Warezov.A.1	(AntiVir)
Trojan.Ipsof	(DrWeb)
Trojan/Sality.s	(TheHacker)
VirTool:Win32/Rootkit.C	(Microsoft)
W32/Rootkit.D!tr	(Fortinet)
W32/Sality.W	(Norman)
W32/Sality.X.drp	(Panda)
Win-Trojan/Sality.5477	(AhnLab-V3)
Win32.Warezov.96	(BitDefender)
Worm.Sality.s	(CAT-QuickHeal)

*Описание*
Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17573
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19369
http://virusinfo.info/showthread.php?t=19545

*Файлы на диске*
Заражает выполняемые файлы. Кроме этого создает свои:
c:\windows\system32\wmdrtc32.dll
40960 байт
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
5477 байт

*Способ запуска*
1. Через зараженный файл.
2. Драйвер: NdisFileServices32
Описание: NdisFileServices32
C:\WINDOWS\system32\drivers\_случайное_имя_.sys

*Внешние проявления* (со слов пользователей)
Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован.

----------


## AndreyKa

*Алиасы*
Generic9.BELN	(AVG)
Hoax.Renos.awn (CAT-QuickHeal)
Troj/Agent-GQQ	(Sophos)
Trojan.Fakealert.438	(DrWeb)
Trojan.FakeAlert.PZ	(BitDefender)
Win32/Adware.SpyKillerPro	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18791
http://virusinfo.info/showthread.php?t=18899
http://virusinfo.info/showthread.php?t=18949
http://virusinfo.info/showthread.php?t=18950
http://virusinfo.info/showthread.php?t=19121

*Файлы на диске*
%Temp%\~~install.dll
13312 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer  \SharedTaskScheduler,
CLSID: {24E31EA9-FCE2-404F-BD80-20543565D946}

*Внешние проявления* (со слов пользователей)
Сообщения о том, что компьютер заражен Trojan.SpyAgent.Da

----------


## AndreyKa

*Алиасы*
Generic9.APXO	(AVG)
TR/Zapchast.DT.1	(AntiVir)
Trj/ZapChast.DO	(Panda)
Trojan.Starter.341	(DrWeb)
Trojan.Zachpast-37	(ClamAV)
Trojan/Zapchast.dt	(TheHacker)
W32/Zapchast.BEC	(Norman)
W32/Zapchast.DT!tr	(Fortinet)
W32/Zapchast.K	(F-Prot)
Win-Trojan/Zapchast.7168.C	(AhnLab-V3)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=18194
http://virusinfo.info/showthread.php?t=18962
http://virusinfo.info/showthread.php?t=19004

*Файлы на диске*
C:\WINDOWS\System32\windows
файл с именем без расширения 7168 байт

*Способ запуска*
Служба: MSControlService
Описание: Microsoft cache control
Файл: C:\WINDOWS\System32\windows

----------


## AndreyKa

*Алиасы*
Trojan.DownLoader.49451	(DrWeb)
TrojanDropper:Win32/Cutwail.Y	(Microsoft)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18937
http://virusinfo.info/showthread.php?t=18982
http://virusinfo.info/showthread.php?t=18986
http://virusinfo.info/showthread.php?t=19023

*Файлы на диске*
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName  
WLCtrl32.dll

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.FHC	(AVG)
Rootkit.Agent.px	(Ewido)
Troj/RKAgen-Fam	(Sophos)
Trojan:Win32/Srizbi.gen	(Microsoft)
Trojan.Rootkit-264	(ClamAV)
Trojan.Sentinel	(DrWeb)
Trojan.Srizbi	(Symantec)
Trojan/Agent.px	(TheHacker)
W32/RKAgen.PX!tr.rkit	(Fortinet)
W32/Rootkit.AVX	(Norman)
Win-Trojan/RootKit.185344	(AhnLab-V3)
Win32:Srizbi	(Avast)
Win32/Rootkit.Agent.HU	(NOD32v2)

*Описание*
Функционирует как драйвер пространства ядра.
Запускается и в безопасном режиме. Успешно маскируется от AVZ - отсутствует в списке установленных драйверов.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=18940
http://virusinfo.info/showthread.php?t=18999

*Файлы на диске*
Файл с расширением sys и случайным именем из 3-4х латинских букв и двух цифр в папке c:\windows\system32\drivers
Например: c:\windows\system32\drivers\Cprk72.sys
185344 байт

*Способ запуска*
Драйвер.

*Внешние проявления* (со слов пользователей)
При подключении к сети через пару минут начинает быстро уходить трафик, в обе стороны, но от меня раза в 2-3 больше.

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.EAP	(AVG)
Rootkit.Agent.pq	(Ewido)
Rootkit.Win32.Agent.	(eSafe)
Spy-Agent.bv.sys	(McAfee)
Troj/RKRun-Gen	(Sophos)
Trojan:WinNT/Cutwail.A!sys	(Microsoft)
Trojan.Kobcka.AY	(BitDefender)
Trojan.NtRootKit.496	(DrWeb)
Trojan.Pandex	(Symantec)
Trojan.Rootkit-256	(ClamAV)
Trojan/Agent.pn	(TheHacker)
W32/Agent.PN!tr.rkit	(Fortinet)
W32/Rootkit.AIO	(F-Prot)
Win32:Small-EPJ	(Avast)
Win32/Rootkit.Agent.EY	(NOD32v2)

*Описание*
Функционирует как модуль пространства ядра.
Встречается вместе с трояном C:\WINDOWS\Temp\startdrv.exe

*Встречен в темах*
http://virusinfo.info/showthread.php?t=16270
http://virusinfo.info/showthread.php?t=18506
http://virusinfo.info/showthread.php?t=18706

*Файлы на диске*
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\drivers\ctl_w32.sys

*Способ запуска*
Драйвер: runtime2 
C:\WINDOWS\system32\drivers\runtime2.sys
драйвер ctl_w32.sys среди установленных не замечен.

----------


## AndreyKa

*Алиасы*
Mal/EncPk-BW	(Sophos)
Proxy.DRI	(Prevx1)
VirTool:Win32/Obfuscator.C	(Microsoft)
W32/Feebs.dr	(McAfee)
W32/Feebs.LO.worm	(Panda)
W32/Feebs.nj	(TheHacker)
[email protected]	(Symantec)
W32/Smalltroj.CTKS	(Norman)
Win-Trojan/Agent.45324	(AhnLab-V3)
Win32.HLLM.Graz	(DrWeb)
Win32.Worm.Feebs.NN	(BitDefender)
Win32/Mocalo.EU	(NOD32v2)
Worm.Feebs.nj	(CAT-QuickHeal)
Worm/Feebs.JS	(AVG)
Win32/VMalum.BWGJ	(eTrust-Vet)
Worm.Feebs-88	(ClamAV)

*Описание*
Почтовый червь из этого семейства: Worm.Win32.Feebs.h

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18041
http://virusinfo.info/showthread.php?t=18340
http://virusinfo.info/showthread.php?t=18832

*Файлы на диске*
dll И exe файл в системной папке со случайным именем начинающимся на ms, например:
c:\windows\system32\mspe.exe
c:\windows\system32\msuq32.dll

*Способ запуска*
1. *Active Setup*
Файл: c:\windows\system32\ms??.exe
CLSID случайный
2. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ShellSer  viceObjectDelayLoad,
Файл: ms????.dll  

*Внешние проявления* (со слов пользователей)
"слетел" установленный DrWeb, при попытке запустить установку инсталлятор закрывается.
При попытке запуска AVZ - его окно появляется и тут же исчезает.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Алиасы*
Cutwail.dll	(McAfee)
Downloader.Agent.ADET	(AVG)
TR/Dldr.Agent.kif.9	(AntiVir)
Trojan.Pandex	(Symantec)
Trojan.Win32.Undef.dqm	(Rising)
Trojan/Downloader.Agent.kif	(TheHacker)
TrojanDownloader.Agent.kif	(CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y	(Microsoft)
W32/Agent.KIF!tr.dldr	(Fortinet)
Win-Trojan/OnlineGameHack.11776.R	(AhnLab-V3)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19097
http://virusinfo.info/showthread.php?t=19121
http://virusinfo.info/showthread.php?t=19189
http://virusinfo.info/showthread.php?t=19204
http://virusinfo.info/showthread.php?t=19223
http://virusinfo.info/showthread.php?t=19253
http://virusinfo.info/showthread.php?t=19295
http://virusinfo.info/showthread.php?t=19474
http://virusinfo.info/showthread.php?t=19849
http://virusinfo.info/showthread.php?t=20020
http://virusinfo.info/showthread.php?t=20030
http://virusinfo.info/showthread.php?t=20091

*Файлы на диске*
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName  
WLCtrl32.dll

Отличия *Trojan-Downloader.Win32.Agent.ldb
Алиасы*
Downloader.Agent.ADJW	(AVG)
TR/Dldr.Agent.ldb.12	(AntiVir)
Trojan.DL.Win32.Paiman.a	(Rising)
Trojan.Dldr.Agent.ldb.12	(Webwasher-Gateway)
Trojan.DownLoader.50037	(DrWeb)
Trojan.DR.Pandex.Gen.4	(VirusBuster)
Trojan/Downloader.Agent.ldb	(TheHacker)
TrojanDownloader.Agent.ldb	(CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y	(Microsoft)
W32/Agent.dam	(Norman)
W32/Agent.LDB!tr.dldr	(Fortinet)
Win32/Wigon.BA	(NOD32v2)
http://www.virustotal.com/ru/analisi...3d2ba667afdea1

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19726
http://virusinfo.info/showthread.php?t=19776
http://virusinfo.info/showthread.php?t=19786
http://virusinfo.info/showthread.php?t=19817
http://virusinfo.info/showthread.php?t=19858
http://virusinfo.info/showthread.php?t=19910

----------


## AndreyKa

*Алиасы*
a variant of Win32/Spy.Agent.NFB	(NOD32v2)
Mal/Proxy-B	(Sophos)
PSW.Generic5.ALAY	(AVG)
Spammer:Win32/Newacc.A	(Microsoft)
TR/Agent.39936.31	(AntiVir)
Trojan-Spy.Win32.Agent.bll	(Kaspersky)
Trojan.Agent.39	(CAT-QuickHeal)
Trojan.Hotreg	(DrWeb)
Trojan.Win32.Undef.dpc	(Rising)
Trojan/Spy.Agent.bll	(TheHacker)
W32/Agent.EKVA	(Norman)
Win32/VMalum.BXRS	(eTrust-Vet)

*Описание*
Пытается войти на сайт http://login.live.com/
Обращается к сайту http://www.google.com/

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19097
http://virusinfo.info/showthread.php?t=19189
http://virusinfo.info/showthread.php?t=19295
http://virusinfo.info/showthread.php?t=19474

*Файлы на диске*
Файл со случайным именем bn?.tmp в папке c:\windows\temp
Например, c:\windows\temp\bna.tmp
39936 байт

----------


## AndreyKa

*Алиасы*
PSW.OnlineGames.AFDW	(AVG)
PWS-LegMir.gen.k	(McAfee)
Trojan.MulDrop.6474	(DrWeb)
Trojan.PSW.Win32.GameOLSys.gp	(Rising)
Trojan.PWS.OnlineGames.QZU	(BitDefender)
Trojan/PSW.OnLineGames.ryg	(TheHacker)
VirTool:Win32/Obfuscator.T	(Microsoft)
W32.Gammima.AG	(Symantec)
W32/Lineage.HPX.worm	(Panda)
W32/OnLineGames.RYG!tr.pws	(Fortinet)
W32/Smalltroj.CXLD	(Norman)
Win32/Frethog.ALU	(eTrust-Vet)
Win32/PSW.OnLineGames.NMT	(NOD32v2)
*amvo0.dll*
PSW.OnlineGames.AFDX	(AVG)
PWS-LegMir.gen.k.dll	(McAfee)
Trj/Lineage.HQA	(Panda)
Trojan.PSW.Win32.GameOLSys.gp	(Rising)
Trojan.PWS.OnlineGames.QZU	(BitDefender)
Trojan.PWS.Wsgame.3434	(DrWeb)
TrojanPSW.OnLineGames.ryg	(CAT-QuickHeal)
W32/OnLineGames.ALCY	(Norman)
W32/PWS!be7d	(F-Prot)

*Описание*
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18758
http://virusinfo.info/showthread.php?t=18853
http://virusinfo.info/showthread.php?t=19048
http://virusinfo.info/showthread.php?t=19092
http://virusinfo.info/showthread.php?t=19149
http://virusinfo.info/showthread.php?t=19350

*Файлы на диске*
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
autorun.inf и u2.cmd - на всех дисках в корневой папке

*Способ запуска*
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva 
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Отличия *Trojan-PSW.Win32.OnLineGames.tya*
*Алиасы*
Trj/Lineage.HUC	(Panda)
Trojan.PWS.OnlineGames.SQS	(BitDefender)
TrojanPSW.OnLineGames.tya	(CAT-QuickHeal)
Win32/PSW.OnLineGames.NMP	(NOD32v2)
http://www.virustotal.com/ru/analisi...53e81c52d22d2a

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19579
http://virusinfo.info/showthread.php?t=19608
http://virusinfo.info/showthread.php?t=19648
http://virusinfo.info/showthread.php?t=19715
http://virusinfo.info/showthread.php?t=19799

*Файлы на диске*
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
72192 байт

Отличия *Trojan-PSW.Win32.OnLineGames.rin*
*Алиасы*
Infostealer.Gampass	(Symantec)
Trj/Lineage.HNG	(Panda)
Trojan.PSW.Win32.GameOLSys.en	(Rising)
Trojan.PWS.Wsgame.2387	(DrWeb)
TrojanPSW.OnLineGames.rin	(CAT-QuickHeal)
VB.BHZ	(Prevx1)
W32/NSAnti.GLV	(Norman)
W32/Onlinegames.AZG	(F-Prot)
W32/OnLineGamesEncPK.fam!tr.pws	(Fortinet)
Win32: Onlinegames-CAZ	(Avast)
Win32/PSW.OnLineGames.NLK	(NOD32v2)
Worm:Win32/Taterf.D	(Microsoft)
http://www.virustotal.com/ru/analisi...12560ea3912c1f

*Встречен в темах*
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=18270
http://virusinfo.info/showthread.php?t=18810
http://virusinfo.info/showthread.php?t=19141
http://virusinfo.info/showthread.php?t=19962

*Файлы на диске*
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
54784 байт

----------


## AndreyKa

*Алиасы*
Agent.OSL	(AVG)
TR/Agent.fiw	(AntiVir)
Trj/Spammer.AGG	(Panda)
Trojan.Agent.AGZD	(BitDefender)
Trojan.Agent.fiw	(CAT-QuickHeal)
W32/Agent.FIW!tr	(Fortinet)
W32/Trojan2.VJU	(F-Prot)

*Описание*
Модуль пространства ядра.
Имеет возможности отправки сообщений электронной почты.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18863
http://virusinfo.info/showthread.php?t=18986
http://virusinfo.info/showthread.php?t=19407
http://virusinfo.info/showthread.php?t=19690
http://virusinfo.info/showthread.php?t=20168

*Файлы на диске*
C:\WINDOWS\system32\powermgmt.sys
46592 байт

*Способ запуска*
Драйвер: AdvPowerMgmt
Описание: Advanced Power Management
Файл: C:\WINDOWS\system32\powermgmt.sys

----------


## AndreyKa

*Алиасы*
Downloader.Agent.ADGB	(AVG)
TR/Dldr.Agent.kvg.5	(AntiVir)
Trojan.Dldr.Agent.kvg.5	(Webwasher-Gateway)
Trojan.DownLoader.50037	(DrWeb)
Trojan.DR.Pandex.Gen.4	(VirusBuster)
Trojan.Pandex.AH	(BitDefender)
Trojan.Win32.Undef.dvc	(Rising)
TrojanDownloader.Agent.kvg	(CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y	(Microsoft)
W32/Agent.KVG!tr.dldr	(Fortinet)
Win-Trojan/Downloader.11776.FQ	(AhnLab-V3)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19393
http://virusinfo.info/showthread.php?t=19405
http://virusinfo.info/showthread.php?t=19408
http://virusinfo.info/showthread.php?t=19438
http://virusinfo.info/showthread.php?t=19488
http://virusinfo.info/showthread.php?t=19492
http://virusinfo.info/showthread.php?t=19578
http://virusinfo.info/showthread.php?t=19584
http://virusinfo.info/showthread.php?t=19602

*Файлы на диске*
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, 
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll

*Внешние проявления* (со слов пользователей)
Большой интернет-трафик.

*Отличия Trojan-Downloader.Win32.Agent.luo
Алиасы*
Downloader.Agent.ADQQ	(AVG)
TR/Dldr.Agent.luo.8	(AntiVir)
Trojan.Dldr.Agent.luo.8	(Webwasher-Gateway)
Trojan.DR.Pandex.Gen.4	(VirusBuster)
Trojan.Dropper.Cutwail.B	(BitDefender)
TrojanDropper:Win32/Cutwail.Y	(Microsoft)
http://www.virustotal.com/ru/analisi...0f67cac71e8fe3

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20200
http://virusinfo.info/showthread.php?t=20202
http://virusinfo.info/showthread.php?t=20230
http://virusinfo.info/showthread.php?t=20246
http://virusinfo.info/showthread.php?t=20247
http://virusinfo.info/showthread.php?t=20263
http://virusinfo.info/showthread.php?t=20275
http://virusinfo.info/showthread.php?t=20276
http://virusinfo.info/showthread.php?t=20343
http://virusinfo.info/showthread.php?t=20457

----------


## AndreyKa

*Алиасы*
SHeur.AVLX	(AVG)
TR/Dldr.Small.ipy.1	(AntiVir)
Trj/Downloader.SVU	(Panda)
Troj/Agent-GNA	(Sophos)
Trojan.Dldr.Small.ipy.1	(Webwasher-Gateway)
Trojan.DownLoader.49367	(DrWeb)
Trojan.Downloader.Small.AAKR	(BitDefender)
Trojan.Win32.Undef.dls	(Rising)
Trojan.Zlob.GLG	(VirusBuster)
Trojan/Downloader.Small.ipy	(TheHacker)
TrojanDownloader.Small.ipy	(CAT-QuickHeal)
W32/DLoader.FQPL	(Norman)
Win-Trojan/Downloader.47000	(AhnLab-V3)
Win32:Small-JMK	(Avast)
Win32/Ruternam.B	(eTrust-Vet)
Win32/TrojanDownloader.Agent.NVX	(NOD32v2)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18842
http://virusinfo.info/showthread.php?t=19035
http://virusinfo.info/showthread.php?t=19417
http://virusinfo.info/showthread.php?t=19557

*Файлы на диске*
%UserProfile%\local settings\application data\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
c:\windows\system32\ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
Возможно наличие autorun.exe в корне сменного диска.

*Способ запуска*
1) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup 
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload 
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe

----------


## AndreyKa

*Алиасы*
BackDoor.Mbot	(DrWeb)
DNSChanger.G	(AVG)
Trojan:Win32/Alureon.gen!D	(Microsoft)
Trojan.DNSChanger-3010	(ClamAV)
Trojan.DNSChanger.Gen!Pac.13	(VirusBuster)
Trojan.DNSChanger.RP	(BitDefender)
Trojan.Packed.7	(Symantec)
W32/DNSChanger.AFEN	(Norman)
W32/DNSChanger.APN!tr	(Fortinet)
W32/Trojan2.ADFA	(F-Prot)
Win32.Trojan.DNSChanger.apn	(CAT-QuickHeal)
Win32.TrojanDownloader.Zlob.BMQ	(NOD32v2)

*Описание*
Внедряет свой код в другие процессы, в списке выполняемых отсутствует.
Блокирует доступ к своему файлу:



> Прямое чтение C:\WINDOWS\system32\kdrpy.exe


Внесен в базы 10 января.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18638
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19417
http://virusinfo.info/showthread.php?t=19469
http://virusinfo.info/showthread.php?t=19530
http://virusinfo.info/showthread.php?t=19945
http://virusinfo.info/showthread.php?t=20037
http://virusinfo.info/showthread.php?t=20113
http://virusinfo.info/showthread.php?t=20796

*Файлы на диске*
В папке C:\WINDOWS\system32 exe файл со случайным именем, начинающемся с kd, например:
C:\WINDOWS\system32\kdiwc.exe
C:\WINDOWS\system32\kdzko.exe

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System  
kd???.exe

*Внешние проявления* (со слов пользователей)
Со страниц поисковиков и из адресной строки перенаправляет на другие сайты.

----------


## AndreyKa

*Алиасы*
DeepScan:Generic.Malware.SYddld!!.62250B64	(BitDefender)
Downloader.Generic6.AFSF	(AVG)
TR/Dldr.Small.hyi	(AntiVir)
Trojan.DL.Small.ADKD	(VirusBuster)
Trojan.Dldr.Small.hyi	(Webwasher-Gateway)
Trojan.Downloader-22662	(ClamAV)
Trojan.DownLoader.45364	(DrWeb)
Trojan/Downloader.Small.hyi	(TheHacker)
TrojanDownloader.Small.hyi	(CAT-QuickHeal)
W32/DLoader.FKTQ	(Norman)
W32/Downldr2.AZOS	(F-Prot)
W32/Small.HYI!tr.dldr	(Fortinet)
Win-Trojan/Downloader.5632.FZ	(AhnLab-V3)

*Описание*
Прописывает себя в автозапуск.
Вносит себя как имеющее доступ приложение в настройки Брандмауэра Windows.
Отключает режим автономной работы в Internet Explorer.
Пытается загрузить файлы с сайта *sbapodremer.biz* (в нестоящее время не доступен).
Добавлен в базы 27 января.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17033
http://virusinfo.info/showthread.php?t=17034
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19545

*Файлы на диске*
exe файл во временной папке со случайным именем, начинающемся с win, например:
c:\temp\wincpkwg.exe
c:\docume~1\admini~1\locals~1\temp\winlxrn.exe
5632 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, IpSec  
%Temp%\win*.exe
%Temp% - временная папка.
* - несколько латинских букв.

----------


## AndreyKa

*Алиасы*
Adware.UltimateX-89	(ClamAV)
Aplicacion/UltimateDefender.cm	(TheHacker)
BackDoor.Ntrootkit.X	(AVG)
FakeAlert-C.dr	(McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC	(Panda)
TR/Agent.34304.19	(AntiVir)
Trojan.Agent.34304.19	(Webwasher-Gateway)
Trojan.Fakealert.458	(DrWeb)
VirTool:WinNT/Xantvi.A	(Microsoft)
Win32:Agent-QNI	(Avast)
Win32/Eldycow!generic	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...2f97aec641caaa

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19435
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=20023

*Файлы на диске*
C:\WINDOWS\System32\Drivers\Beep.SYS

*Способ запуска*
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

*Внешние проявления* (со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.

----------


## Зайцев Олег

> *Алиасы*
> Adware.UltimateX-89    (ClamAV)
> Aplicacion/UltimateDefender.cm    (TheHacker)
> BackDoor.Ntrootkit.X    (AVG)
> FakeAlert-C.dr    (McAfee)
> FraudTool.UltimateDefender.cm (CAT-QuickHeal)
> Rootkit/Nurech.BC    (Panda)
> TR/Agent.34304.19    (AntiVir)
> Trojan.Agent.34304.19    (Webwasher-Gateway)
> ...


Я пробил данный экспонат по базе анализатора, он был отловлен и изучен 5.03.2008. Он состоит из дроппера, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\system32\drivers\beep.sys, причем повторяет эту операцию три раза подряд (видимо для надежности, в том числе создавая копию в \dllcache). После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run. Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер). 
Анализатору известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW 4.03.2008. Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).

----------


## AndreyKa

*Алиасы*
BackDoor-CVT	(McAfee)
Dialer-2137	(ClamAV)
Dialer.RME	(AVG)
Troj/Nebule-Gen	(Sophos)
Trojan:Win32/Adialer.OP	(Microsoft)
Trojan.Dialer.yz	(Ewido)
Trojan.Mezzia.91	(DrWeb)
Trojan.Mezzia.Gen	(BitDefender)
Trojan.Nebuler	(Symantec)
Trojan.Win32.Dialer.yz	(VBA32)
Trojan/Dialer.yz	(TheHacker)
W32/Nebule.YZ!tr	(Fortinet)
W32/Smalldoor.dam	(Norman)
W32/Trojan2.ABSU	(F-Prot)
http://www.virustotal.com/ru/analisi...6d8ba4bcf7c7fb

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17317
http://virusinfo.info/showthread.php?t=18295
http://virusinfo.info/showthread.php?t=18962
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=20569
http://virusinfo.info/showthread.php?t=20881
http://virusinfo.info/showthread.php?t=21581

*Файлы на диске*
dll файл в папке \WINDOWS\SYSTEM32 со случайным именем, начинающимся с win и оканчивающимся на "32", например:
\WINDOWS\SYSTEM32\winpdc32.dll
\WINDOWS\system32\winpez32.dll

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__имя_файла__, DLLName

----------


## AndreyKa

*Алиасы*
Backdoor.Small.CIG	(BitDefender)
Backdoor.Small.cyb	(CAT-QuickHeal)
Proxy.YRL	(AVG)
Trj/Eldycow.B	(Panda)
Troj/FakeVir-AU	(Sophos)
Trojan.Perfcoo	(Symantec)
Trojan.Proxy.1739	(DrWeb)
Trojan.Win32.Undef.dng	(Rising)
TrojanDownloader:Win32/Eldycow.gen!A	(Microsoft)
W32/PpcFake.A!tr	(Fortinet)
W32/Smalltroj.CXSS	(Norman)
Win32.TrojanProxy.Agent.NDN	(VBA32)
Win32/Eldycow.AA	(eTrust-Vet)
Win32/TrojanProxy.Agent.NDN	(NOD32v2)
http://www.virustotal.com/ru/analisi...d6b21c7269f4fa

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=19727
http://virusinfo.info/showthread.php?t=19940
http://virusinfo.info/showthread.php?t=20023

*Файлы на диске*
C:\WINDOWS\system32\cru629.dat
6144 байт
Устанавливается вместе с такими файлами как
C:\WINDOWS\system32\dllcache\beep.sys 
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\users32.dat

*Способ запуска*
C:\WINDOWS\system32\cru629.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

----------


## AndreyKa

*Алиасы*
Aplicacion/Reanimator.a	(TheHacker)
Application/WinReanimator	(Panda)
Downloader.Agent.ACAC	(AVG)
Downloader.MisleadApp	(Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A	(AntiVir)
SystemDefender:Spyware-a	(Prevx1)
Trojan.Fakealert.452	(DrWeb)
W32/DLoader.FRGT	(Norman)
W32/Reanimator.A	(Fortinet)
Win-AppCare/Reanimator.308712	(AhnLab-V3)
Win32/Adware.WinReanimator	(NOD32v2)
http://www.virustotal.com/ru/analisi...eda388f065d50f

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19727
http://virusinfo.info/showthread.php?t=19940
http://virusinfo.info/showthread.php?t=20975

*Файлы на диске*
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.

*Способ запуска*
Инсталятор. Устанавливается с сайта  :"http://": www.winreanimator.com путем обмана посетителей, под видом программы, защищающей компьютер от вредоносного ПО.
Регулярно обновляется.

----------


## AndreyKa

*Алиасы*
Backdoor:Win32/Small.BA	(Microsoft)
BackDoor.Generic9.SWO	(AVG)
BackDoor.Kiddy	(DrWeb)
Backdoor.Small.clw	(Ewido)
Backdoor.Small.cup	(CAT-QuickHeal)
BDS/Small.cty	(AntiVir)
Trojan.Backdoor.Small.cty	(Webwasher-Gateway)
Trojan.Small-5100	(ClamAV)
W32/DLoader.FNIJ	(Norman)
Win-Trojan/Backdoor.13312.D	(AhnLab-V3)
Win32:Small-CHC	(Avast)
http://www.virustotal.com/ru/analisi...c27716073b08ce

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18034
http://virusinfo.info/showthread.php?t=18074
http://virusinfo.info/showthread.php?t=19786

*Файлы на диске*
C:\WINDOWS\system32\wininet.exe
C:\WINDOWS\system32\svc32_3.exe
13824 байт
Создает файл C:\WINDOWS\system32\svshost.dll - Backdoor.Win32.Small.cvg

----------


## Зайцев Олег

> *Алиасы*
> Aplicacion/Reanimator.a    (TheHacker)
> Application/WinReanimator    (Panda)
> Downloader.Agent.ACAC    (AVG)
> Downloader.MisleadApp    (Symantec)
> FraudTool.Reanimator.a (CAT-QuickHeal)
> PHISH/FraudTool.Reanimator.A    (AntiVir)
> SystemDefender:Spyware-a    (Prevx1)
> Trojan.Fakealert.452    (DrWeb)
> ...


Данный ITW экспонат был изучен анализатором 22.02.2008, небольшое дополнение по его работе:
1. В процессе запуска зловред может выдать окно, якобы сообщение об ошибке (это делается для "отвода глаз" пользователя). Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки
2. Обращается к сайту  :"http://": www.winreanimator.com и загружает с него несколько ZIP архивов
3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов. Далее в данной папке создаются файлы WinReanimator.exe WinReanimator.dll pthreadVC2.dll un.ico install.exe htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll msvcp80.dll msvcr80.dll) и папка DATA, в которой находится файл, судя по сигнатурам похожий на урезнанную базу от CLAV. install.exe - это копия загрузчика зловреда
4. WinReanimator.exe прописывается в автозапуск
Сам загрузчик написан на Delphi. Размер - 308 кб, на текущий момент известно 8 разновидностей. Созданный им да диске WinReanimator после установки запускается, "сканирует" систему. На эталонной системе Windows XP SP2 он "находит" 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для "лечения" необходимо купить программу ... За счет автозапуска процесс "сканирования" повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор

----------


## AndreyKa

*Алиасы*
I-Worm/Nuwar.N	(AVG)
Storm.Worm	(Sunbelt)
Trj/Alanchum.XH	(Panda)
Trojan:Win32/Tibs.FS	(Microsoft)
Trojan.DownLoader.19256	(DrWeb)
Trojan.Peed-154	(ClamAV)
TROJAN.PEED.AK	(Prevx1)
Trojan.Peed.JAL	(BitDefender)
Trojan.Tibs.Gen!Pac.G	(VirusBuster)
Trojan.Win32.Zhelatin	(VBA32)
Trojan/Downloader.Tibs.vz	(TheHacker)
W32/Tibs.BNJZ	(Norman)
W32/Tibs.L.gen!Eldorado	(F-Prot)
Win32.Trojan-Downloader.Tibs.qt.4	(CAT-QuickHeal)
Win32/SillyDl.DZN	(eTrust-Vet)
WORM/Zhelatin.Gen	(AntiVir)
http://www.virustotal.com/ru/analisi...853fa49e93c067

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19250
http://virusinfo.info/showthread.php?t=19709
http://virusinfo.info/showthread.php?t=19977

*Файлы на диске*
C:\WINDOWS\system32\wind32.exe
или
C:\WINDOWS\system32\win32.exe
16848 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, System 

*Примечание*
Детектируется эвристиком AVZ: Подозрение на Trojan-Downloader.Win32.Tibs.wc
Обращается к сайту bestnums.net

----------


## AndreyKa

*Алиасы*
Downloader.Agent.ADKO	(AVG)
Spammer:Win32/Newacc.A	(Microsoft)
TR/Dldr.Agent.leu.1	(AntiVir)
Trojan.Dldr.Agent.leu.1	(Webwasher-Gateway)
Trojan.DownLoader.50217	(DrWeb)
TrojanDownloader.Agent.leu	(CAT-QuickHeal)
W32/Agent.EVGM	(Norman)
W32/Agent.LEU!tr.dldr	(Fortinet)
Win32/Spy.Agent.NFN	(NOD32v2)
http://www.virustotal.com/ru/analisi...244ea3de753f14

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19777
http://virusinfo.info/showthread.php?t=19849
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20020
http://virusinfo.info/showthread.php?t=20030
http://virusinfo.info/showthread.php?t=20091

*Файлы на диске*
Файлы с расширением *tmp* и именем начинающимся с *bn* в папке c:\windows\temp, например:
c:\windows\temp\bn3.tmp
c:\windows\temp\bnf.tmp
46080 байт

*Способ запуска*
Загружается из Интернета и запускается другой вредоносной программой (предположительно *Trojan-Downloader.Win32.Agent.kif*).

*Внешние проявления* (со слов пользователей)
Запускаются лишние процессы svchost.exe и Internet Explorer.

Отличия *Trojan-Downloader.Win32.Agent.mkb
Дополнительные алиасы*
Downloader.Agent.AEWS	(AVG)
TR/Dldr.Agent.mkb.5	(AntiVir)
Trojan.Dldr.Agent.mkb.5	(Webwasher-Gateway)
Trojan.DownLoader.56617	(DrWeb)
W32/Agent.FDVK	(Norman)
Win-Trojan/Agent.46592.CZ	(AhnLab-V3)
Win32/SillyDl.EDE	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...e042084c3665f1

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21013
http://virusinfo.info/showthread.php?t=21056
http://virusinfo.info/showthread.php?t=21113
http://virusinfo.info/showthread.php?t=21129
http://virusinfo.info/showthread.php?t=21140
http://virusinfo.info/showthread.php?t=21208
http://virusinfo.info/showthread.php?t=21648
http://virusinfo.info/showthread.php?t=21818
http://virusinfo.info/showthread.php?t=21829

*Файлы на диске*
46592 байт

*Способ запуска*
Загружается из Интернета и запускается другой вредоносной программой (одной из семейства Trojan-Downloader.Win32.Mutant).

----------


## AndreyKa

*Алиасы*
Agent.2.BT	(AVG)
Rootkit.Agent.aaq	(Ewido)
Rootkit.Srizbi.Gen	(VirusBuster)
Rootkit/Agent.FGN	(Panda)
Srizbi.sys	(McAfee)
Troj/RKAgen-Fam	(Sophos)
Trojan:Win32/Srizbi.gen	(Microsoft)
Trojan.Sentinel	(DrWeb)
Trojan.Srizbi.a	(CAT-QuickHeal)
Trojan.Srizbi.AX	(BitDefender)
Trojan.Win32.Undef.czb	(Rising)
Trojan/Agent.abe	(TheHacker)
W32/Rootkit.AVX	(Norman)
W32/Trojan2.UOG	(F-Prot)
Win-Trojan/Rootkit.167424	(AhnLab-V3)
Win32:Srizbi	(Avast)
http://www.virustotal.com/ru/analisi...ebff54f43941d#

*Описание*
Рассылает спам, использует методы руткита для сокрытия своего присутствия в системе. Запускается в безопасном режиме загрузки Windows.
Детектируется эвристиком AVZ: *Подозрение на Trojan.Win32.Srizbi.j*
Функционирует как модуль пространства ядра. В списке драйверов AVZ отсутствует.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18620
http://virusinfo.info/showthread.php?t=19409
http://virusinfo.info/showthread.php?t=19821
http://virusinfo.info/showthread.php?t=20185
http://virusinfo.info/showthread.php?t=20680
http://virusinfo.info/showthread.php?t=20690

*Файлы на диске*
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\system32\Drivers\Urbh37.sys
C:\WINDOWS\system32\drivers\grande48.sys
167936 байт

*Способ запуска*
Драйвер.

Отличия *Trojan.Win32.Srizbi.j
Дополнительные алиасы*
Rootkit/Agent.IGL	(Panda)
Trojan.Rootkit-654	(ClamAV)
Trojan.Srizbi.j	(Ewido)
W32/RKAgen.J!tr	(Fortinet)
Win32.Srizbi.j	(eSafe)
Win32/Rootkit.Agent.HU	(NOD32v2)
http://www.virustotal.com/ru/analisi...b335385840a0c5

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19858
http://virusinfo.info/showthread.php?t=20185
http://virusinfo.info/showthread.php?t=20222

----------


## AndreyKa

*Алиасы*
RKIT/Podnuha.AK.1	(AntiVir)
Rootkit.Podnuha.AK.1	(Webwasher-Gateway)
Trojan:Win32/Boaxxe.B	(Microsoft)
Trojan.DownLoader.54066	(DrWeb)
Trojan/Podnuha.ak	(TheHacker)
W32/Podnuha.AK!tr.rkit	(Fortinet)
W32/Rootkit.EKT	(Norman)
http://www.virustotal.com/ru/analisi...f855f44fbca11b

*Описание*
Функцонирует как модуль Проводника.
Удаляет из автозагрузки SpybotSD TeaTimer.
Может детектироватся AVZ как: Подозрение на Rootkit.Win32.Podnuha.al

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19430
http://virusinfo.info/showthread.php?t=20048
http://virusinfo.info/showthread.php?t=20373

*Файлы на диске*
dll файл в папке C:\WINDOWS\system32 со случайным именем, например:
c:\windows\system32\adsnd.dll
C:\WINDOWS\system32\pstorsv.dll

*Способ запуска*
Модуль расширения Internet Explorer, BHO
CLSID случайный.

Отличия *Rootkit.Win32.Podnuha.ay
Дополнительные Алиасы*
BackDoor.Generic9.ADUG	(AVG)
RKIT/Podnuha.AY.2	(AntiVir)
Rootkit.Podnuha.AY.2	(Webwasher-Gateway)
Trojan.DownLoader.54960	(DrWeb)
Trojan/Podnuha.ay	(TheHacker)
W32/Podnuha.AY!tr.rkit	(Fortinet)
W32/Rootkit.EQN	(Norman)
Win-Trojan/Podnuha.98048.D	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...a339e3f647f113

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20247
http://virusinfo.info/showthread.php?t=20412
http://virusinfo.info/showthread.php?t=21622

----------


## AndreyKa

*Алиасы*
Adware.BitAcc	(DrWeb)
Generic10.UZ	(AVG)
Trojan.Generic.133331	(BitDefender)
TrojanClicker:Win32/RuPass	(Microsoft)
W32/Trojan2.AFYX	(F-Prot)
http://www.virustotal.com/ru/analisi...fa5fc851ce29ad

*Описание*
Распространяется сайтом letitbit.net под видом "ускорителя":



> Bit Accelerator
> позволяет увеличить скорость до 10 раз. Установите нашу программу и получите файл


Широкое распространение данного трояна обеспечивает схема подкупа распространителей ссылок:



> Мы платим вам деньги за уникальные загрузки ваших файлов.
> Цена за 1000 уникальных доунлоадов, варьируется, от 5$ до 15$ - в зависимости от качества трафика (посетителей)


*Встречен в темах*
http://virusinfo.info/showthread.php?t=19917
http://virusinfo.info/showthread.php?t=20246
http://virusinfo.info/showthread.php?t=20270
http://virusinfo.info/showthread.php?t=20406
http://virusinfo.info/showthread.php?t=20563
http://virusinfo.info/showthread.php?t=22924

*Файлы на диске*
c:\program files\connectionservices\connectionservices.dll
454144 байт

*Способ запуска*
Модули расширения Internet Explorer, BHO   
CLSID {6D7B211A-88EA-490c-BAB9-3600D8D7C503} 

*Внешние проявления* (со слов пользователей)
Переадресация браузера на ненужные сайты.

Отличия *Trojan.Win32.ConnectionServices.w
Алиасы*
Fakesvc.D	(AVG)
TR/ConnectionServices.W	(AntiVir)
Trojan.BhoSpy.2	(DrWeb)
Trojan.Clicker.Win32.ConnectionSrv.a	(Rising)
Trojan.ConnectionServices.w	(CAT-QuickHeal)
Trojan.Generic.241832	(BitDefender)
Trojan.Spy-32751	(ClamAV)
TrojanClicker:Win32/RuPass.B	(Microsoft)
W32/BitAccelerator.HF	(Norman)
W32/ConnectionServices.W!tr	(Fortinet)
http://www.virustotal.com/ru/analisi...5d40ee7d68631e

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21600
http://virusinfo.info/showthread.php?t=22786
http://virusinfo.info/showthread.php?t=22924
http://virusinfo.info/showthread.php?t=23040
http://virusinfo.info/showthread.php?t=23067
http://virusinfo.info/showthread.php?t=23165
http://virusinfo.info/showthread.php?t=23532
http://virusinfo.info/showthread.php?t=23539
http://virusinfo.info/showthread.php?t=23729

*Файл на диске*
462336 байт

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Алиасы*
Agent.QZP	(AVG)
TR/Agent.iae	(AntiVir)
Trojan.Agent.hhc	(CAT-QuickHeal)
Trojan.DL.BServ.Gen	(VirusBuster)
Trojan.Inject.GF	(BitDefender)
Trojan.Okuks	(DrWeb)
W32/Agent.EWQN	(Norman)
Win-Trojan/Agent.24576.KW	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...4a3a6feccec295

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20544
http://virusinfo.info/showthread.php?t=20547
http://virusinfo.info/showthread.php?t=20569
http://virusinfo.info/showthread.php?t=20632
http://virusinfo.info/showthread.php?t=20907

*Файлы на диске*
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\basesecn32.dll
24576 байт

*Способ запуска*
Прописывает свой автозапуск в реестре оригинальным способом, в ключе *Windows* раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.

*Примечание*
Антивирус DrWeb CureIt! может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.

Отличия *Trojan.Win32.Agent.fde
Дополнительные алиасы*
Agent.OHU	(AVG)
TR/Agent.fde.1	(AntiVir)
Trj/Agent.HYT	(Panda)
Trojan:Win32/Agent.ADH	(Microsoft)
Trojan.Agent.fbo	(CAT-QuickHeal)
Trojan.Agent.fde.1	(Webwasher-Gateway)
Trojan.DoS.Win32.Opdos	(Prevx1)
W32/Agent.EGPL	(Norman)
Win-Trojan/Agent.24576.KO	(AhnLab-V3)
Win32/BHO.NCK	(NOD32v2)
http://www.virustotal.com/ru/analisi...7ff766f6541c02

*Встречен в темах*
http://virusinfo.info/showthread.php?t=19313
http://virusinfo.info/showthread.php?t=19346
http://virusinfo.info/showthread.php?t=20772

Отличия *Trojan.Win32.Agent.fxk
Дополнительные алиасы*
Agent.PRJ	(AVG)
W32/Agent.EXRV	(Norman)
Win-Trojan/Agent.24576.KH	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...4a3a6feccec295

*Встречен в темах*
http://virusinfo.info/showthread.php?t=18609
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19121
http://virusinfo.info/showthread.php?t=20397
http://virusinfo.info/showthread.php?t=20714
http://virusinfo.info/showthread.php?t=20907
http://virusinfo.info/showthread.php?t=22199

----------


## AndreyKa

*Алиасы*
Downloader.Generic7.DOA	(AVG)
TR/Dldr.Small.trp	(AntiVir)
Trojan.Dldr.Small.trp	(Webwasher-Gateway)
Trojan.PWS.Pace	(DrWeb)
TrojanDownloader.Small.trp	(CAT-QuickHeal)
W32/DLoader.GLCE	(Norman)
http://www.virustotal.com/ru/analisi...c3f2cfbe61fc04

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20782
http://virusinfo.info/showthread.php?t=20884
http://virusinfo.info/showthread.php?t=20930
http://virusinfo.info/showthread.php?t=20944
http://virusinfo.info/showthread.php?t=21388
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21725
http://virusinfo.info/showthread.php?t=22211

*Файлы на диске*
%UserProfile%\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
Файлы имеют случайный размер, так как в конец файла дописывается "мусор".

*Способ запуска*
1) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload  
%UserProfile%\cftmon.exe
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload  
%UserProfile%\cftmon.exe
3) Нестандартный ключ Shell\Open для "exefile": "C:\WINDOWS\system32\drivers\spools.exe "%1" %*"

Отличия *Worm.Win32.Socks.au
Алиасы*
PSW.Agent.SPY	(AVG)
Trojan.DownLoader.56630	(DrWeb)
W32/Socks.au	(TheHacker)
W32/Socks.B.worm	(Panda)
Win32:Socks-F	(Avast)
Win32.Worm.Socks.D	(BitDefender)
Win32/PSW.Agent.NHI	(NOD32v2)
Win32/Ruternam!generic.2	(eTrust-Vet)
Worm:Win32/Agent.AF	(Microsoft)
Worm.Socks-3	(ClamAV)
Worm.Socks.C	(VirusBuster)
Worm/Socks.AU	(AntiVir)
http://www.virustotal.com/ru/analisi...ddab0fd1d767bd

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21096
http://virusinfo.info/showthread.php?t=21169
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=22211

*Дополнительные способы запуска*
4) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup 
5) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, ntuser  
C:\WINDOWS\system32\drivers\spools.exe
6) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser  
C:\WINDOWS\system32\drivers\spools.exe

----------


## AndreyKa

*Алиасы*
Backdoor.SDBot.DFCV	(BitDefender)
Generic10.FSZ	(AVG)
Mal/Emogen-G	(Sophos)
Trojan.DoS.Win32.Opdos	(Prevx1)
Trojan.Pakes.clw	(CAT-QuickHeal)
Trojan.Proxy.3057	(DrWeb)
W32/Smalltroj.DQHU	(Norman)
http://www.virustotal.com/ru/analisi...1308e59a6b56d2

*Описание*
Функционирует как модуль процесса c:\windows\system32\winlogon.exe
Рассылает спам.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20794
http://virusinfo.info/showthread.php?t=20925
http://virusinfo.info/showthread.php?t=21027
http://virusinfo.info/showthread.php?t=21837

*Файлы на диске*
C:\WINDOWS\system32\sysfldr.dll
14336 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName  
Файл: sysfldr.dll

*Внешние проявления* (со слов пользователей)
Постоянная сетевая активность при подключении к Интернету.

----------


## AndreyKa

*Алиасы*
Downloader.Agent.ADPL	(AVG)
TR/Dldr.Agent.lsw	(AntiVir)
Trj/Downloader.TAV	(Panda)
Troj/Agent-GUC	(Sophos)
TROJAN.AGENT.GEN	(Prevx1)
Trojan.CL.Zirit.B	(VirusBuster)
Trojan.Click.18023	(DrWeb)
Trojan.Clicker.Win32.Undef.c	(Rising)
Trojan.Dldr.Agent.lsw	(Webwasher-Gateway)
Trojan.Downloader.JJSF	(BitDefender)
Trojan.Dropper-5285	(ClamAV)
Trojan/Downloader.Agent.lsw	(TheHacker)
TrojanClicker:Win32/Zirit.X	(Microsoft)
TrojanDownloader.Agent.lsw	(CAT-QuickHeal)
W32/Agent.LSW!tr.dldr	(Fortinet)
W32/Downldr2.BGGB	(F-Prot)
Win-Trojan/Agent.14378.B	(AhnLab-V3)
Win32:Agent-SVM	(Avast)
Win32/SillyDl.EBM	(eTrust-Vet)
Win32/TrojanClicker.Agent.NCU	(NOD32v2)
http://www.virustotal.com/ru/analisi...157b91054c40b6

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20280
http://virusinfo.info/showthread.php?t=20596
http://virusinfo.info/showthread.php?t=21169

*Файлы на диске*
dll файл в подпапке со случайным именем папки C:\WINDOWS\Installer. Имя файла может быть разным:
C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll
C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll
C:\WINDOWS\Installer\{30b210fd-2fae-4432-97f1-3668528dff51}\RunOnceAlrt.dll
14378 байт.

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad

----------


## AndreyKa

*Алиасы*
Dropper.Small.apl	(Ewido)
Dropper.Win32.Agent.nxs	(Rising)
Dropper/Downloader.70207	(AhnLab-V3)
Generic.VDU	(AVG)
TR/Drop.Small.apl	(AntiVir)
Trj/Dropper.UN	(Panda)
Troj/Dropper-LC	(Sophos)
Trojan.Drop.Small.apl	(Webwasher-Gateway)
Trojan.Dropper-829	(ClamAV)
Trojan.Dropper.Small.APL	(BitDefender)
Trojan.MulDrop.4181	(DrWeb)
TrojanDropper.Small.apl	(CAT-QuickHeal)
W32/Dropper.BMZ	(F-Prot)
W32/Perlovga	(McAfee)
W32/Smalldrp.JHW	(Norman)
Win32:Agent-ILR	(Avast)
Win32.Small.apl	(eSafe)
Win32/Perlovga.A	(eTrust-Vet)
Win32/TrojanDropper.Small.APL	(NOD32v2)
Worm:Win32/Perlovga.dr	(Microsoft)
Worm.DR.Perlovga.B	(VirusBuster)
http://www.virustotal.com/ru/analisi...2d61796d527dda

*Описание*
При запуске создает и запускает вредоносные файлы:
C:\WINDOWS\system32\temp2.exe - *Backdoor.Win32.Small.lo*
C:\WINDOWS\system32\temp1.exe - *Worm.Win32.Perlovga.c*
Пытается подключиться к hnmy.3322.org:8888

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20496
http://virusinfo.info/showthread.php?t=20507
http://virusinfo.info/showthread.php?t=20508
http://virusinfo.info/showthread.php?t=22099
http://virusinfo.info/showthread.php?t=22155
http://virusinfo.info/showthread.php?t=22358

*Файлы на диске*
C:\WINDOWS\svchost.exe
70207 байт

*Способ запуска*
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
Файл: C:\WINDOWS\svchost.exe

----------


## AndreyKa

*Алиасы*
Ad-Spyware.Bho.ajq.2	(Webwasher-Gateway)
ADSPY/Bho.ajq.2	(AntiVir)
Adware Generic3.YB	(AVG)
AdWare.BHO.ajq 	(CAT-QuickHeal)
Troj/BHO-FA	(Sophos)
Trojan.BHO.Delf.M	(BitDefender)
Trojan.BHO.HCZ	(VirusBuster)
W32/BHO.BXO	(Norman)
Win32/Adware.BHO.AJQ	(NOD32v2)
http://www.virustotal.com/ru/analisi...897e860454f920

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20700
http://virusinfo.info/showthread.php?t=20796
http://virusinfo.info/showthread.php?t=20944
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21824
http://virusinfo.info/showthread.php?t=21829
http://virusinfo.info/showthread.php?t=22211

*Файлы на диске*
c:\autoex.dll
444416 байт

*Способ запуска*
BHO
CLSID: {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} 
Файл: c:\autoex.dll

----------


## AndreyKa

*Алиасы*
Downloader.Generic7.EBJ	(AVG)
TR/Agent.11264.71	(AntiVir)
Trj/BedeTres.Q	(Panda)
Trojan.Agent.11264.71	(Webwasher-Gateway)
Trojan.DownLoader.54123	(DrWeb)
Trojan.DR.Pandex.Gen.4	(VirusBuster)
Trojan.Kobcka.DK	(BitDefender)
Trojan.Win32.Undef.ems	(Rising)
TrojanDownloader.Mutant.ci	(CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Z	(Microsoft)
W32/DLoader.GMYU	(Norman)
W32/Mutant.CI!tr.dldr	(Fortinet)
Win32/Cutwail!generic.1	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...07b9906c072ccd

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20908
http://virusinfo.info/showthread.php?t=20925
http://virusinfo.info/showthread.php?t=20933
http://virusinfo.info/showthread.php?t=20988
http://virusinfo.info/showthread.php?t=21027
http://virusinfo.info/showthread.php?t=21031
http://virusinfo.info/showthread.php?t=21126
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21208

*Файлы на диске*
C:\WINDOWS\system32\WLCtrl32.dll
10752 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32,
DLLName: WLCtrl32.dll

Отличия *Trojan-Downloader.Win32.Mutant.da
Дополнительные алиасы*
Dropper.Win32.Agent.zij	(Rising)
TR/Dldr.Mutant.CZ	(AntiVir)
Trojan.Cutwail.z	(CAT-QuickHeal)
Trojan.Dldr.Mutant.CZ	(Webwasher-Gateway)
Trojan.Downloader-29322	(ClamAV)
Trojan.DownLoader.54123	(DrWeb)
Trojan.Kobcka.DM	(BitDefender)
http://www.virustotal.com/ru/analisi...5fbc2c046d8b8b

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21068
http://virusinfo.info/showthread.php?t=21100
http://virusinfo.info/showthread.php?t=21129

Отличия *Trojan-Downloader.Win32.Mutant.hx
Дополнительные алиасы*
Dropper.Win32.Cutwail.s	(Rising)
Trojan.DownLoader.56882	(DrWeb)
TrojanDownloader.Mutant.hx	(CAT-QuickHeal)
Win32/Wigon.BP	(NOD32v2)
http://www.virustotal.com/ru/analisi...59523b4353ed61

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21013
http://virusinfo.info/showthread.php?t=21310
http://virusinfo.info/showthread.php?t=21320
http://virusinfo.info/showthread.php?t=21348
http://virusinfo.info/showthread.php?t=21356
http://virusinfo.info/showthread.php?t=21379
http://virusinfo.info/showthread.php?t=21380
http://virusinfo.info/showthread.php?t=21388
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21944

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.TDG	(AVG)
Rootkit.575	(BitDefender)
Rootkit.Agent.aag	(Ewido)
Rootkit/Agent.IFM	(Panda)
Spammer:WinNT/Srizbi.A	(Microsoft)
Trojan.Rootkit-761	(ClamAV)
Trojan.Spambot.2830	(DrWeb)
Trojan.Srizbi	(Symantec)
Trojan/Agent.aag	(TheHacker)
W32/Agent.AAG!tr.rkit	(Fortinet)
W32/Rootkit.APT	(F-Prot)
W32/Rootkit.DHI	(Norman)
Win-Trojan/Agent.143872.I	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...72fe378960bbe4

*Описание*
Функционирует как модуль пространства ядра. 
Рассылает СПАМ.
Руткит противодействует AVZ, при выполнении стандартных скриптов вызывается неустранимая ошибка (BSOD) и компьютер перезагружается. Загружается и в безопасном режиме.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20592
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21555

*Файлы на диске*
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\Drivers\Qnj38.sys
C:\WINDOWS\system32\drivers\symavc32.sys
143872 байт

*Способ запуска*
Драйвер. В логе AVZ виден только как работающий модуль пространства ядра.

Отличия *Rootkit.Win32.Agent.aih
Дополнительные алиасы*
Generic10.FSN	(AVG)
Rootkit.Agent.aih	(CAT-QuickHeal)
Rootkit.Srizbi.Gen	(VirusBuster)
Rootkit/Agent.IGL	(Panda)
Spammer:WinNT/Srizbi.gen	(Microsoft)
Srizbi.sys	(McAfee)
Trojan.Rootkit-654	(ClamAV)
Trojan.Sentinel	(DrWeb)
Trojan.Srizbi.AX	(BitDefender)
Trojan.Srizbi.j	(Ewido)
Trojan.Win32.Srizbi.j	(VBA32)
Trojan.Win32.Undef.czb	(Rising)
W32/Rootkit.AVX	(Norman)
W32/Trojan2.UOG	(F-Prot)
Win-Trojan/Rootkit.167424	(AhnLab-V3)
Win32.Srizbi.j	(eSafe)
Win32/Agent.NRK	(NOD32v2)
Win32/Fuzfle.AN	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...03a7d875acbee4

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=22141
http://virusinfo.info/showthread.php?t=22165
http://virusinfo.info/showthread.php?t=22211
http://virusinfo.info/showthread.php?t=22317
http://virusinfo.info/showthread.php?t=22383
http://virusinfo.info/showthread.php?t=22421
http://virusinfo.info/showthread.php?t=23005
http://virusinfo.info/showthread.php?t=23626
http://virusinfo.info/showthread.php?t=24009
http://virusinfo.info/showthread.php?t=24016

*Файл на диске*
167936 байт

----------


## AndreyKa

*Алиасы*
I-Worm.Bagle.of	(CAT-QuickHeal)
Mal/Behav-191	(Sophos)
TR/Bagle.Gen.B	(AntiVir)
Trojan.Bagle.Gen.B	(Webwasher-Gateway)
W32/Bagle.gen	(McAfee)
W32/Bagle.RP.worm	(Panda)
W32/PackBag.A	(Fortinet)
[email protected]	(BitDefender)
Win32.HLLM.Beagle	(DrWeb)
Worm:Win32/Bagle.gen!C	(Microsoft)
http://www.virustotal.com/ru/analisi...8bd681b5b9761a

*Описание*
Почтовый червь.
Останавливает службы:
- ALG "Служба шлюза уровня приложения"
- RasMan "Диспетчер подключений удаленного доступа"
- SharedAccess "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
- TapiSrv "Телефония"
- wscsvc "Центр обеспечения безопасности"
Использует технологию руткита для сокрытия присутствия в операционной системе.
Препятствует запуску антивирусных программ по именам файлов.
У всех файлов одинаковая контрольная сумма CRC32: 2144DF1C, не смотря на то, что содержимое файлов разное.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=17148
http://virusinfo.info/showthread.php?t=17312
http://virusinfo.info/showthread.php?t=20072
http://virusinfo.info/showthread.php?t=21586
http://virusinfo.info/showthread.php?t=21685
http://virusinfo.info/showthread.php?t=23473

*Файлы на диске*
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
Встречается вместе с файлами семейства Trojan-Downloader.Win32.Bagle:
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\drivers\srosa.sys

*Способ запуска*
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, german.exe  
Файл: C:\WINDOWS\system32\wintems.exe

----------


## AndreyKa

*Алиасы*
Sus/Behav-200	(Sophos)
Trojan.Virtumod.367	(DrWeb)
Trojan.Vundo.EHW	(BitDefender)
W32/Virtumonde.URK	(Norman)
http://www.virustotal.com/ru/analisi...aa77ecb0fcc74b

*Описание*
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21839
http://virusinfo.info/showthread.php?t=21860
http://virusinfo.info/showthread.php?t=21879

*Файлы на диске*
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32, например:
C:\Windows\system32\tuvrqojg.dll
88128 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run

----------


## AndreyKa

*Алиасы*
Generic10.OWF	(AVG)
Trojan.Agent.AGKK	(BitDefender)
Trojan.Okuks.27	(DrWeb)
Trojan.Pakes.csd	(CAT-QuickHeal)
W32/Agent.AZ.gen!Eldorado	(F-Prot)
http://www.virustotal.com/ru/analisi...65d5fe0dcbbc41

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21668
http://virusinfo.info/showthread.php?t=21896
http://virusinfo.info/showthread.php?t=21940
http://virusinfo.info/showthread.php?t=21952
http://virusinfo.info/showthread.php?t=22062
http://virusinfo.info/showthread.php?t=22107

*Файлы на диске*
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseouqwr32.dll
24576 байт

*Способ запуска*
Прописывает свой запуск в реестре, в ключе *Windows* раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
При удалениии файла компьютер не может загрузиться в любом режиме.

Примечание
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.

Отличия *Trojan.Win32.SubSys.ce
Дополнительные алиасы*
Agent.STC	(AVG)
TR/Inject.GF.22	(AntiVir)
Troj/Agent-GXR	(Sophos)
Trojan-PWS.Papras.D	(Sunbelt)
Trojan:Win32/Subsys.C	(Microsoft)
Trojan.DL.BServ.Gen	(VirusBuster)
Trojan.Inject.GF.22	(Webwasher-Gateway)
Trojan.PWS.Papras.D	(BitDefender)
Trojan.SubSys.ce	(CAT-QuickHeal)
W32/Smalltroj.ECGR	(Norman)
W32/SubSys.CE!tr	(Fortinet)
Win-Trojan/Subsys.24576.C	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...5b644f5d21d699

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21082
http://virusinfo.info/showthread.php?t=21191
http://virusinfo.info/showthread.php?t=21672
http://virusinfo.info/showthread.php?t=22072
http://virusinfo.info/showthread.php?t=22173
http://virusinfo.info/showthread.php?t=22765

----------


## AndreyKa

*Алиасы*
Mal/Behav-066	(Sophos)
SHeur.BFFQ	(AVG)
TR/Spy.ZBot.bbi	(AntiVir)
Trj/Sinowal.DW	(Panda)
Trojan.Proxy.3111	(DrWeb)
Trojan.Spy.ZBot.BN	(BitDefender)
Trojan/Spy.Zbot.bbi	(TheHacker)
TrojanSpy.Zbot.GO	(VirusBuster)
W32/Zbot.KA	(Norman)
Win32: Zbot-KK	(Avast)
Win32/VMalum.CPYF	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...9759c85817abb1

*Описание*
Троян со свойствами руткита. Отключает файрволы, похищает конфиденциальную финансовую информацию (номера кредитных карт, данные идентификации онлайновых банковских служб), делает снимки экрана, скачивает дополнительные програмные модули и открывает удаленный доступ к зараженной системе для злоумышленника.
Внедряет свой исполняемый код в функционирующие системные процессы.
Связывается с веб-сайтом по адресу: 195.2.253.94

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21783
http://virusinfo.info/showthread.php?t=21818
http://virusinfo.info/showthread.php?t=22003
http://virusinfo.info/showthread.php?t=22027
http://virusinfo.info/showthread.php?t=23677

*Файлы на диске*
C:\WINDOWS\system32\ntos.exe
Размер файла случайный. К его телу размером 47104 байт приписывается "мусор" случайного размера.

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

Отличия *Trojan-Spy.Win32.Zbot.bcn
Алиасы*
Mal/EncPk-DI	(Sophos)
Pakes.AB	(AVG)
TR/Spy.ZBot.bcn	(AntiVir)
Trojan.Proxy.2842	(DrWeb)
Trojan.Spy.Wsnpoem.BA	(BitDefender)
Trojan.Spy.ZBot.bcn	(Webwasher-Gateway)
Trojan.Zbot-655	(ClamAV)
Trojan/Spy.Zbot.bcn	(TheHacker)
TrojanSpy.Zbot.bcn	(CAT-QuickHeal)
W32/Zbot.KU	(Norman)
Win32: Zbot-LM	(Avast)
http://www.virustotal.com/ru/analisi...dd0fec8c503023

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21672
http://virusinfo.info/showthread.php?t=21931
http://virusinfo.info/showthread.php?t=21952
http://virusinfo.info/showthread.php?t=22262
http://virusinfo.info/showthread.php?t=23141
http://virusinfo.info/showthread.php?t=23696

Отличия *Trojan-Spy.Win32.Zbot.bdg
Дополнительные алиасы*
Infostealer.Banker.C	(Symantec)
PWS:Win32/Zbot.EQ	(Microsoft)
Trojan.NTos.Gen!Pac.3	(VirusBuster)
Trojan.Proxy.2003	(DrWeb)
Trojan.Spy.Wsnpoem.BF	(BitDefender)
Trojan.Zbot-666	(ClamAV)
Trojan/Spy.Zbot.bdg	(TheHacker)
TrojanSpy.Zbot.bdg	(CAT-QuickHeal)
W32/Zbot.OI	(Norman)
http://www.virustotal.com/ru/analisi...a653f4b22448a4

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21811
http://virusinfo.info/showthread.php?t=22141
http://virusinfo.info/showthread.php?t=22165
http://virusinfo.info/showthread.php?t=22900

*Файл на диске*
Размер тела 45056 байт + мусор случайного размера

----------


## AndreyKa

*Алиасы*
BlockReason.0	(Webwasher-Gateway)
SHeur.BGTB	(AVG)
Trojan:Win32/Delfobfus.A	(Microsoft)
Trojan.DL.Win32.Agent.bxw	(Rising)
Trojan.Spambot.2496	(DrWeb)
Trojan/Agent.is	(TheHacker)
http://www.virustotal.com/ru/analisi...47d4771d30e8d4

*Описание*
Рассылает спам.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21668
http://virusinfo.info/showthread.php?t=21931
http://virusinfo.info/showthread.php?t=21940
http://virusinfo.info/showthread.php?t=22090
http://virusinfo.info/showthread.php?t=22308

*Файлы на диске*
C:\WINDOWS\temp\winlogon.exe
39424 байт

*Способ запуска*
Ключ реестра HKEY_USERS, HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup

Отличия *SpamTool.Win32.Agent.kf
Алиасы*
Dropper.BB!tr	(Fortinet)
Dropper.Generic.XNM	(AVG)
Trojan.DL.Win32.Agent.bxw	(Rising)
Trojan.Generic.263079	(BitDefender)
Trojan/Agent.kf	(TheHacker)
http://www.virustotal.com/ru/analisi...511eca4a7ef240

*Встречен в темах*
http://virusinfo.info/showthread.php?t=23113
http://virusinfo.info/showthread.php?t=23115
http://virusinfo.info/showthread.php?t=23125
http://virusinfo.info/showthread.php?t=23158
http://virusinfo.info/showthread.php?t=23696
http://virusinfo.info/showthread.php?t=24021

Отличия *SpamTool.Win32.Agent.ki
Дополнительные алиасы*
Dropper.Generic.XQM	(AVG)
Trojan.Generic.270334	(BitDefender)
http://www.virustotal.com/ru/analisi...35c20b52435847

*Встречен в темах*
http://virusinfo.info/showthread.php?t=23175
http://virusinfo.info/showthread.php?t=23208
http://virusinfo.info/showthread.php?t=23241

----------


## AndreyKa

*Алиасы*
Dropper.Agent.HHK	(AVG)
Generic9.AUST	(Prevx1)
W32/Dropper.LAY	(Authentium)
TR/Agent.fwi	(AntiVir)
Troj/Drop-M	(Sophos)
Trojan.DL.Win32.Small.tqz	(Rising)
Trojan.Dropper.Zirit.B	(BitDefender)
Trojan.MulDrop.13008	(DrWeb)
Trojan/Downloader.Small.ivo	(TheHacker)
TrojanDownloader.Small.ivo	(CAT-QuickHeal)
TrojanDropper:Win32/Agent.FYI	(Microsoft)
W32/DLoader.GEAG	(Norman)
W32/Dropper.LAY	(F-Prot)
W32/Small.IVO!tr.dldr	(Fortinet)
Win-Trojan/Downloader.10927	(AhnLab-V3)
Win32:Agent-UDD	(Avast)
Win32/Pripecs.JK	(eTrust-Vet)
Win32/TrojanDropper.Agent.EYA	(NOD32v2)
http://www.virustotal.com/ru/analisi...fc9c87cb379494

*Описание*
Загружается вредоносной программой *Trojan-Downloader.Win32.Small.iuq* с сайта *void.gribokk.com* и запускается на выполнение.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20113
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21721
http://virusinfo.info/showthread.php?t=22211
http://virusinfo.info/showthread.php?t=22531

*Файлы на диске*
exe файл, может иметь различные имена и находится в разных папках, например:
C:\Program Files\tmp31968.exe
C:\Program Files\bho.exe
C:\WINX\Temp\mso13.exe
размер может быть различным, так как в конец файла дописывается "мусор".

*Способ запуска*
В автозапуске отсутствует.

----------


## AndreyKa

*Алиасы*
Backdoor.Hupigon.ADI	(BitDefender)
Generic.VDT	(AVG)
Trojan.Copyself	(DrWeb)
Trojan.Small-4214	(ClamAV)
W32/Perlovg-D	(Sophos)
W32/Perlovga.A.1	(AntiVir)
W32/Perlovga.A.worm	(Panda)
W32/Perlovga.gen	(TheHacker)
Win-Trojan/CopySelf.1211	(AhnLab-V3)
Win32.Perlovga.A.1	(Webwasher-Gateway)
Win32.Stration	(eSafe)
Worm.Perlovga.A	(VirusBuster)
Worm.Small.z	(Rising)
http://www.virustotal.com/ru/analisi...914abdfab9675e

*Описание*
http://www.viruslist.com/ru/viruses/...virusid=161822

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20496
http://virusinfo.info/showthread.php?t=20508
http://virusinfo.info/showthread.php?t=22099
http://virusinfo.info/showthread.php?t=22155

*Файлы на диске*
Файл в папке C:\WINDOWS с однимим из имен:
svchost.exe
xcopy.exe
host.exe
copy.exe
Размер 1211 байт.
Копирует себя на сменные накопители под именем *copy.exe* вместе с файлом autorun.inf для своего автоматического запуска.

----------


## AndreyKa

*Алиасы*
BackDoor.IRC.Nite	(DrWeb)
Trj/Downloader.TLU	(Panda)
Trojan.Crypt.AO	(BitDefender)
W32/Smalltroj.EBAV	(Norman)
Win32/VMalum.CRSQ	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...cfcf72d89d6ff4

*Описание*
Внедряет свой код в память функционирующего системного процесса svchost.exe. В списке выполняемых процессов отсутствует.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=22019
http://virusinfo.info/showthread.php?t=22054
http://virusinfo.info/showthread.php?t=22294

*Файлы на диске*
exe файл в папке C:\WINDOWS\system32, имена могут быть разными:
C:\WINDOWS\system32\6to4svce.exe
C:\WINDOWS\system32\2052m.exe
37888 байт

*Способ запуска*
Служба. Названия и описания службы могут быть различными, например:
Служба | Описание 
CryptSvcMDM | Cryptographic Services CryptSvcMDM 
UPSProtectedStorage | Источник бесперебойного питания UPSProtectedStorage
WZCSVCupnphost | Беспроводная настройка WZCSVCupnphost
WmiApSrvLmHosts | WMI Performance Adapter WmiApSrvLmHosts

----------


## AndreyKa

*Алиасы*
a variant of Win32/TrojanProxy.Xorpix	(NOD32v2)
Proxy-Agent.ai	(McAfee)
Proxy.AASY	(AVG)
Trojan-Proxy.Win32.Xorpix.Fam	(Sunbelt)
Trojan.Proxy.3093	(DrWeb)
Trojan.Proxy.Xorpix.BS	(BitDefender)
Trojan/Proxy.Xorpix.ds	(TheHacker)
TrojanProxy:Win32/Xorpix.gen!E	(Microsoft)
TrojanProxy.Xorpix.ds	(CAT-QuickHeal)
Win32: Xorpix-AZ	(Avast)
Win32.Looked.gen	(eSafe)
http://www.virustotal.com/ru/analisi...899571954cc68d

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21096
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21944
http://virusinfo.info/showthread.php?t=22364

*Файлы на диске*
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
9235 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg, DLLName

----------


## AndreyKa

*Алиасы*
Adware/VirtualNetwork	(Fortinet)
Trojan.AdVirtualNetwork	(DrWeb)
http://www.virustotal.com/ru/analisi...05b985e498d0fa

*Описание*
Устанавливается вместе с программой *Bit Accelerator* c сайта *letitbit.net*

*Встречен в темах*
http://virusinfo.info/showthread.php?t=22129
http://virusinfo.info/showthread.php?t=22221
http://virusinfo.info/showthread.php?t=22296
http://virusinfo.info/showthread.php?t=22562
http://virusinfo.info/showthread.php?t=22838
http://virusinfo.info/showthread.php?t=22993
http://virusinfo.info/showthread.php?t=23029

*Файлы на диске*
c:\program files\virtualnetwork\virtualnetwork.dll
185856 байт

*Способ запуска*
BHO
Описание: VirtualNetwork Dynamic Link Library
Производитель: GemBirdCom (C) 2008
CLSID: {6C517674-DE1C-4493-977C-34A1BFAB35BA}

----------


## AndreyKa

*Алиасы*
Cutwail.dll	(McAfee)
Downloader.Agent.AGEP	(AVG)
Trj/Downloader.TOU	(Panda)
Troj/Pushu-Gen	(Sophos)
Trojan.DL.Wigon.Gen.6	(VirusBuster)
Trojan.Downloader-33943	(ClamAV)
Trojan.DownLoader.59496	(DrWeb)
Trojan.Downloader.Agent.ZIS	(BitDefender)
Trojan.Win32.Undef.fwg	(Rising)
TrojanDownloader:Win32/Cutwail.S	(Microsoft)
TrojanDownloader.Agent.nsl	(CAT-QuickHeal)
W32/Pushu.NSL!tr (Fortinet)
Win32:Agent-WPZ	(Avast)
Win32/Dallerow.C	(eTrust-Vet)
Win32/Wigon	(NOD32v2)
http://www.virustotal.com/ru/analisi...bf41f4e92d6bab

*Описание*
Защищается драйвером, работающем в режиме ядра со случайным именем из 2-4 букв и двух цифр.
Такой драйвер может детектироваться как *Rootkit.Win32.Qandr.s* или иначе.
Когда файл winnt32.dll удаляется драйвер восстанавливает его из файла %windir%\system32\WinData.cab
Запись в реестре также восстанавливается им.
http://www.geocities.jp/kiskzo/winnt32.dll.html (англ.)

*Встречен в темах*
http://virusinfo.info/showthread.php?t=22075
http://virusinfo.info/showthread.php?t=22173
http://virusinfo.info/showthread.php?t=22219
http://virusinfo.info/showthread.php?t=22489
http://virusinfo.info/showthread.php?t=22524
http://virusinfo.info/showthread.php?t=22531
http://virusinfo.info/showthread.php?t=22537
http://virusinfo.info/showthread.php?t=22669
http://virusinfo.info/showthread.php?t=23231
http://virusinfo.info/showthread.php?t=23281
http://virusinfo.info/showthread.php?t=23458

*Файлы на диске*
C:\WINDOWS\system32\WinNt32.dll
10240 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32, DLLName 
WinNt32.dll

----------


## AndreyKa

*Алиасы*
SHeur.BAQW	(AVG)
Trojan.Spambot.3092	(DrWeb)
W32/Socks.af	(TheHacker)
W32/Socks.E.worm	(Panda)
Win32:Socks-AE	(Avast)
Worm.Socks.af	(Ewido)
http://www.virustotal.com/ru/analisi...ddb9f107f9561a

*Описание*
Распространяется по локальной сети.
При запуске создает файл со случайным именем и расширением *syz* в системной папке. Этот файл является *Rootkit.Win32.Agent.agi* (Trojan.NtRootKit.1019).

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20603
http://virusinfo.info/showthread.php?t=21684
http://virusinfo.info/showthread.php?t=21846
http://virusinfo.info/showthread.php?t=22535
http://virusinfo.info/showthread.php?t=22704

*Файлы на диске*
C:\WINDOWS\system32\cssrss.exe
29696 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, WMDM PMSP Service

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Алиасы*
Adware/GoodSearchNow	(Panda)
Cutwail	(McAfee)
SpamBot.G	(AVG)
SpamTool.Agent.jn (Not a Virus)	(CAT-QuickHeal)
TR/Kobcka.DS	(AntiVir)
Trojan.Kobcka.DS	(BitDefender)
Trojan.NtRootKit.1070	(DrWeb)
VirTool:WinNT/Cutwail.gen!C	(Microsoft)
W32/Dloader.AMT!tr	(Fortinet)
W32/Pandex.AI	(Norman)
Win32/Cutwail.GH	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...1928d1beee7505

*Описание*
Функционирует как модуль пространства ядра. 

*Встречен в темах*
http://virusinfo.info/showthread.php?t=22782
http://virusinfo.info/showthread.php?t=22832
http://virusinfo.info/showthread.php?t=22874
http://virusinfo.info/showthread.php?t=22901
http://virusinfo.info/showthread.php?t=23231
http://virusinfo.info/showthread.php?t=23496

*Файлы на диске*
C:\WINDOWS\System32\drivers\tcpsr.sys
6400 байт
Устанавливается вместе со следущими файлами:
%System%\drivers\{случайные 3 буквы и 2 цифры}.sys - RootKit...
%System%\WinData.cab - Trojan-Downloader.Win32.Mutant...
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

*Способ запуска*
Драйвер: tcpsr

----------


## AndreyKa

*Алиасы*
BackDoor.Bulknet.188	(DrWeb)
Scagent.T	(AVG)
Trojan-Dropper.Win32.Agent.rek	(GData)
Trojan.Dropper.Cutwail.D	(BitDefender)
Trojan.Win32.Undef.ghy	(Rising)
TrojanDropper:Win32/Cutwail.AA	(Microsoft)
TrojanDropper.Agent.rek	(CAT-QuickHeal)
W32/Agent.BD.gen!Eldorado	(F-Prot)
W32/Agent.FPPA	(Norman)
W32/Agent.REK!tr	(Fortinet)
Win32/Cutwail	(eTrust-Vet)
Win32/Wigon.BY	(NOD32v2)
http://www.virustotal.com/ru/analisi...4560b0175c1c8a

*Описание*
Распространяется через взломанные web-сайты.
Имеет свойства руткита.
Функционирует как модуль пространства ядра. Запускается и в безопасном режиме загрузки Windows.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=22695
http://virusinfo.info/showthread.php?t=22746
http://virusinfo.info/showthread.php?t=22779
http://virusinfo.info/showthread.php?t=22832
http://virusinfo.info/showthread.php?t=23076
http://virusinfo.info/showthread.php?t=23429
http://virusinfo.info/showthread.php?t=23475
http://virusinfo.info/showthread.php?t=23843
http://virusinfo.info/showthread.php?t=23850

*Файлы на диске*
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\drivers\Ubg84.sys
27136 байт
Устанавливается вместе с файлом
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

*Способ запуска*
Драйвер. Иногда отсутствует в списке драйверов лога AVZ.

----------


## AndreyKa

*Алиасы*
Trojan.Packed.460, Trojan.Spambot.3251,	Trojan.Spambot.3253	(DrWeb)
Trojan.Peed.PJ	(BitDefender)
Win32.Email-Worm.Zhelatin.yu.4	(CAT-QuickHeal)
http://www.virustotal.com/ru/analisi...871d2350465cfa

*Встречен в темах*
http://virusinfo.info/showthread.php?t=22801
http://virusinfo.info/showthread.php?t=22814
http://virusinfo.info/showthread.php?t=22887
http://virusinfo.info/showthread.php?t=22960
http://virusinfo.info/showthread.php?t=22965
http://virusinfo.info/showthread.php?t=23646

*Файлы на диске*
C:\WINDOWS\herjek.exe

*Способ запуска*
Ключ реестра HKEY_USERS,  
.DEFAULT\Software\Microsoft\Windows\CurrentVersion  \Run, herjek

----------


## AndreyKa

*Алиасы*
Downloader.Generic7.NJL	(AVG)
Downloader.Small.vuy	(Ewido)
TR/Dldr.Small.vuy	(AntiVir)
Trj/Downloader.TRX	(Panda)
Trojan.Dldr.Small.vuy	(Webwasher-Gateway)
Trojan.DownLoader.60052	(DrWeb)
TrojanDownloader.Small.vuy	(CAT-QuickHeal)
W32/Small.VUY!tr.dldr	(Fortinet)
http://www.virustotal.com/ru/analisi...115ffe1eb3ab03

*Описание*
В файле "прямым текстом" указана ссылка на exe-файл на хосте 195.5.116.240, расположенном в Эстонии.

*Встречен в темах*
http://virusinfo.info/showthread.php?t=22888
http://virusinfo.info/showthread.php?t=22948
http://virusinfo.info/showthread.php?t=23007
http://virusinfo.info/showthread.php?t=23037

*Файлы на диске*
C:\WINDOWS\system32\subsys.dll
4096 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\subsys,
DLLName  subsys.dll

----------


## AndreyKa

*Алиасы*
Adware/MultimediaDecoder	(Panda)
Downloader.Generic7.IZY	(AVG)
Druogna	(McAfee)
TR/Dldr.Peregar.CG.1	(AntiVir)
Troj/Zlob-AJC	(Sophos)
Trojan:Win32/Delflob.I	(Microsoft)
Trojan.BHO.OAS	(BitDefender)
Trojan.Dldr.Peregar.CG.1	(Webwasher-Gateway)
Trojan.Downloader-33091	(ClamAV)
Trojan.DownLoader.59078	(DrWeb)
Trojan.Fakeavalert	(Symantec)
Trojan/Downloader.Peregar.cg	(TheHacker)
TrojanDownloader.Peregar.cg	(CAT-QuickHeal)
W32/Downldr2.BXCO	(F-Prot)
W32/Peregar.CG!tr.dldr	(Fortinet)
Win32: Peregar-K	(Avast)
Win32/Adware.IeDefender.NDH	(NOD32v2)
Win32/Burgspill!generic	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...50aaa1e16bd60e

*Встречен в темах*
http://virusinfo.info/showthread.php?t=21900
http://virusinfo.info/showthread.php?t=21941
http://virusinfo.info/showthread.php?t=22833
http://virusinfo.info/showthread.php?t=23297

*Файлы на диске*
Имя файла случайное, находиться в папке C:\WINDOWS, например:
C:\WINDOWS\tonsakre.dll
C:\WINDOWS\zsokry.dll
216064 байт

*Способ запуска*
BHO
CLSID: {95E1D855-9232-48F7-80D9-1ADB65B7939C}

----------


## AndreyKa

*Алиасы*
Downloader.Delf.cxa	(Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A	(BitDefender)
Mal/Emogen-Y	(Sophos)
MalwareScope.Trojan-PSW.Game.14	(VBA32)
SHeur.AAKQ	(AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa	(GData)
Trojan.Downloader-17478	(ClamAV)
Trojan.DownLoader.36467	(DrWeb)
TrojanDownloader.Delf.cxa	(CAT-QuickHeal)
W32/Delf.CXA!tr.dldr	(Fortinet)
W32/Heuristic-210!Eldorado	(F-Prot)
W32/Hupigon.BMSP	(Norman)
Win32:Agent-SIM	(Avast)
Win32/SillyAutorun.AD	(eTrust-Vet)
Worm:Win32/SillyShareCopy.F	(Microsoft)
Worm.Win32.AvKiller.ca	(Rising)
http://www.virustotal.com/ru/analisi...0ddceb87de3f63

*Встречен в темах*
http://virusinfo.info/showthread.php?t=20009
http://virusinfo.info/showthread.php?t=20604
http://virusinfo.info/showthread.php?t=23080
http://virusinfo.info/showthread.php?t=23288
http://virusinfo.info/showthread.php?t=23623

*Файлы на диске*
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт

*Способ запуска*
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft  
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

*Внешние проявления* (со слов пользователей)
Антивирус не запускается.

----------


## Зайцев Олег

> *Алиасы*
> Downloader.Delf.cxa    (Ewido)
> GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A    (BitDefender)
> Mal/Emogen-Y    (Sophos)
> MalwareScope.Trojan-PSW.Game.14    (VBA32)
> SHeur.AAKQ    (AVG)
> TROJ_DELF.MYR (Trend Micro)
> Trojan-Downloader.Win32.Delf.cxa    (GData)
> Trojan.Downloader-17478    (ClamAV)
> ...


Небольшое дополнение по зверю:
Размер исполняемого файла 22 кб, исполняемый файл упакован. 
1. Выполняет через cmd.exe консольную команду date, меняя системную дату на 2005 год. Как известно, лицензии многих антивирусов привязаны к дате и перевод даты на несколько лет назад приводит к блокировке их работы
2. Зловред активирует для своего процесса привилегию SeDebugPrivilege
3. пытается остановить процессы ряда антивирусов - для этого он изучает список запущенных процессов и убивает процессы по именам
4. Создает в корне дисков файлы X:\AutoRun.inf и X:\MicrSoft.exe (MicrSoft.exe - копия исполняемого файла зловреда, в autorun классические строчки типа Shell\Open\Command=MicrSoft.exe и Shell\Explore\Command=MicrSoft.exe)
5. Зловред запускает InternetExplorer, модифицирует память его процесса и модифицирует контекст главного потока IE для запуска своего троянского кода. Аналогичную операцию он делает с svchost.exe. Зловред пытается обмениваться с Инет и загружать файлы (URL уже недоступен)
6. Повреждает параметры загрузки в защищенном режиме, удаляя ряд ключей
7. Регистрирует массу отладчиков процессов, в основном для антивирусов и прочего защитного ПО. Отладчиком он прописывает файл C:\WINDOWS\system32\MicrSoft.exe (это еще одна копия зловреда, он создает ее при запуске)
Исходный файл зловреда после запуска самоуничтожается классическим методом - при помощи BAT файла. В распакованном EXE видна внушительная база данных исполняемых файлов, с которым борется данный зловред.

----------


## AndreyKa

*Алиасы*
BlockReason.0	(Webwasher-Gateway)
Trojan.MulDrop.16286	(DrWeb)
http://www.virustotal.com/ru/analisi...957312b5b79771

*Встречен в темах*
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23742
http://virusinfo.info/showthread.php?t=23885
http://virusinfo.info/showthread.php?t=23938
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24016
http://virusinfo.info/showthread.php?t=24820

*Файлы на диске*
Файл в папке C:\WINDOWS\Temp с именем NT*.exe, где вместо звёздочки несколько шестнадцатеричных цифр, например:
C:\WINDOWS\Temp\NT11032.exe
C:\WINDOWS\Temp\NT4E32.exe
37376 байт

*Способ запуска*
Записывает в папки с бараузерами Internet Explorer, Opera и Firefox троянский файл setupapi.dll (*Trojan.Win32.Agent.qtj*)

----------


## AndreyKa

*Алиасы*
Agent.WGN	(AVG)
Trojan:Win32/Chksyn.gen!A	(Microsoft)
Trojan.Agent-26275	(ClamAV)
Trojan.Agent.qry	(CAT-QuickHeal)
Trojan.PWS.Lich	(DrWeb)
Win32/Agent.NWA	(NOD32v2)
http://www.virustotal.com/ru/analisi...a394d4e34fda31

*Описание*
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки  c:\windows\system32\dllcache

*Встречен в темах*
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23696
http://virusinfo.info/showthread.php?t=23719
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24115
http://virusinfo.info/showthread.php?t=24122

*Файлы на диске*
c:\windows\system32\userinit.exe
32212 байт

*Способ запуска*
Подменяет собой системный файл userinit.exe, который переименовывается в sdjeavd.tmp

----------


## AndreyKa

*Алиасы*
Agent.WAD	(AVG)
TR/Agent.30208	(AntiVir)
Trojan.Agent-26215	(ClamAV)
Trojan.Agent.30208	(Webwasher-Gateway)
Trojan.DownLoader.62734	(DrWeb)
Trojan/Agent.qtj	(TheHacker)
http://www.virustotal.com/ru/analisi...fc6ad500d32fc7

*Встречен в темах*
http://virusinfo.info/showthread.php?t=23626
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24115

*Файлы на диске*
SETUPAPI.dll в папке браузера, например:
C:\Program Files\Internet Explorer\SETUPAPI.dll
30208 байт

*Способ запуска*
1. Загружается при старте браузера вместо системной библиотеки SETUPAPI.dll.
2. Прописывает себя как отладчик процесса rundll32.exe:
Debugger = "%ProgramFiles%\Internet Explorer\rundll32 setupapi.dll,s"

----------


## AndreyKa

*Алиасы*
BackDoor.Generic9.ARTE	(AVG)
Trojan.Agent.AIVZ	(BitDefender)
Trojan.DNSChanger.dqm	(CAT-QuickHeal)
Trojan.NtRootKit.1182	(DrWeb)
VirTool:WinNT/Pasich.A	(Microsoft)
W32/DNSChanger.BBQY	(Norman)
W32/DNSChanger.DQM!tr	(Fortinet)
Win32: DNSChanger-VJ	(Avast)
http://www.virustotal.com/ru/analisi...0698417daa3f80

*Встречен в темах*
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23885
http://virusinfo.info/showthread.php?t=23940
http://virusinfo.info/showthread.php?t=24455
http://virusinfo.info/showthread.php?t=24499

*Файл на диске*
C:\WINDOWS\system32\Drivers\clbdriver.sys
6656 байт
Также на диске существует файл:
C:\WINDOWS\system32\clbdll.dll
который может детектироваться под разными именами, например:
*Rootkit.Win32.Clbd.p*
*Rootkit.Win32.Clbd.bb*
*Trojan-Downloader.Win32.Agent.qpq*

*Способ запуска*
Упоминания о данном рутките может отсутствовать в логах AVZ, выполненных согласно Правилам нашего форума.
Обнаружить присутствие данного руткита AVZ может, если установлен драйвер расширенного мониторинга процессов AVZPM.

*Внешние проявления* (со слов пользователей)
Не запускаются браузеры Opera и Firefox, работает только Internet Explorer.
Обновление антивируса не работает. Сайт антивируса не доступен.

----------


## AndreyKa

*Алиасы*
PSW.Agent.TMB	(AVG)
TR/Dldr.Agent.NDX.2	(AntiVir)
Trj/Downloader.TZF	(Panda)
Troj/Bckdr-QNZ	(Sophos)
Trojan.Dldr.Agent.NDX.2	(Webwasher-Gateway)
Trojan.DownLoader.63153	(DrWeb)
Trojan/Downloader.Agent.nsx	(TheHacker)
TrojanDownloader.Agent.nsx	(CAT-QuickHeal)
TSPY_AGENT.AGDG	(TrendMicro)
W32/Generic.A!tr.dldr	(Fortinet)
Win32:Trojan-gen {Other}	(Avast)
Win32.Worm.Socks.AT	(BitDefender)
Win32/Zalup.AA	(NOD32v2)
http://www.virustotal.com/ru/analisi...d239271e21359b

*Встречен в темах*
http://virusinfo.info/showthread.php?t=24176
http://virusinfo.info/showthread.php?t=24394
http://virusinfo.info/showthread.php?t=24402
http://virusinfo.info/showthread.php?t=24612
http://virusinfo.info/showthread.php?t=24669
http://virusinfo.info/showthread.php?t=24677
http://virusinfo.info/showthread.php?t=24679
http://virusinfo.info/showthread.php?t=24737
http://virusinfo.info/showthread.php?t=24806

*Файлы на диске*
Встречается под разными именами, например:
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\ftp34.dll
C:\Documents and Settings\Администратор\ftp34.dll
C:\Documents and Settings\User\explorer.dll
4608 байт
Создаётся вредоносными программами:
P2P-Worm.Win32.Socks.ea
P2P-Worm.Win32.Socks.ec
Они могут иметь следующие имена:
C:\Documents and Settings\_Пользователь_\Главное меню\Программы\Автозагрузка\userinit.exe
C:\Documents and Settings\_Пользователь_\svchost.exe
C:\WINDOWS\system32\drivers\services.exe

----------


## AndreyKa

*Алиасы*
TR/Drop.Agent.KCN	(AntiVir)
Trojan.DL.Win32.Mnless.ajh	(Rising)
Trojan.DownLoader.62860	(DrWeb)
Trojan.Drop.Agent.KCN	(Webwasher-Gateway)
Trojan/Downloader.Agent.nzo	(TheHacker)
TrojanDownloader.Agent.nzo	(CAT-QuickHeal)
W32/Srizbi.BH	(Norman)
Win-Trojan/Agent.12800.EH	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...25b438181b85b8

*Описание*
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache
Загружает и запускает вредоносные программы с сайта *maseratto.info*

*Встречен в темах*
http://virusinfo.info/showthread.php?t=24679
http://virusinfo.info/showthread.php?t=24680
http://virusinfo.info/showthread.php?t=24737
http://virusinfo.info/showthread.php?t=24754
http://virusinfo.info/showthread.php?t=24768

*Файлы на диске*
C:\WINDOWS\system32\userinit.exe
12800 байт

*Способ запуска*
Подменяет собой системный файл userinit.exe, который переименовывается в userini.exe

*Внешние проявления* 
Сам себя не проявляет, но вредоносные программы, которые он скачивает из Интернета и запускает, могут проявлять себя. Например, так:
На рабочем столе появляется надпись:



> *
> Warning!
> Spyware detected on your computer!
> Install an antivirus or spyware remover to
> clean you computer.
> *


При этом отключается служба восстановления системы (чтобы удалить все сохранённые состояния) и затем включается и создаётся точка восстановления с именем "Last good restore point".

----------


## AndreyKa

*Алиасы*
Downloader.Generic7.YAV	(AVG)
TR/Dldr.FraudLoad.vagw	(AntiVir)
TROJ_RENOS.WR	(TrendMicro)
Trojan.Dldr.FraudLoad.vagw	(Webwasher-Gateway)
TrojanDownloader:Win32/Renos.DG	(Microsoft)
TrojanDownloader.FraudLoad.va	(CAT-QuickHeal)
Win32/Adware.IeDefender.NGB	(NOD32v2)
http://www.virustotal.com/ru/analisi...bf3a9c857565e1

*Описание*
При использовании Internet Explorer имитирует сообщения о вирусной атаке и предлагает получить защиту (на самом деле установить троян).



> Insecure Internet activity. Threat of virus attack
> __________________________________________________  _______
> Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your
> ...


Кроме того, при посещении страниц в IE и при открытии папок в Проводнике появляется всплывающее окно сообщения с заголовком *Critical Error!*
Текст сообщения:



> Attention, [имя пользователя]! Some dangerous viruses detected in you system. Microsoft Windows XP files corrupted.
> This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!
> Click OK to download the antispyware. (Recommended)


Если пользователь соглашается, то открывается страница на сайте *free-viruscan.com* с ложными данными о наличии ошибок и предлагающих скачать антивирус чтобы их исправить.
Фальшивый антивирус загружается с домена *getieantivirus.com* и на данный момент детектируется как:
ADSPY/AdSpy.Gen (AntiVir)
Trojan:Win32/Delflob.I (Microsoft)
IE Defender-Installer (Sophos)
http://www.virustotal.com/ru/analisi...61ca3cfd40a77e

*Встречен в темах*
https://virusinfo.info/showthread.php?t=26099
https://virusinfo.info/showthread.php?t=26111
https://virusinfo.info/showthread.php?t=26188

*Файлы на диске*
Имена у файла могут быть различные. Например:
C:\WINDOWS\system32\epsonbho.dll
C:\WINDOWS\system32\epsdrv.dll
C:\WINDOWS\system32\epsbho.dll
22528 байт

*Способ запуска*
BHO
CLSID {87FD33C2-7891-45D5-ACD1-7935F9AEA26B}

*Дополнительные алиасы Trojan.Win32.BHO.eya*
TR/BHO.eya	(AntiVir)
TROJ_FAKEAVALE.L	(TrendMicro)
Trojan.BHO.eya	(CAT-QuickHeal)
Trojan.Click.19457	(DrWeb)
Trojan.Renos.NDD	(BitDefender)
W32/BHO.DPO	(Norman)
Win32/Adware.IeDefender.NGG	(NOD32v2)
http://www.virustotal.com/ru/analisi...40dc54c6d42980

*Встречен в темах*
https://virusinfo.info/showthread.php?t=26423
https://virusinfo.info/showthread.php?t=26425
https://virusinfo.info/showthread.php?t=26428
https://virusinfo.info/showthread.php?t=26487

*Файлы на диске*
Возможны различные названия, например:
C:\WINDOWS\system32\iefltr.dll
C:\WINDOWS\system32\iexp_f.dll
20992 байт

*Способ запуска*
BHO
CLSID {8B2AE9C0-1555-4C92-905A-531532F15698}

*Дополнительные алиасы Trojan-Downloader.Win32.BHO.qb*
BHO.FEW	(AVG)
TR/Dldr.BHO.QB	(AntiVir)
TROJ_DLOADER.KRK	(TrendMicro)
Troj/Istbar-DY	(Sophos)
Trojan.BHO-3834	(ClamAV)
Trojan.Dldr.BHO.QB	(Webwasher-Gateway)
Trojan.Fakealert.1187	(DrWeb)
Trojan.Fakeavalert	(Symantec)
Trojan.Win32.Downloader.20480.HL	(ViRobot)
Trojan.Zlob.CQJ	(BitDefender)
TrojanDownloader.BHO.qb	(CAT-QuickHeal)
W32/Zlob.CDZP	(Norman)
Win32/Adware.IeDefender.NGT	(NOD32v2)
http://www.virustotal.com/ru/analisi...aef8f56f9b8ec2

*Описание*
Теперь в окне Internet Explorer отображается такое сообщение с сайта *free-viruscan.com*:



> Warning - you are infected by this site! Please, read our suggestions!
> 
> You can learn more about harmful web content and protect your computer at Internet Explorer Antivirus.
> Just download IE Antivirus Now and Protect your Business forever!


*Встречен в темах*
https://virusinfo.info/showthread.php?t=27901
https://virusinfo.info/showthread.php?t=27977
https://virusinfo.info/showthread.php?t=27980
https://virusinfo.info/showthread.php?t=28119

*Файлы на диске*
Имя файла может быть различным:
C:\WINDOWS\system32\gtbl.dll
C:\WINDOWS\system32\g2tbl.dll
20480 байт

*Способ запуска*
BHO GTool
CLSID: {53322B35-2C26-4FAC-A713-C31BBAA1C636}

----------


## AndreyKa

*Алиасы*
Adware.XMLMime.1	(DrWeb)
Adware.XmlMimeFilter.85504	(ViRobot)
Generic3.IIY	(AVG)
TR/BHO.Agent.85504	(AntiVir)
Trojan.Adclicker	(Symantec)
Trojan.BHO.Agent.85504	(Webwasher-Gateway)
Win32/Adware.Agent.NJB	(NOD32v2)
http://www.virustotal.com/ru/analisi...bc2d8cf561787d

*Описание*
В файле зашиты два списка имен доменов. Первый:


```
yandex.ru
rambler.ru
google.com
mail.ru
google.ru
vkontakte.ru
odnoklassniki.ru
```

И второй, скорее всего, как источник фальшивых данных для искажения работы сайтов из первого списка:


```
01searchfeed.ru
allfindz.ru
allianzoo.ru
beefunny.ru
cangomors.ru
partymotex.ru
sites-obzor.ru
site-ortek.ru
v-cataloge.ru
www.4-seacher.ru
```

*Встречен в темах*
https://virusinfo.info/showthread.php?t=26789
https://virusinfo.info/showthread.php?t=27123
https://virusinfo.info/showthread.php?t=27180
https://virusinfo.info/showthread.php?t=27490
https://virusinfo.info/showthread.php?t=27717

*Файлы на диске*
C:\windows\twain_8.dll
85504 байт

*Способ запуска*
Protocol
Описание: DLL Module (XMLMimeFilter MIME Filter Sample)
CLSID: {53B95211-7D77-11D2-9F80-00104B107C96}  
Файл: C:\windows\twain_8.dll

----------


## AndreyKa

*Алиасы*
TR/Agent.zdw	(AntiVir)
Trojan.Agent.zdw	(CAT-QuickHeal)
Trojan.Packed.573	(DrWeb)
Trojan.Win32.Agent.43008.O	(ViRobot)
W32/Agent.ZDW!tr	(Fortinet)
Win-Trojan/Proxy.43008.B	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...df3444e75c6ba8

*Описание*
Может запускаеть несколько своих процессов.
Останавливает службы "Центр обеспечения безопасности" и "Брандмауэр Windows".
Добавляет себя в список исключений Брандмауэра Windows.
Способен отправлять сообщения по электронной почте.
В файле пристствуют IP адреса 192.168.1.164, 206.137.17.89, 66.232.109.178 и 209.20.130.33.

*Встречен в темах*
https://virusinfo.info/showthread.php?t=28227
https://virusinfo.info/showthread.php?t=28288
https://virusinfo.info/showthread.php?t=28324
https://virusinfo.info/showthread.php?t=28440
https://virusinfo.info/showthread.php?t=28506

*Файлы на диске*
C:\WINDOWS\services.exe
43008

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services  
C:\WINDOWS\services.exe

----------


## AndreyKa

*Алиасы*
Antivirus2008.DO	(Norman)
Backdoor.Win32.Frauder.r	(GData)
Hoax.Win32.AntivirusXP	(VBA32)
MemScan:Trojan.FakeAlert.AAH	(BitDefender)
SHeur.CDJI	(AVG)
TR/Fakealert.aah.9	(AntiVir)
Trj/Banker.FWD	(Panda)
Trojan.Blusod	(Symantec)
Trojan.Fakealert.aah.9	(Webwasher-Gateway)
Trojan.Packed.600	(DrWeb)
TrojanBanker.Banker.uvo	(CAT-QuickHeal)
TrojanDownloader:Win32/Renos.gen!AU	(Microsoft)
W32/Banker.UVO!tr	(Fortinet)
Win-Trojan/FakeAV.194560	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...1ee1b5aa9f7c4e

*Описание*
Копирует себя в системую папку Windows.
Прописывается в реестре для автозагрузки.
Устанавливает в качестве фона рабочего стола картинку с надписью:



> *Warning!**
> Spyware detected on you computer!*
> 
> Install an antivirus or spyware to clean your computer
> 
> Warning! Win32/Adware.Virtumode
> Detected on you computer
> 
> Warning! Win32/PrivacyRemover.M64
> Detected on you computer


Устанавливает в качестве хранителя экрана имитацию BSOD (синий экран).
Удает все сохранённые точки восстановления и затем создаёт точку восстановления с именем "Last good restore point" (она содержит в себе данный троян).
В файле присутствуют следующие имена доменов:



> odnoklassniki.ru
> vkontakte.ru
> google.ru
> statsbank.com
> boards.cexx.org
> adultwebmasterinfo.com
> dialerschutz.de
> webmasterworld.com
> crutop.nu
> ...


*Встречен в темах*
https://virusinfo.info/showthread.php?t=28328
https://virusinfo.info/showthread.php?t=28355
https://virusinfo.info/showthread.php?t=28440

*Файлы на диске*
c:\windows\system32\lphc_набор_букв_и_цифр_.exe
194560 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, lphc1j5j0e3gd 
C:\WINDOWS\system32\lphc1j5j0e3gd.exe
(Прим.: имена файла и ключа будут другие)

*Внешние проявления* (со слов пользователей)
На рабочем столе появилось изображение с надписью "Warning! Spyware detected on your computer!..." на белом фоне, в свойствах рабочего стола исчезли вкладки "Рабочий стол" и "Заставка".

*Алиасы Backdoor.Win32.Frauder.bu*
BDS/Frauder.bu	(AntiVir)
Downloader-ASH.gen.b	(McAfee)
Downloader.FraudLoad.N	(AVG)
TROJ_FAKEALER.OE	(TrendMicro)
Trojan.Backdoor.Frauder.bu	(Webwasher-Gateway)
Trojan.FakeAlert.ACR	(BitDefender)
Trojan.Packed.619	(DrWeb)
Trojan.Win32.Packed.203776	(ViRobot)
W32/Tibs.gen225	(Norman)
Win32:Tibs-EJA	(Avast)
http://www.virustotal.com/ru/analisi...c9503f1dd40a30

*Встречен в темах*
https://virusinfo.info/showthread.php?t=28948
https://virusinfo.info/showthread.php?t=28984
https://virusinfo.info/showthread.php?t=29008
https://virusinfo.info/showthread.php?t=29010
https://virusinfo.info/showthread.php?t=29036
https://virusinfo.info/showthread.php?t=29059
https://virusinfo.info/showthread.php?t=29068
https://virusinfo.info/showthread.php?t=29142
https://virusinfo.info/showthread.php?t=29182
https://virusinfo.info/showthread.php?t=29250

*Файл на диске*
203776 байт

*Алиасы Backdoor.Win32.Frauder.fk*
BDS/Frauder.FJ	(AntiVir)
Downloader.Generic7.AOUH	(AVG)
TROJ_FAKEAV.HP	(TrendMicro)
Trojan.FakeAlert.AEZ	(BitDefender)
Trojan.Packed.636	(DrWeb)
TrojanDownloader:Win32/Renos.AS	(Microsoft)
W32/ASH.FJ!tr.bdr	(Fortinet)
W32/DLoader.JNTL	(Norman)
Win-Trojan/Fakeav.199168.G	(AhnLab-V3)
Win32.Backdoor.Frauder.fk.4	(CAT-QuickHeal)
Win32/Bugnraw.KS	(eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.JP	(NOD32v2)
http://www.virustotal.com/ru/analisi...4a194ff4e61825

*Отличия Backdoor.Win32.Frauder.fk*
В файле присутствуют следующие имена доменов:
av-xp2008.com
presents.avxp2008.com
youpornztube.net

*Встречен в темах*
https://virusinfo.info/showthread.php?t=30163
https://virusinfo.info/showthread.php?t=30178
https://virusinfo.info/showthread.php?t=30198
https://virusinfo.info/showthread.php?t=30225
https://virusinfo.info/showthread.php?t=30268
https://virusinfo.info/showthread.php?t=30279
https://virusinfo.info/showthread.php?t=30298
https://virusinfo.info/showthread.php?t=30303
https://virusinfo.info/showthread.php?t=30318
https://virusinfo.info/showthread.php?t=30347
https://virusinfo.info/showthread.php?t=31122
https://virusinfo.info/showthread.php?t=31492

*Файл на диске*
199168 байт

----------


## AndreyKa

*Алиасы*
TR/PSW.Agent.knw	(AntiVir)
Trojan.BHO.gcs	(CAT-QuickHeal)
Trojan.Click.20003	(DrWeb)
Trojan.PSW.Agent.knw	(Webwasher-Gateway)
Trojan.Win32.BHO.249856	(ViRobot)
Trojan/BHO.gcs	(TheHacker)
Win-Trojan/Bho.249856	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...5c3ecafcb04ebe

*Встречен в темах*
https://virusinfo.info/showthread.php?t=28396
https://virusinfo.info/showthread.php?t=28442
https://virusinfo.info/showthread.php?t=28499
https://virusinfo.info/showthread.php?t=28651
https://virusinfo.info/showthread.php?t=28755
https://virusinfo.info/showthread.php?t=28850
https://virusinfo.info/showthread.php?t=28980
https://virusinfo.info/showthread.php?t=29129
https://virusinfo.info/showthread.php?t=29218
https://virusinfo.info/showthread.php?t=29453

*Файлы на диске*
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
249856 байт
Также возможно присутствие вредоносных файлов:
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp

*Способ запуска*
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs  
Значение: C:\WINDOWS\SYSTEM32\vmmreg32.dll
2. BHO   {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} 
 C:\WINDOWS\system32\vmmreg32.dll
3. AppInit_DLLs: vmmreg32.dll

----------


## AndreyKa

*Алиасы*
PSW.Generic6.YOJ	(AVG)
TR/Spy.ZBot.eev.4	(AntiVir)
Trojan.Proxy.3780	(DrWeb)
Trojan.Spy.ZBot.eev.4	(Webwasher-Gateway)
Trojan.Spy.ZBot.JR	(BitDefender)
W32/Zbot.AXZ	(Norman)
http://www.virustotal.com/ru/analisi...be8e4aff2a976c

*Описание*
При запуске троян прописывет свою автоматическую загрузку в реестре, подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Данный сервер находится в сети провайдера *Madet Ltd.* г. Москва.
В данный момент на нём также выложены другие вредоносные файлы:
1.exe = Trojan.Srizbi.Dropper.1.Gen
2.exe = Rootkit.Win32.Agent.cun	(Trojan.Proxy.3541)

*Встречен в темах*
https://virusinfo.info/showthread.php?t=28621
https://virusinfo.info/showthread.php?t=28898
https://virusinfo.info/showthread.php?t=28948
https://virusinfo.info/showthread.php?t=29172
https://virusinfo.info/showthread.php?t=29221
https://virusinfo.info/showthread.php?t=29324
https://virusinfo.info/showthread.php?t=29542

*Файлы на диске*
С:\WINDOWS\system32\oembios.exe
размер файла в пределах ~100-600 КБ.

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon
UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\oembios.exe,

*Внешние проявления* (со слов пользователей)
Компьютер перезагружается после входа пользователя в нормальном режиме загрузки Windows.

----------


## AndreyKa

*Алиасы*
Adware.Agent.ZO	(PCTools)
Adware.Bravia.Gen!Pac.2	(VirusBuster)
Backdoor.Agent.ZQB	(BitDefender)
Backdoor.Small.ejx	(CAT-QuickHeal)
Backdoor.Small.eug	(Ewido)
Backdoor.Win32.Small.6144.F	(ViRobot)
Backdoor.Win32.Small.ejx	(K7AntiVirus)
Backdoor/Small.eug	(TheHacker)
TROJ_AGENT.AEUM	(TrendMicro)
Trojan.Proxy.1739	(DrWeb)
Trojan.Virantix.C	(Symantec)
Trojan.Win32.Undef.krb	(Rising)
TrojanDownloader:Win32/Eldycow.gen!A	(Microsoft)
W32/Backdoor2.CCYP	(F-Prot)
W32/Small.EU!tr.dldr	(Fortinet)
W32/Smalldoor.BZKQ	(Norman)
Win-Trojan/Agent.6144.HK	(AhnLab-V3)
Win32/Eldycow.EL	(eTrust-Vet)
Win32/TrojanDownloader.Agent.OBD	(NOD32v2)
http://www.virustotal.com/ru/analisi...fe3b99461de96e

*Встречен в темах*
https://virusinfo.info/showthread.php?t=28722
https://virusinfo.info/showthread.php?t=29426
https://virusinfo.info/showthread.php?t=29657
https://virusinfo.info/showthread.php?t=29693
https://virusinfo.info/showthread.php?t=29716
https://virusinfo.info/showthread.php?t=29743
https://virusinfo.info/showthread.php?t=29766
https://virusinfo.info/showthread.php?t=29857
https://virusinfo.info/showthread.php?t=29858
https://virusinfo.info/showthread.php?t=29889
https://virusinfo.info/showthread.php?t=29929
https://virusinfo.info/showthread.php?t=29955
https://virusinfo.info/showthread.php?t=29972
https://virusinfo.info/showthread.php?t=29986
https://virusinfo.info/showthread.php?t=30174
https://virusinfo.info/showthread.php?t=31021
https://virusinfo.info/showthread.php?t=31219

*Файлы на диске*
C:\WINDOWS\system32\karina.dat
6144 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs  
C:\WINDOWS\system32\karina.dat

*Дополнительные алиасы Backdoor.Win32.Small.gjm*
Backdoor.Agent.ZWW	(BitDefender)
Trj/Downloader.MDW	(Panda)
TROJ_VIRANTIX.BF	(TrendMicro)
Trojan.Perfcoo!sd6	(PCTools)
W32/Agent.AEUM!tr	(Fortinet)
W32/DLoader.KBCH	(Norman)
Win32/SillyDl.FQJ	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...7ca86f1937a6e5

*Встречен в темах*
https://virusinfo.info/showthread.php?t=31541
https://virusinfo.info/showthread.php?t=31868
https://virusinfo.info/showthread.php?t=31892
https://virusinfo.info/showthread.php?t=32250
https://virusinfo.info/showthread.php?t=32314
https://virusinfo.info/showthread.php?t=32456
https://virusinfo.info/showthread.php?t=32505
https://virusinfo.info/showthread.php?t=32512
https://virusinfo.info/showthread.php?t=32609
https://virusinfo.info/showthread.php?t=32680
https://virusinfo.info/showthread.php?t=32736
https://virusinfo.info/showthread.php?t=32754
https://virusinfo.info/showthread.php?t=32863
https://virusinfo.info/showthread.php?t=32969
https://virusinfo.info/showthread.php?t=32991
https://virusinfo.info/showthread.php?t=33047

*Файл на диске*
C:\WINDOWS\system32\karna.dat

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Алиасы*
Adware.XPSecurityCenter.R.10240	(ViRobot)
Aplicacion/XPSecurityCenter.ai	(TheHacker)
Dropper.Bravix.A	(AVG)
Misc/XPSecurityCenter	(Fortinet)
Packer.Malware.Lighty.F	(BitDefender)
TR/Dldr.FakeAler.FM	(AntiVir)
TROJ_MALBEHV.MCS	(TrendMicro)
Trojan.Dldr.FakeAler.FM	(SecureWeb-Gateway)
Trojan.Packed.612	(DrWeb)
Trojan.Virantix.C	(Symantec)
Trojan.Zlob.Gen!Pac.54	(VirusBuster)
TrojanDownloader:Win32/Renos	(Microsoft)
W32/Lighty.B	(Norman)
Win32:Bravix	(Avast)
Win32/FakeAVDl.Z	(eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU	(NOD32)
http://www.virustotal.com/ru/analisi...e48193ca7adcdf

*Описание*
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:



> *You computer is infected!*
> 
> Windows has detected spyware infection!
> 
> It is recommended to use special antispyware tools to prevent
> data loss.Windows will now download and install the most
> up-to-date antispyware for you.
> 
> Click here to protect you computer from spyware!


Устанавливает http://www.google.com как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
antispyware-quick-scan.com
antivirus-quick-scan.com
spyware-quickscan-2008.com
spyware-quickscan-2009.com
virus-quickscan-2008.com
virus-quickscan-2009.com

*Встречен в темах*
https://virusinfo.info/showthread.php?t=29858
https://virusinfo.info/showthread.php?t=29905
https://virusinfo.info/showthread.php?t=29911
https://virusinfo.info/showthread.php?t=29929
https://virusinfo.info/showthread.php?t=29955
https://virusinfo.info/showthread.php?t=29986
https://virusinfo.info/showthread.php?t=30283

*Файлы на диске*
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\braviax.exe
c:\windows\buritos.exe
10240 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, braviax  
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, braviax  
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, buritos  
C:\WINDOWS\system32\buritos.exe

*Дополнительные алиасы Hoax.Win32.Bravia.ir*
Adware/RogueAntimalware2008	(Panda)
Backdoor.Tidserv	(Symantec)
Hoax.Antivirus2008.Do.9216	(ViRobot)
Hoax.Bravia.ir (CAT-QuickHeal)
Hoax.Win32.Renos.vazk	(VBA32)
TROJ_FAKEALER.NP	(TrendMicro)
http://www.virustotal.com/ru/analisi...fa7aeaeb95388a

*Встречен в темах*
https://virusinfo.info/showthread.php?t=29633
https://virusinfo.info/showthread.php?t=29657
https://virusinfo.info/showthread.php?t=29716
https://virusinfo.info/showthread.php?t=29743
https://virusinfo.info/showthread.php?t=29875
https://virusinfo.info/showthread.php?t=29889
https://virusinfo.info/showthread.php?t=29972
https://virusinfo.info/showthread.php?t=31217
https://virusinfo.info/showthread.php?t=31219

*Файл на диске*
9216 байт

----------


## AndreyKa

*Алиасы*
PSW.Generic6.AFNB	(AVG)
PWS:Win32/Zbot.MW	(Microsoft)
Trojan.PWS.Panda.18	(DrWeb)
TrojanSpy.Zbot.fah	(CAT-QuickHeal)
TSPY_ZBOT.MCS	(TrendMicro)
W32/Zbot.BGI	(Norman)
Win32: Zbot-APE	(Avast)
http://www.virustotal.com/ru/analisi...84f77a4db53e19

*Описание*
Копирует себя в системную папку.
Прописывает себя в реестр для автозагрузки.
Пытается похитить ключи и пароли к сайту интернет-банкинга *faktura.ru*
Подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Сервер 195.2.252.33 в данный момент распространяет новую версию данного трояна:
http://www.virustotal.com/ru/analisi...26d7e03517b46d

*Встречен в темах*
https://virusinfo.info/showthread.php?t=30779
https://virusinfo.info/showthread.php?t=30972
https://virusinfo.info/showthread.php?t=31026
https://virusinfo.info/showthread.php?t=31095
https://virusinfo.info/showthread.php?t=31391

*Файлы на диске*
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
К телу размером 55296 байт дописано до нескольких сотен килобайт "мусора".

*Способ запуска*
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit  
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_

----------


## AndreyKa

*Алиасы*
Agent.ADDO	(AVG)
BackDoor.Bulknet.237	(DrWeb)
Mal/Pushdo-A	(Sophos)
TR/Agent.aeuz.4	(AntiVir)
Trj/Downloader.MDW	(Panda)
Trojan:Win32/Meredrop	(Microsoft)
Trojan.Agent.aeuz.4	(SecureWeb-Gateway)
Trojan.DR.Pandex.Gen.6	(VirusBuster)
Trojan.Generic.747469	(BitDefender)
Trojan.Win32.Agent.22528.Y	(ViRobot)
W32/Agent.AEUZ!tr	(Fortinet)
Win-Trojan/Agent.22528.IX	(AhnLab-V3)
http://www.virustotal.com/ru/analisi...5581c4c26a00c9

*Описание*
Обращается к web серверам американского провайдера McColo (адреса: 208.66.192.0 - 208.66.195.255), на которых находятся многочисленные вредоносные программы.

*Встречен в темах*
https://virusinfo.info/showthread.php?t=30956
https://virusinfo.info/showthread.php?t=31047
https://virusinfo.info/showthread.php?t=31285
https://virusinfo.info/showthread.php?t=31551

*Файлы на диске*
C:\WINDOWS\System32\rs32net.exe
22528 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, rs32net  
C:\WINDOWS\System32\rs32net.exe

----------


## AndreyKa

*Алиасы*
BackDoor.Bulknet.264	(DrWeb)
Trj/Downloader.MDW	(Panda)
Trojan.Agent.afkj	(CAT-QuickHeal)
Trojan.Crypt.LooksLike.XPACK	(SecureWeb-Gateway)
TrojanDownloader:Win32/Cutwail.AA	(Microsoft)
http://www.virustotal.com/ru/analisi...b17e03bcc376ca

*Описание*
Останавливает службы *Брандмауэр* и *Центр безопасности Windows*.
Отключает *Брандмауэр Windows* через политики и отключает мониторинг состояния *Брандмауэра Windows* в *Центре безопасности Windows*. 
Открывает порт 1060 TCP.
В теле трояна присутствуют IP адреса 209.20.130.33 и 66.232.118.207.
Способен отправлять электронную почту (SPAM).

*Встречен в темах*
https://virusinfo.info/showthread.php?t=31408
https://virusinfo.info/showthread.php?t=31577
https://virusinfo.info/showthread.php?t=31638

*Файлы на диске*
c:\windows\services.exe
40448 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services 
C:\WINDOWS\services.exe

----------


## AndreyKa

*Алиасы*
Agent.ADTD	(AVG)
TR/Agent.afic.1	(AntiVir)
Trj/Downloader.MDW	(Panda)
Trojan.Agent.afic.1	(SecureWeb-Gateway)
Trojan.DownLoad.5244	(DrWeb)
W32/Agent.AFIC!tr	(Fortinet)
W32/Agent.IRCJ	(Norman)
Win32/Spy.Agent.NJL	(NOD32)
http://www.virustotal.com/ru/analisi...19424f19bcbb1a

*Описание*
"Шпионит" за программами explorer.exe, webmoney.exe, iexplore.exe, opera.exe и firefox.exe.

*Встречен в темах*
https://virusinfo.info/showthread.php?t=31157
https://virusinfo.info/showthread.php?t=31477
https://virusinfo.info/showthread.php?t=31624

*Файлы на диске*
C:\WINDOWS\system32\msvcrt57.dll

*Способ запуска*
Подменяет в реестре Windows стандартный модуль webcheck.dll:
1.Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellSer  viceObjectDelayLoad, WebCheck  
2.Модуль расширения проводника
Имя:  WebCheck
CLSD: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}  
Файл: C:\WINDOWS\system32\msvcrt57.dll

----------


## AndreyKa

*Алиасы*
RootKit.Win32.Undef.rx	(Rising)
Spammer:WinNT/Srizbi.gen!B	(Microsoft)
Trj/Pakes.EB	(Panda)
Trojan.Generic.753846	(BitDefender)
Trojan.Pakes!sd6	(PCTools)
Trojan.Pakes.kmn	(CAT-QuickHeal)
Trojan.Sentinel.based (DrWeb)
W32/Smalltroj.HJSV	(Norman)
Win32:Agent-ABJY	(Avast)
Win32/Srizbi.NBP	(NOD32)
http://www.virustotal.com/ru/analisi...16b5e1ac5c0892

*Описание*
Попадает на компьютер, как правило, через СПАМ со ссылокой на выполняемый файл (e-card.exe).
Руткит. Функционирует как модуль пространства ядра.

*Встречен в темах*
https://virusinfo.info/showthread.php?t=30643
https://virusinfo.info/showthread.php?t=30972
https://virusinfo.info/showthread.php?t=31439
https://virusinfo.info/showthread.php?t=31747

*Файлы на диске*
Файл с расширением *sys* в папке C:\WINDOWS\system32\Drivers со случайным именем из 8 латинских символов.
178176 байт

*Способ запуска*
Драйвер с именем как у файла (случайное).

*Внешние проявления* (со слов пользователей)
Работа компьютера заторможенна.

----------


## AndreyKa

*Алиасы*
Downloader.Generic7.BCEZ	(AVG)
TR/Crypt.GU.22	(AntiVir)
Trojan.Crypt.GU	(BitDefender)
Trojan.Crypt.GU.22	(SecureWeb-Gateway)
Trojan.PWS.Siggen.22	(DrWeb)
Trojan.Win32.Downloader.16896.ACL	(ViRobot)
TrojanDownloader:Win32/Bofang.B	(Microsoft)
TrojanDownloader.Delf.phh	(CAT-QuickHeal)
W32/Delf.CRNA	(Norman)
W32/Delf.PHH!tr.dldr	(Fortinet)
http://www.virustotal.com/ru/analisi...3efea36329fe9c

*Описание*
Записывает свою копию в файл %USERPROFILE%\Application Data\Adobe\Player.exe
В файле присутствуют URL c IP адресами 78.157.143.163 и 91.203.93.6.
По этим адресам расположены списки URL exe-файлов.
Дополнительно встречаются IP адреса 78.157.143.198 и 78.157.142.26.
Троян использует службу Windows BITS для загрузки файлов.
В данный момент упомянутые файлы детектируются антивирусом Касперского так:
Backdoor.Win32.Frauder.mb
Backdoor.Win32.Frauder.mo
Backdoor.Win32.Frauder.mr
Backdoor.Win32.Frauder.mu
Backdoor.Win32.Frauder.mv
Backdoor.Win32.Frauder.nc
Backdoor.Win32.Frauder.nd
Backdoor.Win32.TDSS.aao
Backdoor.Win32.TDSS.anp
Trojan-Downloader.Win32.Agent.ajnq

*Встречен в темах*
https://virusinfo.info/showthread.php?t=32407
https://virusinfo.info/showthread.php?t=32424
https://virusinfo.info/showthread.php?t=32453

*Файлы на диске*
C:\WINDOWS\system32\rgdam.exe
16896 байт

*Способ запуска*
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run
Player = "%AppData%\Adobe\Player.exe"

----------


## AndreyKa

*Алиасы*
Adware.XPSecurityCenter.R.72660.G	(ViRobot)
Downloader.MisleadApp	(Symantec)
FraudTool.XPSecurityCenter.be (Not a Virus)	(CAT-QuickHeal)
Generic3.YJG	(AVG)
PHISH/Fraud.XPSecurityCenter.BE	(AntiVir)
Trojan.Fakealert.1629	(DrWeb)
TrojanDownloader:Win32/FakeRean.gen!B	(Microsoft)
W32/Behav-Heuristic-060	(TheHacker)
W32/FakeAV.EJ	(F-Prot)
Win32:FraudLoad-SB	(Avast)
Win32/Adware.XPAntiSpyware.AA	(NOD32)
Win32/FakeAlert.HT	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...ccea2be8bb9c80

*Описание*
Скачивает с сайта *downloadsoftindex.com* и запускает программу *XP Antispyware 2009*(Trojan.Win32.FraudPack.gju), имитирующую работу антишпионской программы. *XP Antispyware 2009* находит не существующие вредоносные файлы и предлагает зарегистрироваться на сайте *xpas2009.com* за 50$ для того чтобы удалить их (на следующей странице уже указана другая цена - $75.95).

*Встречен в темах*
https://virusinfo.info/showthread.php?t=32446
https://virusinfo.info/showthread.php?t=32456
https://virusinfo.info/showthread.php?t=32505
https://virusinfo.info/showthread.php?t=32856
https://virusinfo.info/showthread.php?t=33185

*Файлы на диске*
C:\WINDOWS\system32\wini10806.exe (цифры в имени случайные)
C:\Program Files\XP_AntiSpyware\Uninstall.exe
72660 байт

----------


## AndreyKa

*Алиасы*
Downloader.MisleadApp	(Symantec)
Downloader.Zlob.AEXO	(AVG)
OScope.Downloader.Braviax.3	(VBA32)
Packer.Malware.Lighty.I	(BitDefender)
Spyware.Pakes.9728.B	(ViRobot)
TR/Pakes.lel	(AntiVir)
TROJ_PAKES.GA	(TrendMicro)
Trojan-Downloader.MisleadApp!sd6	(PCTools)
Trojan:Win32/Renos.I	(Microsoft)
Trojan.Click.19754	(DrWeb)
Trojan.Pakes.lel	(CAT-QuickHeal)
Trojan.Renos.ATC	(VirusBuster)
W32/FakeAlert.LEL!tr	(Fortinet)
W32/Lighty.E	(Norman)
Win-Trojan/Pakes.9728.G	(AhnLab-V3)
Win32: Lighty-B	(Avast)
Win32/FakeAlert.HU	(eTrust-Vet)
http://www.virustotal.com/ru/analisi...8515259ec89c0b

*Описание*
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:



> *You computer is infected!*
> 
> Windows has detected spyware infection!
> 
> It is recommended to use special antispyware tools to prevent
> data loss.Windows will now download and install the most
> up-to-date antispyware for you.
> 
> Click here to protect you computer from spyware!


Устанавливает http://www.google.com как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
do-scan-progress.com
do-make-progress.com
do-progress.com
do-managed-scan.com
do-power-scan.com
do-step-scan.com
do-monster-progress.com
do-monsterscan.com
do-powerscan.com
do-stepscan.com
domonster-progress.com
domonster-scan.com
dopower-scan.com
dostep-scan.com
Обращяется к одному из них и получает переадресацию на файл *Installer.exe* (Trojan.Packed.1214) на сайте *xpas-2009.com*.
Сохраняет его под именем C:\WINDOWS\system32\wini10541.exe и запускает.
Последний в свою очередь закачивает и запускает фальшивый антивирус *XP Antispyware 2009* c сайта *download-soft-index.com*.

*Встречен в темах*
https://virusinfo.info/showthread.php?t=32270
https://virusinfo.info/showthread.php?t=32505
https://virusinfo.info/showthread.php?t=32512
https://virusinfo.info/showthread.php?t=32609

*Файл на диске*
c:\windows\system32\brastk.exe
9728 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run,
Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion  \Run,
brastk = c:\windows\system32\brastk.exe

*Дополнительные алиасы FraudTool.Win32.XPSecurityCenter.bn*
Adware.XPSecurityCenter.R.10752.B	(ViRobot)
Misc/XPSecurityCenter	(Fortinet)
Packer.Malware.Lighty.N	(BitDefender)
SHeur.CQPD	(AVG)
TROJ_VIRANTIX.CX	(TrendMicro)
Trojan-Downloader.Win32.Braviax.gf	(VBA32)
Trojan.Fakealert.1671	(DrWeb)
Trojan.Virantix!sd6	(PCTools)
Trojan.Virantix.C	(Symantec)
TrojanDownloader:Win32/Renos	(Microsoft)
W32/FakeAlert.ET	(F-Prot)
W32/Virantix.HJ	(Norman)
Win32: Lighty-B	(Avast)
Win32/FakeAlert.IJ	(eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU	(NOD32)
http://www.virustotal.com/ru/analisi...9f0de8329dc1ba

*Встречен в темах*
https://virusinfo.info/showthread.php?t=32714
https://virusinfo.info/showthread.php?t=32736
https://virusinfo.info/showthread.php?t=32849
https://virusinfo.info/showthread.php?t=32856

*Файл на диске*
c:\windows\system32\brastk.exe
10752 байт

----------


## AndreyKa

*Алиасы*
TR/Dldr.Exchanger.anm	(AntiVir)
Trj/Exchanger.G	(Panda)
Trojan.Dldr.Exchanger.anm	(SecureWeb-Gateway)
Trojan.Generic.1115750	(BitDefender)
Trojan.PWS.ICQSniff.25	(DrWeb)
TrojanDownloader.Exchanger.an	(CAT-QuickHeal)
VirTool:Win32/Obfuscator.CW	(Microsoft)
W32/DLoader.KUKW	(Norman)
W32/Exchanger.ANM!tr.dldr	(Fortinet)
Win32:Rootkit-gen	(Avast)
Win32.Exchanger.anm	(eSafe)
http://www.virustotal.com/ru/analisi...1587bd1f6d0e65

*Встречен в темах*
https://virusinfo.info/showthread.php?t=33650
https://virusinfo.info/showthread.php?t=33671
https://virusinfo.info/showthread.php?t=33783
https://virusinfo.info/showthread.php?t=34206
https://virusinfo.info/showthread.php?t=34785

*Файлы на диске*
c:\windows\msauc.exe
73216 байт
В файле записана ложная информация о версии:
Описание: ApacheBench/SSL command line utility
Copyright 2006 The Apache Software Foundation.

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run
lsass driver = C:\WINDOWS\msauc.exe

*Внешние проявления* (со слов пользователей)
От моего имени ICQ выслал всему контактному листу ссылку на какой-то сайт, хотя в тот день "аську" вообще не включал.

----------


## AndreyKa

*Алиасы*
BackDoor.Generic10.ZTX	(AVG)
TR/Dldr.Small.hbg	(AntiVir)
Trojan.Agent.aoss	(CAT-QuickHeal)
Trojan.Dldr.Small.hbg	(SecureWeb-Gateway)
Trojan.Generic.1156471	(BitDefender)
Trojan.Inject.4675	(DrWeb)
Trojan.Win32.Undef.tap	(Rising)
W32/Small.GSC!tr.bdr	(Fortinet)
Win-Trojan/Agent.28160.EV	(AhnLab-V3)
Win32/Small.GRA	(NOD32)
http://www.virustotal.com/ru/analisi...cc3f9879703002

*Описание*
Обращается к серверу 78.109.28.232 (находится на Украине) и скачивает зашифрованный файл.

*Встречен в темах*
https://virusinfo.info/showthread.php?t=34219
https://virusinfo.info/showthread.php?t=34234
https://virusinfo.info/showthread.php?t=34419
https://virusinfo.info/showthread.php?t=34464
https://virusinfo.info/showthread.php?t=34739

*Файлы на диске*
C:\WINDOWS\system32\msansspc.dll
28160 байт

*Способ запуска*
Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Control\SecurityProviders  ,
Добавляет к значению ключа SecurityProviders имя файла: msansspc.dll

----------


## Techno

*Алиасы(Trojan.Win32.Jorik.Buterat.fyy):*
Generic29.AKTV	                       (AVG)
Win32:Buterat-PU [Trj]	               (Avast)
Trojan.Generic.KDV.714643	       (BitDefender)
BackDoor.Butirat.91	               (DrWeb)
Win32.SuspectCrc!IK                   (Emsisoft)
a variant of Win32/Injector.VSW    (NOD32)
Trojan.Jorik.Buterat.gak                (VBA32)
https://www.virustotal.com/file/7907...is/1347285552/

*Встречен в темах:*
https://virusinfo.info/showthread.php?t=124442
https://virusinfo.info/showthread.php?t=124148
https://virusinfo.info/showthread.php?t=124430
https://virusinfo.info/showthread.php?t=124297


*Описание:*
*Файлы на диске:*
%AppData%\taskhost.exe
%AppData%\System.log
%USERPROFILE%\Local Settings\History\History.IE5\index.dat
%USERPROFILE%\Cookies\index.dat
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5

*Способ запуска:*
Ключ реестра HKEY_CURRENT_USER, software\Microsoft\Windows\CurrentVersion\Run, Taskhost = "%AppData%\taskhost.exe"

*Дополнительно:*
Запрашивает имя компьютера
Запрашивает имя пользователя
Считывает список всех входных имен для удаленного доступа
Запускает службу удаленного доступа RASMAN

*Изменяет настройки зон безопасности в IE:*
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, intranetname = "00000001" (все локальные веб-узлы (не содержащие в своем составе точки), не сопоставленные ни с одной из зон безопасности, будут отнесены к зоне интрасети);
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, proxybypass = "00000001" (все веб-узлы, подключенные в обход прокси-сервера, будут относиться к зоне интрасети);
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, uncasintranet = "00000001" (все адреса URL, представляющие сетевой путь, будут относиться к зоне интрасети).

*Сетевая активность:*
Выполняет подключение на 37.1.198.131 (Германия) по 80 порту.

----------

*Никита Соловьев*,  *olejah*,  *PavelA*,  *thyrex*

----------


## PavelA

*Techno*, Спасибо за работу. М.б. и эта полезная тема оживет.

----------

*Никита Соловьев*,  *Techno*,  *thyrex*

----------


## Techno

*Алиасы(Backdoor.Win32.Shiz.fxst):*
Win32:Malware-gen	               (Avast)
Gen:Variant.Kazy.91307 	       (BitDefender)
Trojan.PWS.Ibank.456	               (DrWeb)
a variant of Win32/Kryptik.ALNB     (NOD32)
Trojan.Jorik.Buterat.gak                (VBA32)
https://www.virustotal.com/file/8148...is/1347464720/

*Встречен в темах:*
https://virusinfo.info/showthread.php?t=124333
https://virusinfo.info/showthread.php?t=124374
https://virusinfo.info/showthread.php?t=124231
https://virusinfo.info/showthread.php?t=124249
https://virusinfo.info/showthread.php?t=124243


*Описание:*
*Файлы на диске:*
%Windir%\AppPatch\<random>.exe
%Temp%\<random>.tmp 

*Способ запуска:*
Ключи реестра:
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, userinit = "%Windir%\AppPatch\<random>.exe"
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit = "%Windir%\AppPatch\<random>.exe"
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, System = "%Windir%\AppPatch\<random>.exe"
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Run = "%Windir%\AppPatch\<random>.exe"
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load = "%Windir%\AppPatch\<random>.exe"
Файл win.ini:
windows, load
windows, run

*Дополнительно:*
Работает в фоновом режиме и позволяет осуществлять удаленный доступ к зараженной системе

----------

*Никита Соловьев*,  *thyrex*

----------


## Techno

*Алиасы(Trojan-Spy.Win32.Carberp.pky):*
PSW.Generic10.JFA	                     (AVG)
Win32:Carberp-AIL [Trj]	             (Avast)
Trojan.Generic.KDV.698074	             (BitDefender)
Trojan.Carberp.647	                     (DrWeb)
Trojan-Spy.Win32.Carberp!IK              (Emsisoft)
Win32/TrojanDownloader.Carberp.AF    (NOD32)
Trojan.Gen                                      (Symantec)
https://www.virustotal.com/file/f50c...d5c2/analysis/

*Встречен в темах:*
https://virusinfo.info/showthread.php?t=124627
https://virusinfo.info/showthread.php?t=123855
https://virusinfo.info/showthread.php?t=123610


*Описание:*
*Файлы на диске:*
%папка автозагрузки текущего пользователя%\<random>.exe
%allusersprofile%\<random>\klpclst.dat
%allusersprofile%\<random>\wndsksi.inf 
несколько файлов вида: %LocalSettings%\temp\<random>.tmp

*Каталоги на диске:*
%CommonAppData%\IBank
%allusersprofile%\<random>

Создает процессы:
%WinDir%\explorer.exe
%WinDir%\system32\svchost.exe

Создает ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5FB17DE  5-379C-188F-5FB1-7DE5379C188F}

*Способ запуска:*
%папка автозагрузки текущего пользователя%\<random>.exe

*Дополнительно:*
Запрашивает имя компьютера
Загружает в свое адресное пространство библиотеки криптографии rsaenh.dll и crypt32.dll

*Сетевая активность:*
Выполняет подключение на 93.115.240.2(Румыния), 195.208.1.124(Россия).
Выполняет запрос к DNS на доменные имена:


```
www4.smartadserver.com
ced.sascdn.com
ad.adriver.ru
ar.tns-counter.ru
abibasss223.ru
pipiskaaaa2.ru
jjonnnyh23.ru
www.loktrans.ru
```

----------

Groft,  *Никита Соловьев*,  *PavelA*,  *thyrex*

----------


## Techno

*Алиасы(Backdoor.Win32.Buterat.dpiv):*
BackDoor.Generic16.DD	                               (AVG)
Win32:Trojan-gen          	                    (Avast)
Gen:Variant.Zusy.22589	                    (BitDefender)
BackDoor.Butirat.201	                            (DrWeb)
Gen:[email protected] (B)        (Emsisoft)
a variant of Win32/Injector.XVR                  (NOD32)
WS.Reputation.1                                      (Symantec)
https://www.virustotal.com/file/3b63...is/1353178211/

*Встречен в темах:*
https://virusinfo.info/showthread.php?t=127135
https://virusinfo.info/showthread.php?t=126785
https://virusinfo.info/showthread.php?t=126427


*Описание:*
*Файлы на диске:*
%USERPROFILE%\Application Data\Microsoft\taskhost.exe
или 
%USERPROFILE%\Application Data\lsass.exe

%USERPROFILE%\Application Data\Microsoft\txt.exe (*Trojan.Win32.Buzus* [Kaspersky])
%USERPROFILE%\Application Data\Microsoft\System.log
%USERPROFILE%\Cookies\cf
%USERPROFILE%\Cookies\index.dat
%USERPROFILE%\Local Settings\History\History.IE5\index.dat
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\<random>.html
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\index.dat
%USERPROFILE%\Мои документы\AddIterra\<random>.dll
%USERPROFILE%\Мои документы\AddIterra\<random>.reg
%USERPROFILE%\Мои документы\Iterra\<random>.tmp
%USERPROFILE%\Мои документы\Iterra\<random>.reg

*Каталоги на диске:*
%USERPROFILE%\Мои документы\AddIterra
%USERPROFILE%\Мои документы\Iterra


*Создает ключ реестра:*
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %USERPROFILE%\Мои документы\AddIterra\<random>.dll

*Способ запуска:*
HKEY_CURRENT_USER\current\software\Microsoft\Windo  ws\CurrentVersion\Run\Taskhost = %USERPROFILE%\Application Data\Microsoft\taskhost.exe
или
HKEY_CURRENT_USER\current\software\Microsoft\Windo  ws\CurrentVersion\Run\Taskhost = %USERPROFILE%\Application Data\lsass.exe


*Дополнительно:*
Запрашивает имя компьютера
Запрашивает имя пользователя
Запускает службу удаленного доступа RASMAN
Запускает службу уведомления о системных событиях SENS

*Сетевая активность:*


```
ulotrol.net
getcomdes.com
getinball.com
debijonda.com
veroconma.com
theloamva.com
vornedix.com
dentagod.com
liteworns.com
vengibit.com
tryangets.com
getintsu.com
detoxist.com
veroconma.com
94.250.248.53
37.230.112.104
91.220.35.154
http://ulotrol.net/941/85.html
http://ulotrol.net/213/84.html
http://ulotrol.net/816/904.html
http://ulotrol.net/469/897.html
http://37.230.112.104/544/776.html
http://ulotrol.net/413/135.html
```

----------

*Никита Соловьев*,  *mrak74*,  *olejah*,  *thyrex*

----------


## Techno

*Алиасы(Trojan-Spy.Win32.Zbot.jmfj):*
Dropper.Generic7.CAXS	                     (AVG)
Win32:Vundo-AAV [Trj]	             (Avast)
Gen:[email protected]	             (BitDefender)
Trojan.Carberp.647	                     (DrWeb)
Trojan-Spy.Win32.Carberp!IK              (Emsisoft)
Win32/TrojanDownloader.Carberp.AF    (NOD32)
Trojan.Gen                                      (Symantec)
https://www.virustotal.com/ru/file/d...is/1362901110/

*Встречен в темах:*
https://virusinfo.info/showthread.php?t=134555


*Описание:*
*Файлы на диске:*
<папка запуска>\<random.exe> (например, *%Userprofile%\AppData\Local\Temp\7smbeohv.exe*)
<папка запуска>\<???.exe> , где ? - цифра (Kaspersky: UDS: DangerousObject.Multi.Generic)

*Способ запуска:*
Создает задание *%windir%\tasks\<random.job>*, которое каждые 10 минут запускает файл <папка запуска>\<random.exe> (например, *%Userprofile%\AppData\Local\Temp\7smbeohv.exe*)


*Сетевая активность:*


```
* Connects to "64.62.191.222" on port 80.
Connects to "127.0.0.1" on port 1037.
Connects to "64.62.191.222" on port 4321.
Connects to "5.61.32.83" on port 80 (TCP - HTTP).
Connects to "5.61.42.100" on port 80 (TCP - HTTP).
* Opens next URLs:
     http://bvq7jz2rk.kifspa.net/542/90.html
     http://bvq7jz2rk.kifspa.net/386/71.html
     http://bvq7jz2rk.kifspa.net/7/885.html
     http://bvq7jz2rk.kifspa.net/22/303.html
     http://bvq7jz2rk.kifspa.net/708/244.html
     http://xudywufas.smaram.info/71/142.html
     http://bvq7jz2rk.kifspa.net/796/601.html
```

*Запускает созданный файл <папка запуска>\<???.exe>*

*Дальше то, что делает файл <папка запуска>\<???.exe>*

*Каталоги на диске:*
%Program Files%\<папка>\<папка> (например, _%Program Files%\suda nana stavit etot soft\111 222 333 444 555_, _%Program Files%\i pomoch drudu csegda gotov\eslib iz zadnitsi sipalis dengi_)

*Файлы на диске* (_имена файлов и их содержание могут быть другими!!!_):
%Program Files%\<папка>\<папка>\Elephantsarelargemammals.ba  t

Скрытый текст

убрал
Скрыть

%Program Files%\<папка>\<папка>elephanttalk.lyrics
%Program Files%\<папка>\<папка>elephanttalk.vbs

Скрытый текст

убрал
Скрыть

%Program Files%\<папка>\<папка>Learnallyouwantedtoknowabout  African.elephants
%Program Files%\<папка>\<папка>Learnallyouwantedtoknowabout  African.vbs

Скрытый текст

убрал
Скрыть

%Program Files%\<папка>\<папка>most complete version at.Patara
%Program Files%\<папка>\<папка>ofthefamilyElephantidaeandth  eorder.proboscidea
%Program Files%\<папка>\<папка>Uninstall.exe
%Program Files%\<папка>\<папка>Uninstall.ini
%userprofile%\Cookies\index.dat
%userprofile%\Local Settings\History\History.IE5\index.dat
%userprofile%\Local Settings\Temporary Internet Files\Content.IE5\index.dat

*Файл hosts:*
добавляет строки:


```
69.197.136.118 my.mail.ru
69.197.136.118 m.my.mail.ru
69.197.136.118 vk.com
69.197.136.118 ok.ru
69.197.136.118 m.vk.com
69.197.136.118 odnoklassniki.ru
69.197.136.118 vk.com
69.197.136.118 www.odnoklassniki.ru
69.197.136.118 m.odnoklassniki.ru
69.197.136.118 ok.ru
69.197.136.118 m.ok.ru
69.197.136.118 www.odnoklassniki.ru
```

Создает пустой файл _%windir%\system32\drivers\etc\hоsts_, о-русская

*Дополнительно:*
Запрашивает имя компьютера
Запрашивает имя пользователя
Запускает службу удаленного доступа RASMAN
Запускает службу уведомления о системных событиях SENS

*Сетевая активность:*


```
* Connects to "64.62.191.222" on port 80.
Connects to "127.0.0.1" on port 1037.
Connects to "64.62.191.222" on port 4321.
```

----------

Groft,  *Никита Соловьев*,  *mrak74*

----------


## olejah

*Techno*, на куски кода может быть детект. Аваст например материться на эту страницу. ИМХО, лучше убрать, чтобы у юзеров не возникало вопросов и проблем.

----------


## Никита Соловьев

*Olejah*, На эту страницу ругается, а с детектом этого типа троянов проблемы.  :Hmm:

----------


## Techno

*Алиасы(Trojan.Win32.ShipUp.bnl):*
PSW.Generic10.CGJJ	                     (AVG)
Win32 :borred: bot-QQQ [Trj]	             (Avast)
Trojan.Generic.KDV.895853	             (BitDefender)
Trojan.BrowseBan.515	                     (DrWeb)
Trojan.Win32.ShipUp.AMN (A)              (Emsisoft)
a variant of Win32/Kryptik.AWQH    (NOD32)
Backdoor:Win32/Ursap!rts                                      (Microsoft)
https://www.virustotal.com/ru/file/d...is/1363983700/

*Встречен в темах:*
https://virusinfo.info/showthread.php?t=135590
https://virusinfo.info/showthread.php?t=135320
https://virusinfo.info/showthread.php?t=135564
https://virusinfo.info/showthread.php?t=135548
https://virusinfo.info/showthread.php?t=135242


*Описание:*
*Файлы на диске:*
%Application Data%\Mozilla\<random>.exe
или
%programm_files%\Mozilla\<random>.exe

%Application Data%\Mozilla\<random>.dll
или
%programm_files%\Mozilla\<random>.dll


*Каталоги на диске:*
%Application Data%\Mozilla***
или
%programm_files%\Mozilla

*Способ запуска:*
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %Application Data%\Mozilla\<random>.dll
или
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %programm_files%\Mozilla\<random>.dll

Создает задание %windir%\tasks\<random.job>, которое при каждой загрузке компьютера запускает файл %Application Data%\Mozilla\<random>.exe или %programm_files%\Mozilla\<random>.exe с каким то параметром (например, *%Application Data%\Mozilla\oqdbitd.exe -nehikwj*)

Это задание дропает вредоносную библиотеку и прописывает её в AppInit_DLLs.

***Если в системе установлен браузер Firefox, то удалять папку %AppData%\mozilla целиком не стоит, в ней хранятся настройки браузера.

----------

*Никита Соловьев*,  *thyrex*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Techno

Ошибся, папка всегда имеет путь %ALLUSERSPROFILE%\Mozilla.

Просто на xp это папка *C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla*(C:\Documents and Settings\All Users\Application Data\Mozilla), а на семерке *C:\PROGRA~3\Mozilla*(c:\ProgramData\Mozilla)

----------


## Techno

*Алиасы(not-a-virus:RiskTool.Win32.BitCoinMiner.bzj):*
Win32:Malware-gen      (Avast)
Trojan.Generic.KDV.760200     (BitDefender)
Trojan.BtcMine.66     (DrWeb)
Trojan.Generic.KDV.760200 (B) (Emsisoft)
a variant of Win32/BitCoinMiner.H (NOD32)

https://www.virustotal.com/ru/file/0...is/1364375988/

*Встречен в темах:*
https://virusinfo.info/showthread.php?t=135882
https://virusinfo.info/showthread.php?t=135816
https://virusinfo.info/showthread.php?t=135816

*Подробнее:*

*Файлы на диске:*
%ProgramFiles%\Mesa_3d\gal_st1.dll
%ProgramFiles%\Mesa_3d\arcus.rar (_запароленный архив с файлами, отмеченными синим цветом_)
%appdata%\tor\cached-certs
%appdata%\tor\cached-consensus
%appdata%\tor\cached-descriptors
%appdata%\tor\cached-descriptors.new
%appdata%\tor\lock
%appdata%\tor\state
%tmp%\gallium3d.exe
%tmp%\libeay32.dll
%tmp%\libgcc_s_dw2-1.dll
%tmp%\mingwm10.dll
%tmp%\msvdn.exe  (kaspersky: not-a-virus:NetTool.Win32.Tor.d)
%tmp%\nvcuda.dll
%tmp%\opencl.dll
%tmp%\Perflib_Perfdata_744.dat
%tmp%\ssleay32.dll
%tmp%\svchost.exe
%tmp%\torrc


*Каталоги на диске:*
%appdata%\tor
%ProgramFiles%\Mesa_3d

*Способ запуска:*
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %ProgramFiles%\Mesa_3d\gal_st1.dll

*Сетевая активность:*


```
%tmp%\msvdn.exe Connects to "109.105.109.162" on port 60784 (TCP).
%tmp%\msvdn.exe Connects to "185.5.173.185" on port 9001 (TCP).
%tmp%\msvdn.exe Connects to "84.19.178.6" on port 9001 (TCP).
%tmp%\msvdn.exe Connects to "85.17.122.79" on port 443 (TCP - HTTPS).
```

*Описание:*
Файл %ProgramFiles%\Mesa_3d\gal_st1.dll распаковывает архив* %ProgramFiles%\Mesa_3d\arcus.rar в папку %tmp% и запускает файл %tmp%\gallium3d.exe
Файл %tmp%\gallium3d.exe создает процессы:


```
"%tmp%\msvdn.exe"  -f torrc
%tmp%\svchost.exe
```

Из всех файлов нормально детектится антивирусами только %tmp%\svchost.exe

_*предположительно, дроппер библиотеки gal_st1.dll, также копирует в систему легитимную библиотеку unrar.dll, которая нужна для распаковки архива arcus.rar._

----------

*Никита Соловьев*,  *thyrex*

----------

